Bieten Schwachstellen im dezentralen Finanzwesen Potenziale?

Die dezentrale Finanzierung bietet ein wirklich revolutionäres Potenzial. Angesichts der relativen Unreife des DeFi-Sektors sind jedoch Verwundbarkeiten an der Tagesordnung. Die jüngsten Vorfälle mit der bZx veranschaulichen deutlich, wie Angreifer diese Schwächen finden und sie zum persönlichen Vorteil ausnutzen.

Es ist daher eine lohnende Übung für die Anwender, sich die Zeit zu nehmen, diese Schwachstellen zu verstehen, um eine informierte Entscheidung über die relativen Risiken zu treffen.

Sicherheit des Kontos

Wenn Benutzer in eine DeFi dApp investieren, zahlen sie im Wesentlichen Gelder in die Brieftasche eines anderen Benutzers ein. Intelligente Verträge können regeln, wie die Gelder in diesen Brieftaschen verwendet werden, aber irgendwo hat jemand die privaten Schlüssel zu dieser Brieftasche.

Anfang dieses Monats veröffentlichte Chris Blec auf seinem YouTube-Kanal ein Video, in dem er einen Überblick über die operative Sicherheit rund um die Brieftaschen, die für verschiedene DeFi dApps verwendet werden, gab. Wie Blec in dem Video betont, ist die Sicherheit der Brieftaschen

„Es gibt keine Möglichkeit, zu beweisen, dass ein Satz in einem Screenshot, der auf einem iPhone gespeichert ist, nicht enthalten ist. Wir müssen [den dApp-Betreibern] vertrauen, wenn sie sagen, dass sie es nicht ist.“

In einem Versuch, etwas Transparenz in die Angelegenheit zu bringen, untersuchte Blec die Methoden, die von DeFi-Projekten eingesetzt werden, um die Gelder vor Hackern zu schützen. Dazu gehören Maßnahmen wie Zeitschlösser und Mehrfachsignatur-Sicherheit.

Da die DeFi-Teams verständlicherweise ihre OpSec-Praktiken geheim halten, kann es jedoch für jeden Benutzer unmöglich sein, sicher zu wissen, ob die besten Maßnahmen wirklich angewendet werden. Blec erklärt zum Beispiel, dass es zwar Multisignaturen geben kann, aber es gibt keine Möglichkeit, zu überprüfen, dass eine Person nicht Zugang zu allen für eine Transaktion erforderlichen Signaturen hat.

Wie sicher ist Krypto?

Die Sicherheit der Brieftasche ist eine allgemeine Schwachstelle, die in allen DeFi und in der Kryptographie im Allgemeinen besteht. Dasselbe Risiko besteht auch bei zentralisierten Börsen.

Wenn der DeFi-Raum ausgereift ist, ist es möglich, dass die dApp-Entwickler beginnen, ähnliche Sicherheitsmaßnahmen einzusetzen, die von großen Börsen und institutionellen Verwahrern verwendet werden. Dazu gehören Hardware-Sicherheitsmodule wie Ledger’s Vault oder Mehrparteien-Berechnungen wie Fireblocks.

Nach den Untersuchungen von Blec zu urteilen, sind diese Maßnahmen jedoch noch nicht in Kraft.

Zentralisierung

Die Frage der Sicherheit der Brieftasche steht im Zusammenhang mit einem umfassenderen Thema im DeFi-Sektor, nämlich den Risiken der Zentralisierung. Trotz des Namens werden viele DeFi dApps von zentral gesteuerten Einheiten betrieben.

Die Entwicklerin Ameen Soleimani hat dies in einem Blog-Beitrag im letzten Jahr hervorgehoben und Compound als Fallstudie verwendet, um zu veranschaulichen, wie die DeFi-Benutzer in mehrfacher Hinsicht von den zentral gesteuerten Einheiten abhängig sind.

In einem Teil von Soleimanis Beitrag wurde erklärt, was viele in der Krypto-Community bereits wissen – jeder, der Zugang zum Compound-Administrationsschlüssel hat, hat die Macht, alle Ausleihpools der Plattform zu leeren.

