Nach erlittenem Hackangriff richtet sich Akropolis in einem Appell an den Hacker. Gegen Geldrückgabe locken sie mit Bug Bounty-Angebot.
Das dezentrale, in Gibraltar ansässige, Finanzprojekt Akropolis informierte Ende letzter Woche darüber, dass sie Opfer eines Flash-Loan-Angriffs wurden. Für den Angriff nutzte ein Hacker die Akropolis-Sparpools. Es gelang ihm, Dai-Kryptowährung im Wert von rund zwei Millionen US-Dollar zu erbeuten. Aktuell hat Akropolis dem Angreifer 200.000 US-Dollar im Rahmen ihres Bug Bounty Programms angeboten, für den Fall, dass er das Geld zurückgibt.
Akropolis gab über den Vorfall bekannt, dass sie zwei Sicherheitsfirmen damit beauftragten, den Vorfall zu untersuchen. Jedoch war keines der beiden Unternehmen in der Lage, die im Exploit verwendeten Angriffsmethoden zu bestimmen. Dennoch hat man das Eindringen als Flash Loan-Angriff identifiziert. Flash-Loan-Angriffe finden statt, wenn Hacker Geld von einer DeFi-Plattform (wie Akropolis) leihen, dann aber Exploits im Plattformcode verwenden, um dem Kreditmechanismus auszuhebeln, um dann mit dem Geld zu entkommen. „Die Essenz des fraglichen Exploits ist eine Kombination aus einem Wiedereintrittsangriff mit der Vergabe eines dYdX-Flash-Kredits.“ Das DeFi-Protokoll hat die beiden betroffenen Stablecoin-Pools gestoppt.
Wallet identifiziert
Die Sicherheitsfirma des Unternehmens, PeckShield, gab an, das Ethereum-Konto des Angreifers identifiziert zu haben, auf das die Gelder überwiesen wurden. Sie überwachen es nun auf weitere Bewegungen. Damit will man verhindern, dass der Hacker die Gelder in andere Formen von Kryptowährungen tauscht, dass die Ermittler die Spur verlieren und dass die Gelder ausgezahlt werden. Zudem hat man alle Börsen entsprechend informiert, keine Trades von der Wallet anzunehmen. Dies könnte es für den Angreifer schwieriger machen, diese Gelder zu waschen. Diese Tatsache nahm Akropolis zum Anlass, am Wochenende einen offenen Brief an den Hacker zu richten.
Akropolis-Angebot an Hacker
„Wir haben keine Strafverfolgungsbehörden kontaktiert, um strafrechtliche Ermittlungen einzuleiten. Wir möchten vorschlagen, dass Sie das Geld unseren Community-Mitglieder innerhalb von 48 Stunden zurückgeben. Im Gegenzug bieten wir eine Bug Bounty-Prämie in Höhe von 200.000 USD an. Wir werden nach Bedarf Maßnahmen ergreifen, um Ihre Identität zu schützen. Falls Sie sich gegen eine Zusammenarbeit entscheiden, werden wir strafrechtliche Schritte einleiten und die Strafverfolgung kontaktieren. Wir hoffen, dass wir gemeinsam auf eine Lösung hinarbeiten können. Vielen Dank für Ihre Zeit.“
Tarnkappe.info