Wie sicher ist DeFi? MakerDAO: Wie ein raffiniertes Botnetzwerk Ethereum-Investoren um einen Millionenbetrag erleichtert hat
David Scheider

von David Scheider

Am · Lesezeit: 4 Minuten

Dollar-Note mit Corona-Maske.

Quelle: Shutterstock

Teilen
Jetzt anhören
ETH2,250.54 $ -0.20%

Weitere Details über die Leerkäufe von CDPs (Collateralized Debt Positions) im MakerDAO-Umfeld zeigen die mangelnde Sicherheitsinfrastruktur des DeFi-Sektors. Wie ein Botnetz 8,3 Millionen US-Dollar an DeFi Collateral entwenden konnte.


8,3 Millionen US-Dollar. So beziffert ein neues Arbeitspapier der Blockchain-Analysefirma Blocknative die Höhe der Dai-Leerverkäufe, die Bots im Zuge des Krypto-Crashs vom 12. März dieses Jahres tätigen konnten. Nun kommen weitere Details über den Schwarzen Donnerstag ans Licht.


So soll das Datum für die Leerkäufe von Angreifern bewusst gewählt worden sein. Wie Blocknative schreibt, schien der Zeitpunkt denkbar günstig, da der Ethereum Mempool im Zuge des Kurssturzes völlig ausgelastet war. So konnten spezielle Trading Bots den liquidierten MakerDAO-Collateral quasi umsonst kassieren – indem sie die Gebote mit hohen Transaktionsgebühren ausstatteten und so die Konkurrenz ausstachen.

Der rasche Kurssturz führte zu einer anhaltenden Überlastung des Ethereum-Mempools […]. Eine negative Folge dieses Engpasses waren Leerkäufe für liquidierte MakerDAO-CDPs [CDP steht für Collateralized Debt Position und beschreibt eine Art Pfand für DeFi-Schuldverschreibungen, Anm. d. Red].

Das schreibt Blocknative in seinem Bericht.

Schwarzer Donnerstag: Die Ethereum Blockchain gerät ins Taumeln

Die Kausalkette, die DeFi-Investoren über acht Millionen US-Dollar kostete, lässt sich grob so rekonstruieren: Nachdem sich der ETH-Kurs am 12. März von 194 US-Dollar auf 110 US-Dollar fast halbierte, war der Mempool kurzzeitig völlig ausgelastet. Mit einem Kursverlust von 43 Prozent war der Schwarze Donnerstag damit einer der schwärzesten (beziehungsweise rotesten) Tage in der Geschichte der Smart-Contract-Plattform.

ETH-Kurs im Zeitraum zwischen dem 9. Februar und dem 18. März 2020. Quelle BTC-ECHO.

Diese Auslastung des Mempools (dabei handelt es sich zum die Registry, in der unbestätigte Transaktionen landen) führte zu einem ruckartigen Anstieg der Transaktionsgebühren. Dies wieder verhinderte, dass die Auktionen für liquidierte Dai-Positionen erwartungsgemäß abliefen.

In anderen Worten: Die Liquidation der CDPs verstopfte den Mempool derart, dass der Handel mit selbigen kaum noch funktionierte. Normalerweise sorgen sogenannte Keeper Bots für faire Auktionen auf der ETH-Blockchain und setzen automatisierte Gegenangebote zu Leerkäufen (zero bids).


Kampf der Blockchain Bots

Nicht so am 12. März. Denn die Verstopfung des Mempools verhinderte ein Platzieren von Gegenangeboten durch die Keeper Bots. Der Marktplatz für MAKER-Liquidierung war de facto ausgesetzt und Leerkäufe konnten Dai zum Nulltarif ergattern.

Als jedoch die Miner aufgrund von Netzwerküberlastung und Mempool-Komprimierung Transaktionen mit einer ungewöhnlich hohen Rate abwarfen, wurden viele Keeper-Transaktionen durch festgefahrene Transaktionen nachteilig beeinflusst und somit bei der erfolgreichen Platzierung von Gegengeboten bei der CDP-Abwicklungsauktion in der Blockchain verzögert.

Blocknative-Bericht

Doch damit nicht genug. Offensichtlich waren die Angreifer derart gut auf den Schwarzen Donnerstag vorbereitet, dass sie auf die Hilfe von sogenannten Hammerbots setzen konnten. Dabei handelt es sich um Bots, die den Mempool absichtlich mit Transaktionen verstopfen. Dem Inhalt des Papers zufolge nahmen die Hammerbots dabei so viel Platz im Mempool in Anspruch, dass konkurrierende Transaktionen (eben die der Keeper Bots) ausgebootet wurden.

Zudem verhinderte die Mempool-Verstopfung, dass Trader ihren Collateral rasch nachfüllen konnten. Schließlich war ein Großteil der DeFi-Positionen aufgrund des ETH-Kurstaumelns deutlich undercollateralized – und wurden daher überhaupt erst liquidiert.

Ist Maker noch zu retten?

Der ganze Zwischenfall ist für Maker äußerst peinlich. Obwohl man das Vorgehen der Angreifer durchaus als durchdacht bezeichnen kann, offenbart es doch Lücken in der Sicherheitsinfrastruktur der DeFi-Plattform. Das Vertrauen der Anleger könnte Schaden erlitten haben.

Ob MakerDAO und der USD-Stable-Coin Dai (der während der Kurskapriolen übrigens zeitweise bei 1,12 US-Dollar handelte) noch zu retten ist, werden die nächsten Schritte von Maker entscheiden. Das Unternehmen hat bereits angekündigt den Zeitraum, während dem Keeper Bots Auktionsgebote platzieren können, von zehn Minuten auf sechs Stunden zu erhöhen. Damit dürften die Möglichkeiten für Leerkäufe deutlich zurückgehen.

Zunächst muss sich das Unternehmen indes vor Gericht verantworten.


Teilen
Die aktuellsten News kostenlos per E-Mail
Ich stimme zu, dass meine E-Mail-Adresse für den Versand des Newsletters gespeichert und verarbeitet wird. Weitere Hinweise

1. Ausgabe kostenlos testen

Das Bitcoin & Blockchain Magazin

1. Ausgabe kostenlos testen

Das führende Bitcoin & Blockchain Szene Magazin

In Print und Digital verfügaber

Neue Investmentchancen verstehen und ergreifen

Jeden Monat über 60 Seiten Insights, Analysen, KnowHow

Streng limitiert

Kostenlose Ausgabe testen oder gratis Prämie sichern

BTC-ACADEMY