Kompakt:
- Erneut wurde ein DeFi Protokol Opfer eines Exploits. Balancer verlor Token im Wert von 500.000 US-Dollar.
- Die Attacke erinnert an den bZx Exploit, denn auch im Fall von Balancer führte der Angreifer mehrere Aktionen in einem Zug aus.
Erneut verliert ein DeFi-Protokoll Geld und erneut führte der Angreifer mehrere Aktionen vermittels Smart Contract gleichzeitig aus. Auch dieses Mal startete der Angriff mit einem sogenannten „Flash Loan“.
Damit kann man sich im Prinzip Geld leihen, ohne eine Sicherheitsleistung zu erbringen, weil die Summe am Ende der Transaktion direkt zurückgezahlt wird. Durch einen anschließenden Swap zwischen verschiedenen Token, den der Angreifer mehrfach wiederholte, gelang es ihm Zug um Zug, immer mehr Token aus dem Pool abzuziehen.
Bisherigen Analysen zufolge war der Angriff sehr gut geplant und der Angreifer soll über ein tiefgreifendes Verständnis für DeFi Protokolle und Smart Contracts verfügen. Zusätzlich verwendete er einen Mixer, um zu verschleiern, woher die Ether-Token stammen, welche er zur Erstellung des Smart Contracts benötigte.
Starte jetzt mit OKX und sichere dir als Neukunde 20 € in Bitcoin als Bonus! Innerhalb von 14 Tagen nach Registrierung einen Krypto-Kauf von mindestens 200 € in einer Transaktion tätigen und anschließend 30 Tage lang ein Kontoguthaben von mindestens 200 € halten. Teilnahmebedingungen gelten.
Exploit trotz Audits
Laut Balancer wurden mit dem Protokoll bereits zwei Audits erfolgreich durchgeführt. Ein drittes ist in naher Zukunft geplant. Leider fiel die Lücke, welche den gestrigen Exploit ermöglichte, dabei anscheinend nicht auf.
Aber es gibt auch kritische Stimmen, die darauf hinweisen, dass die Lücke bekannt gewesen sei, aber Balancer nicht auf entscheidende Hinweise eingegangen ist. Angeblich wurden diese Erkenntnisse durch ein Bug-Bounty-Programm gewonnen.
Mit dieser Kritik geht der Vorwurf an Balancer einher, den Finder der Lücke nicht entlohnt zu haben. Ob dieser Aspekt Hinweise auf den möglichen Täter geben könnte ist rein spekulativ, hat aber eine gewisse Attraktivität, weil hier ein Motiv besteht und das notwendige Fachwissen vorliegt. Gleichermaßen könnte aber auch jeder andere Programmierer die Lücke entdeckt haben.
DeFi: Zu kompliziert und zu unsicher
Damit behält DeFi seinen problematischen Touch. Die eigentlichen DeFi-Protokolle weisen eine hohe Komplexität auf. Viele Anleger sind nicht in der Lage zu verstehen, wie die jeweiligen Verträge im Detail funktionieren.
Zusätzlich befürchten viele Marktbeobachter, dass die DeFi-Blase bald platzen könnte. Denn die Wertsteigerung der jeweiligen Protokolle erfolgte in einem rasanten Tempo. Zusammen mit den Sicherheitsproblemen hat der relativ junge Markt also gleich an drei Fronten zu kämpfen.
