WOOFi, eine dezentrale Finanzplattform, erlebte am 5. März einen Exploit, der auf seine Swap-Funktion im Arbitrum-Netzwerk abzielte. Das Ereignis führte zu einem Verlust von Krypto-Assets in Höhe von etwa 8.75 Millionen US-Dollar.

Die Plattform sagte, sie habe Anstrengungen unternommen, um diese Gelder zurückzugewinnen, und dem Ausbeuter ein White-Hat-Kopfgeld von 10 % ausgesetzt. Darüber hinaus wurde auf Arkham Intelligence ein Kopfgeld für jeden ausgesetzt, der zusätzliche Informationen liefert.

WOOFis Exploit

Laut Obduktion berichten, der sPMM-Algorithmus, der die Preisgestaltung für WOOFi-Swaps regelt, wurde auf Arbitrum ausgenutzt. Bei dem Angriff handelte es sich um eine Reihe von Schnellkrediten, bei denen geringe Liquidität genutzt wurde, um den Preis von WOO zu manipulieren und es dem Ausbeuter zu ermöglichen, die Kredite zu geringeren Kosten zurückzuzahlen.

Der Ausbeuter hat sich rund 7.7 Millionen WOO und andere Vermögenswerte geliehen und die Token auf WOOFi verkauft. Diese Aktion führte dazu, dass das sPMM von WOOFi WOO fälschlicherweise an einen extrem niedrigen Preis anpasste, was es dem Ausbeuter ermöglichte, 10 Millionen WOO in derselben Transaktion nahezu kostenlos auszutauschen.

Der Ausbeuter wiederholte diesen Angriff innerhalb kurzer Zeit dreimal, was nach Rückzahlung der Schnellkredite zu einem Gewinn von etwa 8.75 Millionen US-Dollar führte.

WOOFi enthüllte, dass das sPMM in seiner zweiten Version darauf ausgelegt ist, Oracle-Preise zu ersetzen, indem es die Handelsnominalwerte der Benutzer berücksichtigt, um Slippage zu regulieren und das Pool-Gleichgewicht aufrechtzuerhalten.

Ein Fehler führte jedoch zu einer erheblichen Abweichung vom erwarteten Bereich (0.00000009 US-Dollar) und die Fallback-Prüfung, die normalerweise gegen Chainlink durchgeführt wird, berücksichtigte nicht den WOO-Token-Preis.

Konservative Listungsstrategie zahlt sich aus

WOOFi sagte auch, dass sein sPMM seit seiner Einführung im Jahr 2021 ohne Zwischenfälle verlief, hauptsächlich aufgrund des „konservativen Ansatzes“ bei der Notierung neuer Vermögenswerte. Der strenge Listungsprozess der Plattform machte es nahezu unmöglich, einen Exploit mit großen Vermögenswerten wie der ETH zu initiieren.

Allerdings machte es die kürzliche Einführung eines Kreditmarktes für WOO auf Arbitrum verantwortlich, gepaart mit der relativ begrenzten Liquiditätsunterstützung für WOO-Tokens an anderer Stelle im Netzwerk, was den Exploit wirtschaftlich rentabel machte.

Während WOOFi Swap in mehr als zehn Netzwerken einsatzbereit ist, verfügte kein Geringerer als Arbitrum sowohl über den WOO-Token als auch über einen WOO-Kreditmarkt, wodurch die Replikation desselben Exploits in alternativen Netzwerken effektiv verhindert wurde.

In einem aktuellen Bericht von CertiK heißt es unterdessen, der Kryptosektor sei betroffen erlitt Verluste in Höhe von rund 160 Millionen US-Dollar im Februar aufgrund von Exploits, Hacks und Betrügereien. Diese Zahlen spiegeln trotz eines Preisanstiegs einen leichten Rückgang im Vergleich zum Januar wider. Von diesen Verlusten entfielen lediglich 138,000 US-Dollar auf kurzfristige Kredite.