Weil es so schön war... Zweiter Exploit bei DeFi-Plattform bZx

Die erst vor wenigen Tagen angegriffene DeFi-Plattform wurde Opfer eines zweiten Angriffs. Wieder sind knapp 3.000 ETH entwendet worden. Was bedeutet das für DeFi?

Dr. Philipp Giese
Teilen
Und wieder ein Exploit bei bZx

Beitragsbild: Shutterstock

Bewahrheiten sich die Bedenken der DeFi-Kritiker? bZx wurde vor nicht einmal einer Woche Opfer eines Exploits. Man fragt sich, ob das Team hinter bZx und Fulcrum überhaupt etwas gelernt hat, ähnelt der neue Angriffsvektor doch sehr stark dem schon bekannten: Wieder nahm alles einen Anfang mit einem Flash Loan, diesmal über 7.500 ETH. Knapp die Hälfte davon verwendeten die Angreifer auf Synthetix zum Erwerb von 940.000 US-Dollar in sUSD. Mit 900 ETH wurde der Kurs von sUSD an den dezentralen Börsen Kyber und Uniswap auf über 2 US-Dollar manipuliert.

Allein damit haben die Angreifer sich schon sehr viel Geld erwirtschaftet, jedoch ging es weiter: Mit der großen Menge an sUSD, deren Kurs gerade deutlich über einem US-Dollar lag, liehen sich die Angreifer nun knapp 7.000 ETH. Man verwendete das Geld, um den Flash Loan zurückzuzahlen – und mit einem Profit von knapp 3.000 ETH den Coup abzuschließen.

Für den ETH Pool von bZx bedeutete das, dass er wieder weiter zurückging. Umgerechnet flossen 1,8 Millionen US-Dollar aus diesem Liquiditätspool. Immerhin konnte sich bZx über eine neue Liquidität bei dem sUSD Pool freuen – diese stieg um 1,1 Millionen US-Dollar. Insgesamt machte bZx nach Adam Riese noch einmal knapp 700.000 US-Dollar Verlust.

Der Kampf um die letzten Ether Token

Zynisch könnte man sagen: Für jene, die immer noch bZx die Treue halten und Ether einlagern, lohnt sich das Investment. Zinsraten von über 40 Prozent sind selbst im DeFi-Bereich eine Besonderheit:

https://twitter.com/ChrisBlec/status/1229795100508741633

Man kann sich aber den Bedenken von Chris Blec anschließen: Ein derartiges Investment wäre mit einem nicht zu akzeptierenden Risiko behaftet. Aktuell sollte man die Finger von bZx lassen. Die Ether-Reserven von bZx liegen brach. Andere Anleger wollen aktuell sicherlich ihre Gelder abziehen. Entsprechend wäre das zusätzliche Kapital, welches ein risikofreudiger Anleger investiert, schnell wieder weg. Der Anleger müsste auf wieder einfließende Geldmengen warten. Und da die Reputation von bZx aktuell stark angeschlagen ist, kann das dauern. Nicht zuletzt, weil wieder die Plattform Fulcrum pausiert wurde.

Wofür steht das De in DeFi?

Bei den jüngsten Entwicklungen ist es nachvollziehbar, dass die Kritik gegenüber DeFi auf Twitter allgegenwärtig ist. Zum einen entbehrt es nicht einer gewissen Komik, wenn dieselbe Plattform innerhalb weniger Tage zweimal so vorgeführt wird. Zwar könnte man sagen, dass die Exploits eben nicht durch eine wirkliche Sicherheitslücke zustandekamen. Kein Oracle wurde korrumpiert und kein Admin Key ausgenutzt. Die Kehrseite dieses Verteidigungsversuchs ist jedoch, dass, streng genommen, die Handelsaktionen des Angreifers als ein legitimer Handel betrachtet werden könnten. Die Angriffe zeigen auf eine sehr drastische Weise die Folgen einer fehlenden Liquidität auf den DeFi-Märkten. Solange diese nicht dramatisch ansteigt oder DeFi-Protokolle durch strengere Regeln entsprechende Aktionen untersagen, kann Derartiges auch auf anderen Plattformen geschehen.

„Entsprechende Aktionen untersagen“ liefert auch das nächste Stichwort für die auf Twitter & Co. präsente Kritik. Wie dezentral sind denn überhaupt Projekte wie bZx & Co., wenn sie mit einem Admin Key das ganze Decentralized-Finance-Projekt anhalten können? Ist DeFi am Ende nicht einfach etwas wie IOTA mit einem zentralen Coordinator?

Hier muss jedoch zwischen dem einzelnen Projekt und dem DeFi-Ökosystem in seiner Gesamtheit unterschieden werden. Sicher, auch MakerDAO ist wie eigentlich alle anderen großen DeFi-Projekte bisher zentral. Es wäre in dem Zusammenhang sehr spannend, die Entwicklung eines wirklich dezentralen DeFi-Projekts zu sehen. Zumindest die bekannten können das bisher nicht über sich sagen.

Etwas anderes gilt jedoch für den DeFi-Sektor in seiner Gesamtheit: Dieser ist per definitionem dezentral. Auch die Angriffe auf bZx zeigten das – wenn freilich auf eine negative Weise. Die Interaktion zwischen bZx, Kyber, Uniswap und Synthetix ist ein Beispiel für die Wechselwirkungen in diesem Ökosystem. Dieses Zusammenspiel unterschiedlicher DeFi-Anwendungen ist das wirklich Dezentrale.

Nach bZx: Neues Risikomanagement für DeFi

Sicher, durch diese Dezentralität werden die Systeme nur noch komplexer. Es reicht nicht mehr aus, die eigenen Smart Contracts zu auditieren oder über die OPSec um einen etwaigen Admin Key nachzudenken. Möglichkeiten der Interaktion mit anderen Projekten gehören abgeschätzt. Ebenso werden sich Entwickler Systeme überlegen müssen, wie man aktuell mit der geringen Liquidität umgehen kann. Das Problem ist nämlich, dass aktuell genügend Kapital zum Kippen der DeFi-Märkte vorhanden ist. Die Exploits von bZx waren in dieser Hinsicht ein Menetekel.

Trotz oder gerade wegen dieser Risiken ist das DeFi-Ökosystem ein sehr spannendes System. In diesem kann die Interaktion innerhalb dezentraler, komplexer Verflechtungen aus verschiedenen Anwendungen studiert werden. Das Wissen daraus wird nicht nur DeFi erstarken lassen, sondern allgemein allen Wechselspielen zwischen dezentralen Anwendungen gut tun. So schmerzlich es aktuell für bZx sein mag: Dies wird DeFi und der gesamten Krypto-Szene helfen.

Du willst Bitcoin Cash (BCH) kaufen oder verkaufen?
Wir zeigen dir in unserem Leitfaden, wie und wo du einfach und seriös echte Bitcoin Cash (BCH) kaufen kannst.
Bitcoin Cash kaufen