Sicherheit

DeFi mit Schwächen – bZx Protokoll zwischen Exploit und Zentralisierung

Ethereum dForce
© Michaela Richter, Bitcoin Kurier

Lesedauer für den Artikel: 3 Minuten

bZx zieht den Stecker

Am 15. Februar verkündete das Team von bZx in einem lakonischen Tweet, dass man die hauseigene Trading-Plattform Fulcrum wegen Wartungsarbeiten ausschalten musste. Noch am gleichen Tag folgte eine Serie von Tweets, die den überraschenden Schritt erklärten, der tatsächlich nichts mit einer Wartung zu tun hatte.

Bei bZx handelt es sich um ein Protokoll, welches Trading und Lending in einem Smartcontract realisiert. Allerdings musste das bZx Team feststellen, dass einige unerwünschte Aktivitäten stattfanden. Doch was war geschehen?

Nach bisherigen Kenntnisstand ist es einer Person gelungen das System auszunutzen, ohne die Regeln des Smartcontracts außer Kraft zu setzen. Dies wirft die Frage auf, ob es sich nun um einen echten Angriff im Sinne eines Exploits handelt oder ob bZx die entsprechenden Regeln nicht hinreichend durchdacht hat. 

Anzeige

The Big Short

Ein Trader lieh sich zunächst eine große Summe wBTC, die er wiederum durch ein Flash Loan finanzierte. Bei wBTC handelt es sich um ein ERC-20 Token auf der Ethereum-Blockchain, welcher – ähnlich wie bei einem Stablecoin – mit Bitcoin gedeckt ist. Da die Märkte für wBTC nur über geringe Liquidität verfügen, eröffnete er eine Shortposition mit Hebel.

Gleichzeitig verkaufte er aber den anderen Teil der geliehenen Summe rapide am Spotmarkt ab, wodurch der Preis für wBTC einbrach, was seine Shortposition wiederum extrem profitabel machte. Dadurch gewann er am Ende eine sehr hohe Summe Geld, die es ihm ebenfalls möglich machte die ursprünglich geliehene Summe zurückzuzahlen.

Insgesamt blieben nach der Aktion noch 350.000 US-Dollar an Profit übrig. Besonders bemerkenswert: Alles geschah innerhalb nur einer einzigen Transaktion! Hier scheiden sich nun die Geister, ob man diese Vorgehensweise nun als Exploit oder als geschickte Arbitragemöglichkeit einstufen sollte.

Admin Key stellt DeFi auf den Kopf

Doch das Team von bZx ist nicht vollständig hilflos, denn es verfügt über einen Admin Key. Damit ist es nun möglich, in den Smartcontract einzugreifen und dafür zu sorgen, dass Teile des Vermögens des vermeintlichen Angreifers wieder ihren Weg zurückfinden, so dass er seinen Profit nicht behält.

Das Team versicherte, dass alle Nutzereinlagen sicher sind, und betonte, dass grade die Verleiher guten Gewinn gemacht hätten, weil durch den Kredit des Angreifers die Zinsen gestiegen sind. Gleichzeitig rückt das Eingreifen der Admins aber DeFi in ein schlechtes Licht.

Denn das Argument soll ja grade die Dezentralität des Systems sein, welches nun einen zentralisierten Eingriff zur Korrektur erlebt. Der Smartcontract soll ein Update erfahren haben, um ihn robuster zu machen, und im Laufe des heutigen Tages soll eine detaillierte Problembeschreibung durch bzX veröffentlicht werden. Auch der Handel soll bald wieder möglich sein.