Miljoenendiefstal op Base-blockchain: Exploit in leencontracten leidt tot $1 miljoen verlies

In een nieuw incident op de Base-blockchain heeft een exploit in niet-geverifieerde leencontracten geleid tot de diefstal van ruim $1 miljoen. Blockchainbeveiligingsbedrijf Cyvers Alerts meldde het op 25 oktober in een bericht op X. Deze aanval benadrukt opnieuw de kwetsbaarheid van sommige gedecentraliseerde financiële (DeFi) platforms.

Zwakte in smart contracts

De aanval, die in enkele uren plaatsvond, maakte gebruik van een zwakte in smart contracts rondom Wrapped Ether (WETH). De aanvaller manipuleerde de prijs en wist zo $993.534 te verduisteren uit de niet-geverifieerde leencontracten. Vervolgens werd een groot deel van de fondsen naar het Ethereum-netwerk verplaatst, en werd $202.549 gestort via Tornado Cash, een privacygerichte dienst. Daarnaast werden extra bedragen ter waarde van $455.127 via dezelfde exploit gestolen.

Volgens Hakan Unal, senior SOC-leider bij Cyvers Alerts, lag de oorzaak bij een onbetrouwbaar orakel dat slechts vertrouwde op één paar met beperkte liquiditeit van circa $400.000. Dit maakte het systeem kwetsbaar voor prijsschommelingen en manipulatie.

Dader nog niet geïdentificeerd

Unal benadrukte dat het gebruik van een sterker, diverser orakel met grotere liquiditeit prijsschommelingen beter kan opvangen en toekomstige aanvallen kan voorkomen. Hij adviseert bovendien meer controle op leencontracten en zorgvuldig geselecteerde orakels om risico’s voor DeFi-platforms te beperken, met name voor activa zoals WETH.

De dader is nog niet geïdentificeerd en is vooralsnog succesvol ontsnapt met de gestolen fondsen. Dit incident onderstreept de dringende noodzaak voor DeFi-platforms om beveiligingsprotocollen aan te scherpen en de verificatie van leencontracten te verbeteren om soortgelijke aanvallen in de toekomst te voorkomen.