Am Morgen des 15. Februar gab es für Nutzer des DeFi-Lending-Protokolls bZx eine unangenehme Überraschung: Das Team hinter dem Protokoll schrieb einen knappen Tweet:
https://twitter.com/bzxHQ/status/1228555300971655168
Die Details kamen und waren noch etwas unangenehmer. Angreifer konnten über Nacht eine Sicherheitslücke in den Smart Contracts des DeFi-Projekts ausnutzen und so 3.300 ETH entwenden. Nach aktuellem Ether-Kurs entspricht das einer Summe von fast 880.000 US-Dollar.
Die Governance von bZx handelte prompt und schloss bis auf Weiteres die Trading-Plattfrom Fulrum. Ebenso wurde das Lending pausiert. und der Smart Contract hinter bZx geupdatet. Es sieht also danach aus, als wäre das Problem behoben worden.
Doch was genau ist geschehen? Der Entwickler Julien Bouteloup stellte dies in einem Tweet recht übersichtlich dar:
~353k net profit using 'Sophisticated' arb on Fulcrum @bzxHQ
1.he took $2.7M Flash loan.@dydxprotocol 10kETH
2.put 5.5k ETH @compoundfinance, borrowed 112 WBTC
3.short WBTC on bzx #sETHwBTC5x
4.dumped 112 wBTC on #KyberUniswap to trigger short(oasis?)
5.Paid back loan
6.profit https://t.co/NRHM7NnAGK pic.twitter.com/11YWpUZe0o— Julien Bouteloup – bneiluj.eth (@bneiluj) February 15, 2020
Der Angriff war insgesamt interessant, da verschiedene ineinander greifende Instrumente aus dem Decentralized-Finance-Bereich genutzt wurden. Die Angreifer haben sich über die DeFi-Plattform dydx einen sogenannten Flash Loan über 10.000 ETH geliehen. 5.000 ETH haben sie auf Compound dazu verwendet, 112 wBTC (mit Bitcoin gedeckte ERC-20 Token) zu leihen. Auf bZx haben sie nun Bitcoin mit einem Hebel von 5 geshortet. Schließlich haben sie die 112 wBTC auf der DEX Kyber verkauft. Die wBTC-Märkte sind für ihre geringe Liquidität bekannt, sodass durch diesen Verkauf der wBTC-Kurs bezüglich Ethereum dramatisch fiel.
Mit dem gemachten Gewinn konnten die Angreifer nicht nur den Flash Loan zurückzahlen, sondern zusätzlich einen großen Profit machen. Interessant ist dabei, dass der ganze Angriff in einer einzelnen Transaktion geschah – und an Transaktionsgebühren nicht einmal 10 US-Dollar kostete.
Anlagen der bZx-Nutzer sind sicher
Die Entwickler von bZx betonten schließlich noch, dass die Anlagen der Nutzer weiterhin sicher wären. Diese Anlagen wurden, so das Team hinter bZx, nicht berührt. Tatsächlich hat sich der Angriff für jene, die Ether verleihen, sogar gelohnt, hat sich durch den Angriff aktuell ja die Zinsrate für Ethereum geändert. Entsprechend rät das Team dazu, Ruhe zu bewahren.
Gemäß defipulse ist bZx selbst nach dem Angriff noch das achtgrößte Decentralized-Finance-Projekt. Entsprechend schlug dieser Exploit hohe Wellen. Kritiker des DeFi-Ökosystems sahen in dem Angriff, vor allem im Pausieren des Smart Contracts hinter bZx, ihre Bedenken bestätigt. Alex Bosworth, Infrastructure Lead bei Lightning Labs, sah darin ein Beispiel, wie wenig dezentral DeFi-Projekte tatsächlich sind:
If your “defi” project has an admin key or a coordinator, a set of oracles, a group of validators or cosigners, a default trusted keys list, even if you “have plans to phase it out”, what you are actually doing is running a financial service. In other words you actually have no d
— Alex Bosworth (@alexbosworth) February 15, 2020
Doch auch Freunde von Projekten wie MakerDAO oder eben bZx wiesen auf die inhärenten Risiken im DeFi-Ökosystem hin. Ebenso betonte Bosworth, dass diese Art des Angriffs schon bekannt war. Im September 2019 wies Sam Sun, seines Zeichens Auditor von Smart Contracts, auf eine ähnliche Sicherheitslücke hin. Leider wurde anscheinend zu wenig getan, um die Sicherheitslücke zu schließen.
Was heißt der bZx-Exploit für DeFi?
Zunächst einmal gilt wie bei allen Anlagen im Krypto-Bereich, dass Anleger das Risiko nicht unterschätzen sollten. Niemand sollte mehr Geld investieren, als er verlieren kann. Das liegt nicht einfach an der Volatilität von Bitcoin & Co., sondern eben auch an möglichen Unsicherheiten. Decentralized Finance hat jedoch noch weitere Besonderheiten. Zwar sind DeFi-Projekte, anders als ihre zentralisierten Counterparts dank der teilweise vorhandenen Dezentralität etDewas transparenter, aber der Satz Not your keys, not your coins gilt eben auch hier. Die Verwalter von einem Großteil der DeFi-Projekte verfügen über besondere Zugänge und können so Kontrolle über die zugrunde liegenden Smart Contracts ausüben. Es bleibt abzusehen, wie dezentral Projekte wie bZx in Zukunft sein werden. Bis dahin muss jeder an DeFi interessierte ein strenges Risikomanagement durchführen. Ein guter Anfang dafür ist die von DeFi-Experten Chris Blec zusammengestellte Übersicht.
