Wie sicher ist DeFi? MakerDAO: Wie ein raffiniertes Botnetzwerk Ethereum-Investoren um einen Millionenbetrag erleichtert hat

David Scheider

von David Scheider

Am · Lesezeit: 4 Minuten

David Scheider

Kryptowährungen sind Davids Leidenschaft. Deshalb studiert er jetzt Digital Currency an der Universität Nicosia – und schreibt nebenher für BTC-ECHO. Von Bitcoin hält David einiges, vom allgemeine Hype um die Blockchain-Technologie eher weniger.

Teilen
Dollar-Note mit Corona-Maske.
Jetzt anhören
ETH406.48 $ 3.31%

Weitere Details über die Leerkäufe von CDPs (Collateralized Debt Positions) im MakerDAO-Umfeld zeigen die mangelnde Sicherheitsinfrastruktur des DeFi-Sektors. Wie ein Botnetz 8,3 Millionen US-Dollar an DeFi Collateral entwenden konnte.


8,3 Millionen US-Dollar. So beziffert ein neues Arbeitspapier der Blockchain-Analysefirma Blocknative die Höhe der Dai-Leerverkäufe, die Bots im Zuge des Krypto-Crashs vom 12. März dieses Jahres tätigen konnten. Nun kommen weitere Details über den Schwarzen Donnerstag ans Licht.


So soll das Datum für die Leerkäufe von Angreifern bewusst gewählt worden sein. Wie Blocknative schreibt, schien der Zeitpunkt denkbar günstig, da der Ethereum Mempool im Zuge des Kurssturzes völlig ausgelastet war. So konnten spezielle Trading Bots den liquidierten MakerDAO-Collateral quasi umsonst kassieren – indem sie die Gebote mit hohen Transaktionsgebühren ausstatteten und so die Konkurrenz ausstachen.

Der rasche Kurssturz führte zu einer anhaltenden Überlastung des Ethereum-Mempools […]. Eine negative Folge dieses Engpasses waren Leerkäufe für liquidierte MakerDAO-CDPs [CDP steht für Collateralized Debt Position und beschreibt eine Art Pfand für DeFi-Schuldverschreibungen, Anm. d. Red].

Das schreibt Blocknative in seinem Bericht.

Schwarzer Donnerstag: Die Ethereum Blockchain gerät ins Taumeln

Die Kausalkette, die DeFi-Investoren über acht Millionen US-Dollar kostete, lässt sich grob so rekonstruieren: Nachdem sich der ETH-Kurs am 12. März von 194 US-Dollar auf 110 US-Dollar fast halbierte, war der Mempool kurzzeitig völlig ausgelastet. Mit einem Kursverlust von 43 Prozent war der Schwarze Donnerstag damit einer der schwärzesten (beziehungsweise rotesten) Tage in der Geschichte der Smart-Contract-Plattform.

ETH-Kurs im Zeitraum zwischen dem 9. Februar und dem 18. März 2020. Quelle BTC-ECHO.

Diese Auslastung des Mempools (dabei handelt es sich zum die Registry, in der unbestätigte Transaktionen landen) führte zu einem ruckartigen Anstieg der Transaktionsgebühren. Dies wieder verhinderte, dass die Auktionen für liquidierte Dai-Positionen erwartungsgemäß abliefen.

In anderen Worten: Die Liquidation der CDPs verstopfte den Mempool derart, dass der Handel mit selbigen kaum noch funktionierte. Normalerweise sorgen sogenannte Keeper Bots für faire Auktionen auf der ETH-Blockchain und setzen automatisierte Gegenangebote zu Leerkäufen (zero bids).

Kampf der Blockchain Bots

Nicht so am 12. März. Denn die Verstopfung des Mempools verhinderte ein Platzieren von Gegenangeboten durch die Keeper Bots. Der Marktplatz für MAKER-Liquidierung war de facto ausgesetzt und Leerkäufe konnten Dai zum Nulltarif ergattern.

Als jedoch die Miner aufgrund von Netzwerküberlastung und Mempool-Komprimierung Transaktionen mit einer ungewöhnlich hohen Rate abwarfen, wurden viele Keeper-Transaktionen durch festgefahrene Transaktionen nachteilig beeinflusst und somit bei der erfolgreichen Platzierung von Gegengeboten bei der CDP-Abwicklungsauktion in der Blockchain verzögert.

Blocknative-Bericht

Doch damit nicht genug. Offensichtlich waren die Angreifer derart gut auf den Schwarzen Donnerstag vorbereitet, dass sie auf die Hilfe von sogenannten Hammerbots setzen konnten. Dabei handelt es sich um Bots, die den Mempool absichtlich mit Transaktionen verstopfen. Dem Inhalt des Papers zufolge nahmen die Hammerbots dabei so viel Platz im Mempool in Anspruch, dass konkurrierende Transaktionen (eben die der Keeper Bots) ausgebootet wurden.

Zudem verhinderte die Mempool-Verstopfung, dass Trader ihren Collateral rasch nachfüllen konnten. Schließlich war ein Großteil der DeFi-Positionen aufgrund des ETH-Kurstaumelns deutlich undercollateralized – und wurden daher überhaupt erst liquidiert.

Ist Maker noch zu retten?

Der ganze Zwischenfall ist für Maker äußerst peinlich. Obwohl man das Vorgehen der Angreifer durchaus als durchdacht bezeichnen kann, offenbart es doch Lücken in der Sicherheitsinfrastruktur der DeFi-Plattform. Das Vertrauen der Anleger könnte Schaden erlitten haben.

Ob MakerDAO und der USD-Stable-Coin Dai (der während der Kurskapriolen übrigens zeitweise bei 1,12 US-Dollar handelte) noch zu retten ist, werden die nächsten Schritte von Maker entscheiden. Das Unternehmen hat bereits angekündigt den Zeitraum, während dem Keeper Bots Auktionsgebote platzieren können, von zehn Minuten auf sechs Stunden zu erhöhen. Damit dürften die Möglichkeiten für Leerkäufe deutlich zurückgehen.

Zunächst muss sich das Unternehmen indes vor Gericht verantworten.

Anzeige

Krypto-Arbitrage: Geringes Risiko - Hohe Rendite

Verdienen Sie ein passives Einkommen mit der verzinslichen Geldbörse von ArbiSmart und dem vollautomatischen Crypto Arbitrage-Handelssystem. Profitieren Sie von einer EU-lizenzierten und regulierten Plattform, die Anlagen mit einer Rendite zwischen 10,8% und 45% pro Jahr bietet.

Mehr erfahren

Anzeige


Teilen

Die aktuellsten News kostenlos per E-Mail

Ich stimme zu, dass meine E-Mail-Adresse für den Versand des Newsletters gespeichert und verarbeitet wird. Weitere Hinweise

Kryptokompass #40

Der Finanzmarkt im Fegefeuer

Polkadot (DOT)

Der Brückenbauer für das Internet von Morgen

Peter Großkopf

Der Blockchain CTO oder „der Banker mit Mütze“

Bitcoin.de

Der Bitcoin-Marktplatz Made in Germany

BTC-ACADEMY

Kryptowährungen einfach handeln

Plus500 der führende CFD Anbieter

  • Direkt mobil handeln
  • Einzahlung per Kreditkarte oder PayPal
  • Bitcoin,Ether,IOTA,Ripple, uvm.
  • inkl. Demokonto

76,4% der Kleinanlegerkonten verlieren Geld beim CFD Handel mit diesem Anbieter