Über Nacht wurde die beliebte Stablecoin-DEX Curve Finance von einem Fels in der Brandung zur tickenden Zeitbombe für den restlichen Sektor. Der Grund: ein Exploit der Smart Contract Software Vyper, welcher auf der Plattform bisher für gut 100 Millionen US-Dollar Schaden sorgte. Curve Finance ist Dreh- und Angelpunkt der Branche und sorgt nun für einen Domino-Effekt. Das tatsächliche Ausmaß des Angriffs beginnt sich dabei gerade erst zu offenbaren.
Curve Crunch
Mehr als 45 Millionen US-Dollar sind aus Liquiditätspools einiger Drittanbieter geflossen, weitere 25 Millionen direkt aus dem CRV/ETH-Pool des Curve Protokolls. Dem DeFi-Giganten droht die Liquidität auszugehen. Auf Liquiditätsmangel folgt Volatilität. Einige dezentrale Börsen zeigen bereits einen massiven Sturz des CRV-Kurses, mancherorts sogar auf glatt null. Auf zentralisierten Börsen fiel der Kurssturz gemäßigter aus, wenngleich es auch dort zweistellig gen Süden ging.
Indes befinden sich noch mehrere Millionen Curve Token in den Händen der Angreifer, weshalb die Gefahr weiterer Abverkäufe noch nicht abgewendet ist. Ein großes Risiko stellen in diesem Zusammenhang die Lending-Positionen des Curve-Gründers Michael Egorov dar. Mit 180 Millionen US-Dollar an CRV als Sicherheit, zählt er derzeit Kredite im Wert von 60 Millionen US-Dollar. Massive Rückzahlungen seinerseits sollen eine Liquidierung seiner Assets verhindern. Fällt der CRV-Preis jedoch weit unter 0,40 US-Dollar, gehen für ihn die Lichter aus.
Egorovs Wettlauf gegen die Zeit versetzt andere Lending-Protokolle in Panik. Die bestehende Liquidität auf den gängigen Plattformen scheint nicht auszureichen, um die Verkäufe Egorovs zu absorbieren. Besonders auf Aave, flüchten Trader in Stablecoins, was die Zinssätze für das Borrowing massiv ansteigen lässt. Wer USDT, USDC oder DAI ausleihen will, zahlt so teilweise bis 93 Prozent Zinsen. Das wiederum übt Druck auf die Positionen Egorovs aus und beschleunigt seine Liquidierung. Bleiben die Lending Protokolle auf seinen Schulden sitzen, müssen sie aus eigenen Versicherungsfonds Vermögen verkaufen, was den Abwärtsdruck der jeweiligen Token verstärken würde. Im schlimmsten Fall droht ihnen die Insolvenz.
Massaker am DeFi-Markt?
Ausgerechnet am Wochenende von Ethereums achtjährigem Jubiläum steht der sonst so robuste DeFi-Sektor einer Kettenreaktion gegenüber, wie es sie womöglich seit des Terra-Kollapses nicht gab. In Rekordzeit droht sich die Liquidität zahlreicher Protokolle zu verflüchtigen. Allein bei Curve sank das Total-Value-Locked binnen 24 Stunden um 50 Prozent. Trader ziehen ihre Gelder aus Furcht vor einem Kollaps oder weiteren Angriffen ab.
Selbst das Curve Team fordert DeFi-Nutzer auf, die betroffenen Liquiditätspools zu verlassen, bis die Situation unter Kontrolle ist. Laut offiziellen Angaben sei der Angriff auf nur vier Curve Pools von Ethereum beschränkt. Doch ist die Plattform unter anderem auch auf dessen Layer-2-Lösung Arbitrum zu Hause. Neuen Informationen zufolge soll auch der “Tricrypto”-Pool, bestehend aus ETH, wBTC und USDC betroffen sein. Dies ist jedoch noch nicht bestätigt.
Sofern keine weiteren Liquiditätspools betroffen sind, könnte sich die Situation wieder stabilisieren. Laut Angaben des Curve Teams befinden sich mehrere Millionen US-Dollar in den Händen von Angreifern mit guten Intentionen – sogenannte “White-Hat-Hacker”. Damit wäre ein Teil des Diebesguts zu bergen. Auch konnten einige Blockchain-Bots große Mengen CRV-Token von Angreifern abfangen.
Doch das Risiko einer Ansteckung wiegt weiter schwer. Frax, Aave und Co. befinden sich noch immer in Alarmbereitschaft, während Plattformen wie Alchemix ihre Smart Contracts bereits ausgesetzt haben. Nutzern wird daher empfohlen, in den kommenden Tagen nicht mit dezentralen Lending-Plattformen zu interagieren. Der DeFi-Sektor hält indes weiter den Atem an.