Bei den Ausleihprotokollen gibt es jedoch noch eine weitere Sorge.

Compound verwendet eine Metrik namens „Nutzungsrate“, die den Prozentsatz der gesteckten Mittel beschreibt, die zu einem bestimmten Zeitpunkt ausgeliehen wurden. Je höher der Prozentsatz, desto größer ist das Risiko, wenn etwas passiert, das eine Liquiditätskrise auslöst. Soleimani nennt dies das „Bank-Run-Risiko“.

Wenn die Nutzungsrate bei 99% liegt und mehr als 1% der Kreditgeber ihr DAI zurückziehen wollen, dann hätte Compound nicht genügend DAI zur Verfügung, um die Rückzugsforderung zu erfüllen.

Compound begegnet diesem Risiko durch sein Zinsmodell, das sich entsprechend der Auslastungsrate anpasst. Diese Methode ist jedoch nicht unfehlbar. Im Jahr 2019 war Compound gezwungen, sein Zinsmodell zu verbessern, gerade weil die Auslastungsrate 99% erreicht hatte.

Wie Soleimani betont, sind Compound-Benutzer darauf angewiesen, dass die dApp-Betreiber diese Maßnahmen jedes Mal ergreifen, wenn die Auslastungsrate sich 100% nähert. Andernfalls besteht die Gefahr, dass die Benutzer ihre Gelder nicht abheben können.

Im vergangenen Jahr wurde auch die Handelsplattform dYdX des Vorwurfs der zentralen Kontrolle beschuldigt, als sie alle Nutzer zwang, von DAI auf SAI umzusteigen. Unabhängig davon, ob man damit einverstanden ist oder nicht, zeigen diese Vorwürfe, dass DeFi dApps in gewissem Maße der Kontrolle ihrer zentralisierten Einheiten unterliegen.

Marktmanipulation

Da DeFi derzeit nicht reguliert ist, sind die Märkte immer noch anfällig für Manipulationstaktiken. Im traditionellen Finanzsektor sind viele dieser Taktiken bekannt, aber stark reguliert.

Frontrunning

Frontrunning ist eine Taktik, die von Händlern eingesetzt wird, um auf der Grundlage von Informationen, die noch nicht öffentlich zugänglich waren, profitable Geschäfte zu machen. In Blockketten nimmt es eine etwas andere Form an. Wenn es einen Rückstand an Transaktionen gibt, die darauf warten, in einen Block einzugeben und bestätigt zu werden, werden sie im Mempool in eine Warteschlange gestellt.

Sobald sie im Mempool sind, kann jeder Händler die in die Warteschlange gestellte Transaktion sehen und mit seinem eigenen Handel einsteigen, indem er sicherstellt, dass er eine höhere Gasgebühr hat. Auf diese Weise wird er mit größerer Wahrscheinlichkeit von einem Bergmann für die Aufnahme in den nächsten Block ausgewählt als die erste Transaktion.

Es wurden mehrere Fälle von Frontrunning in DeFi gefunden. Eine 2019 von Akademikern der Cornell-Universität durchgeführte Studie ergab, dass Arbitrage-Bots „vorrangige Gasversteigerungen“ mit Ethereum-Minern durchführen, die im Wesentlichen um den höchsten Gaspreis bieten, um sicherzustellen, dass ihre Transaktionen vorrangig behandelt werden.

Die Studie hob hervor, dass Bancor und Uniswap als zwei Beispiele für DEXes anfällig für diese Art von Taktiken sind. Beide Projekte haben Maßnahmen zur Beseitigung dieses Risikos ergriffen, darunter die Festlegung einer Obergrenze für die Gasgebühren und die Möglichkeit für die Nutzer, die maximal zulässige Abweichung bei der Transaktion festzulegen. Bancor hatte Berichten zufolge auch einen Spitzenreiter als Mitarbeiter eingestellt, der ihnen bei der Lösung des Problems helfen sollte.

