Experte: Blitz-Kredite gefährden Ethereums DeFi

Blitzattacken auf dezentralisierte Finanzplattformen (DeFi) werden laut Haseeb Qureshi, geschäftsführender Gesellschafter von Dragonfly Capital, einem Kryptowährungs-Risikofonds, die neue Norm sein.

Nach den aufeinanderfolgenden Angriffen auf die DeFi-Plattform bZx von Ethereum überdenken Brancheninsider, wie die dezentrale Finanzbewegung, die es den Nutzern erlaubt, in tokenisierten Margin-Handel und Kreditvergabe einzusteigen, mit schlechten Akteuren ringen kann, die in der Lage sind, Löcher im System auszunutzen. Qureshi rechnet mit einem Zustrom von Angriffen.

Wir haben bei den jüngsten bZx-Hacks die ersten Anzeichen dafür gesehen, und ich vermute, dass das nur die Spitze des Speeres ist.

Der Angriff auf BzX erfolgte kurz nacheinander, wobei der erste Angriff rund 350.000 Dollar in Ethereum (ETH) von der Kreditplattform Fulcrum des Startups stahl. Der erste Angriff, der am 14. Februar gestartet wurde, beinhaltete eine Reihe von Manövern, um einen Gewinn von 1.193 ETH zu erzielen, der derzeit 275.344 Dollar wert ist.

Ein Blitz-Kredit von dYdX für 10.000 ETH wurde eröffnet.
5500 ETH wurden an Compound geschickt, um einen Kredit von 112 wBTC zu besichern.
1300 ETH wurden an den Fulcrum pToken sETHBTC5x geschickt, um eine 5-fache Short-Position gegen das ETHBTC-Verhältnis zu eröffnen.
5637 ETH wurde ausgeliehen und über die Uniswap-Reserve von Kyber an 51 WBTC getauscht, was zu einem großen Preissturz führte.
Der Angreifer tauschte die 112 WBTC, die er von Compound geliehen hatte, gegen 6871 ETH auf Uniswap, was zu einem Gewinn führte.
Der Blitz-Kredit von 10.000 ETH von dYdX wurde aus dem Erlös zurückgezahlt.

Ein größerer Nachahmungsangriff erfolgte Tage später, bei dem 2.388 ETH im Wert von 559.000 Dollar vernichtet wurden. Der Mitbegründer Kyle Kistner charakterisierte den Angriff im Telegrammkanal von bZx als “Orakelmanipulationsangriff”. Qureshi schreibt hierzu:

Blitz-Angriffe haben große Auswirkungen auf die Sicherheit. Ich bin zunehmend zu der Überzeugung gelangt, dass das, was Flash-Kredite wirklich freischalten, Flash-Angriffe sind – kapitalintensive Angriffe, die durch Flash-Kredite finanziert werden.

Blitz-Kredite eignen sich gut für Blockchains, da sie die Rückabwicklung ganzer Transaktionen ermöglichen. Wenn ein Kreditgeber die ETH an einen Kreditnehmer schickt, der Kreditnehmer aber nicht in der Lage ist, die Schuld zurückzuzahlen, kann der Kreditgeber den Kredit durch einenSmart Contract rückgängig machen, der die ursprüngliche Transaktion zunichte macht, sagt Emilio Frangella, ein Entwickler des Fintech-Startups Aave:

Scheint völlig risikofrei richtig zu sein? Nun, nicht ganz. Zwar ist das Risiko sehr gering, aber es besteht immer noch ein gewisses Maß an Risiko, das mit Smart Contracts und der darunter liegenden Schicht (der Blockchain selbst) verbunden ist. Blitzdarlehen nutzen eine bestimmte Bedingung für die Arbeit, die die Rückgabe der Gelder am Ende der Ausführung erzwingt. Es besteht immer noch die entfernte Möglichkeit, dass ein Fehler im Bytecode des Vertrags oder auf einer tieferen Ebene in der EVM [Ethereum Virtual Machine] gefunden wird, der es einem Angreifer ermöglichen könnte, diese Bedingung zu umgehen.

Während die DeFi-Bewegung versucht, die traditionellen Finanzen in großem Umfang zu stören, öffnen die ersten Tage die Tür für anonyme Akteure, die die Störenfriede destabilisieren können, sagte Qureshi weiter:

Mit Blitzkrediten brauchen Angreifer keine Haut mehr im Spiel zu haben. Blitz-Kredite verändern die Risiken für einen Angreifer wesentlich.

Durch Drücken des Reset-Knopfes bei den Incentives sind Blitz-Kredite ein Wendepunkt, der neue Herausforderungen mit sich bringt. Fügt Qureshi hinzu,

Ich glaube, dass Blitz-Kredite eine große Sicherheitsbedrohung darstellen. Aber Blitzdarlehen werden nicht verschwinden, und wir müssen sorgfältig darüber nachdenken, welche Auswirkungen sie auf die zukünftige Sicherheit der DeFi haben werden.