Kompakt:
- Belt Finance wurde zum Ziel einer Flash-Loan-Attacke.
- Dadurch kam es zu einem Verlust von rund 50 Millionen US-Dollar.
- Die Methode wurde bereits in der Vergangenheit erfolgreich von Angreifern eingesetzt.
Ein weiterer DeFi-Exploit erschüttert die BSC-Community. Und ein weiteres Mal spielte ein Flash Loan die zentrale Rolle. Gestern musste das Team von Belt Finance eingestehen, dass es am 29. Mai zu einem Vorfall gekommen war, der die Anleger um 50 Millionen US-Dollar gebracht hatte. Dabei strich der Angreifer nur etwas mehr als 6 Millionen US-Dollar ein. Der Rest ging für Gebühren drauf und ist nun Teil des Verlusts der Anleger.
Bei einem Flash Loan kann man sich extrem hohe Summen unter der Voraussetzung leihen, dass man sie noch in der gleichen Transaktion zurückzahlt. Der Angreifer nutzte diesen Mechanismus, um Lücken in der Strategie des Pools auszunutzen und Liquidität aus ihm abzusaugen. In dem vorliegenden Fall traf es den beltBUSD-Pool, der in kurzer Zeit achtmal hintereinander zum Ziel wurde.
Als Reaktion stoppten die Entwickler sämtliche Ein- und Auszahlungen, um weiteren Schaden zu verhindern. Nun will man weitere Audits durchführen lassen, um auszuschließen, dass sich ein solcher Vorfall in Zukunft wiederholen könnte. Außerdem arbeitet man angeblich an einem Plan, um die Betroffenen zu entschädigen.
Von Ethereum kopiert und doch nichts gelernt?
Zum Start der Binance Smart Chain und des hauseigenen DeFi-Ökosystems musste die Börse viel Kritik einstecken. Ein Teil konzentrierte sich auf die Frage, ob die BSC auch dezentral ist und ein anderer prangerte an, dass die viele DeFi-Produkte schlichte Kopien dessen waren, was man bereits auf Basis von Ethereum entwickelt hatte.
Tatsächlich war der Aufstieg des auf Ethereum basierenden DeFi-Ökosystem im Jahr 2020 von sehr ähnlichen Exploits begleitet. Das lässt den Verdacht aufkommen, dass es man schlicht die alten Fehler übernommen hat, doch ganz so einfach ist es am Ende nicht. Denn auch im Fall von Belt Finance greifen mehrere Smart Contracts ineinander und bilden ein komplexes Geflecht. Und auch bei diesem wie allen anderen Exploits, war das Zusammenspiel der verschiedenen dezentralen Finanzprodukte das eigentliche Ziel des Angreifers.
Es ist daher davon auszugehen, dass DeFi in dieser Hinsicht immer ein Restrisiko haben wird und zwar unabhängig von der jeweiligen Chain. Selbst dann, wenn ein Protokoll auditiert wurde, sind das keinerlei Garantien für interessierte Anleger.