Auch die dezentrale Derivateplattform Synthetix ist den Frontrunner-Bots zum Opfer gefallen. Ende letzten Jahres beschuldigte ein Reddit-Benutzer namens Onyx Synthetix, sein Guthaben gelöscht zu haben. Der Benutzer hatte einen Arbitrage-Bot eingesetzt, dem es gelungen war, Schwachstellen im Frontrunning-Bereich in Höhe von 11,5 Milliarden Dollar auszunutzen.

In diesem Fall gab der Angreifer die Gelder an Synthetix zurück, nachdem das Projekt ein Kopfgeld auf Fehler angeboten hatte, aber seine Bots weiterhin zum Angriff auf das System eingesetzt hatte. Die Beziehungen wurden in der Folge sauer, als Synthetix die eigene Taktik des Händlers gegen sie anwendete, um einen der „Synth“-Marken der Plattform zu bereinigen, den Bot zu besiegen und ihren Kontostand auf Null zu reduzieren.

Oracle-Manipulation

Blockchain sind auf Orakel angewiesen, um Informationen aus externen Quellen einzuholen. In DeFi ist die größte Abhängigkeit von Orakeln die Preisinformation. Die Ethereum-Blockchain selbst bestimmt nicht den Preis der ETH, sondern die Märkte. Deshalb werden die Preisdaten mit Hilfe von Orakeln eingespeist. Das Orakel kann ein DEX wie z.B. Uniswap sein, oder der Durchschnitt mehrerer DEXes oder Börsen oder ein Orakeldienst wie Chainlink.

Eine Oracle-Manipulation wird zu einem Risiko, wenn eine DeFi dApp nur eine einzige Börse oder vielleicht sogar zwei Börsen als Orakel benutzt. Händler können die von einem Orakel bereitgestellten Kursinformationen manipulieren, indem sie eine Transaktion handeln, die groß genug ist, um den Kurs zu beeinflussen.

Je weniger Liquidität an der Börse für Bitcoin Evolution vorhanden ist, desto leichter ist es, den Preis zu manipulieren. Der Händler kann dann einen zweiten, fremdfinanzierten Handel mit dem manipulierten Preis durchführen, um sicherzustellen, dass er maximalen Gewinn erzielt.

Bei den jüngsten Angriffen auf die bZx wurden verschiedene komplexe und vielschichtige Taktiken angewandt, um Gelder von der Fulcrum-Börse abzuziehen, und die Orakelmanipulation gehörte dazu. Als Teil einer orchestrierten Serie von Geschäften manipulierte der Angreifer den Kurs des USD von Synthetix, um 6.800 ETH auf dem bZx zu leihen.

Ethereum-Abhängigkeit

Obwohl die DeFi-Infrastruktur außerhalb von Ethereum nun beginnt, sich zu entwickeln, ist es eine Tatsache, dass DeFi immer noch stark von Ethereum abhängig ist.

Die Skalierbarkeit hat sich als größte Schwäche von Ethereum erwiesen, wobei Transaktionsgeschwindigkeiten von etwa 15 TPS bereits jetzt, nach fünf Jahren, die Norm sind. Außerdem hat Ethereum angesichts der Tatsache, dass stabile Münztransaktionen den Netzverkehr dominieren, Mühe, mitzuhalten.

Das seit langem versprochene Upgrade auf ETH 2.0 kann das Problem zwar lindern oder auch nicht, aber die vollständige Implementierung scheint auf jeden Fall noch einige Jahre entfernt zu sein. Daher bleibt die Abhängigkeit von DeFi von Ethereum vorerst auf der Liste der Schwachstellen.

Die Tatsache, dass es diese Probleme gibt, ist nicht unbedingt ein Grund, vor DeFi Angst zu haben. Immerhin gibt es viele dieser Risiken auch auf den breiteren Kryptographie- und traditionellen Finanzmärkten.

Im Geiste der „eigenen Forschung“ ist es jedoch von entscheidender Bedeutung, dass die Nutzer die Risiken verstehen, die mit der Investition ihrer Gelder in Krypto und verwandte Anwendungen verbunden sind, und einen maßvollen Ansatz zur Bewältigung dieser Risiken wählen.