Am 10. März wurde bekannt, dass das DeFi-Kreditprotokoll Compound Finance erneut eine Frontend-Sicherheitslücke erlitten hat. Mehrere Nutzer berichteten, dass die offizielle Website des Projekts ungewöhnliche Aktivitäten zeigte und auf eine vermutete Phishing-Seite umgeleitet wurde. Dieser Vorfall gilt als das neueste Beispiel in einer Reihe von Website-Übernahmen bei DeFi-Plattformen in letzter Zeit.
Laut einer Erklärung des Sicherheitsteams des Projekts auf dem Governance-Forum wurde die Phishing-Seite durch die Nachahmung einer ähnlichen Domain „compOOnd“ erstellt, um Besucher zu täuschen. Das Team betonte jedoch, dass bisher keine Verluste von Nutzerfonds gemeldet wurden und die Zugangsdaten der betroffenen Infrastrukturkonten bereits ausgetauscht wurden. Das Systemrisiko sei unter Kontrolle.
Dies ist bereits das zweite Mal innerhalb von weniger als zwei Jahren, dass die Frontend-Seite von Compound angegriffen wurde. Im Juli 2024 wurden mehrere DeFi-Projekte, die auf Squarespace gehostet werden, Ziel eines Hackerangriffs, bei dem auch die Website von Compound betroffen war. Sicherheitsexperten weisen darauf hin, dass mit zunehmender Automatisierung von Phishing-Tools die technischen Hürden für solche Angriffe sinken.
In diesem Fall konnten die Nutzerfonds geschützt werden, weil die wichtigsten Transaktionsschnittstellen unterschiedlich implementiert sind. Laut offiziellen Angaben nutzt die Subdomain app.compound.finance, die für Wallet-Verbindung und Transaktionen zuständig ist, das IPFS-Netzwerk. Dadurch kann das Sicherheitsteam die Integrität des Codes unabhängig überprüfen, was das Risiko von Frontend-Manipulationen reduziert.
Obwohl bei diesem Vorfall keine Gelder verloren gingen, schwächt eine Reihe von Problemen die Marktvertrauen in Compound, das einst zu den führenden DeFi-Protokollen gehörte. In den vergangenen Jahren gab es immer wieder Streitigkeiten bezüglich Betrieb und Governance. So wurde das Compound DAO zuvor wegen potenzieller Interessenkonflikte mit dem Risikomanagement-Dienstleister Gauntlet kritisiert.
Bereits 2022 führte ein Bedienfehler dazu, dass der cETH-Markt im Wert von über 8 Milliarden US-Dollar für etwa eine Woche pausierte, bis technische Korrekturen durchgeführt wurden. Außerdem kam es 2021 bei einem Protokoll-Upgrade zu einer fehlerhaften Token-Verteilung, bei der versehentlich etwa 1,5 Milliarden US-Dollar an Token an Nutzer ausgegeben wurden.
Experten betonen, dass mit dem Wachstum der DeFi-Branche die Frontend-Sicherheit, Domain-Schutz und Governance-Transparenz zu entscheidenden Faktoren für die langfristige Stabilität der Protokolle werden. Für Kreditplattformen ist jede Sicherheitslücke auf der Website eine potenzielle Angriffsfläche für Phishing- und Betrugsversuche.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
