Die unschöne Seite von DeFi (dezentrales Finanzwesen) zeigte sich in den letzten Jahren immer häufiger, zum Beispiel als das Binance Smart-Chain-Protokoll (BSC) PancakeBunny einen katastrophalen Flash-Loan-Angriff (Blitz-Kredit-Angriff) im Wert von 200 Millionen US Dollar erlitt und dabei mehr als 700.000 BUNNY-Token und 114.000 BNB-Token verlor.
Flash-Loan-Angriffe sind keine Eintagsfliege. Tatsächlich werden sie zu einem sehr ernsten Problem im Bereich der Kryptowährung und insbesondere im Bereich des dezentralen Finanzwesens (DeFi).
Was ist ein Flash-Loan-Angriff?
Ein Flash-Loan-Angriff ist eine Art DeFi-Angriff, bei dem ein Cyberbetrüger einen Flash-Loan, auf deutsch Blitz-Kredit (eine Form der unbesicherten Kreditvergabe) aus einem Kreditprotokoll aufnimmt und ihn in Verbindung mit verschiedenen Arten von Tricks nutzt, um den Markt zu seinen Gunsten zu manipulieren.
Derartige Angriffe können in nur wenigen Sekunden erfolgen und umfassen dennoch vier oder mehr DeFi-Protokolle.
Flash-Loan-Angriffe sind die häufigsten Arten von DeFi-Angriffen, da sie am kostengünstigsten durchzuführen sind und die Betrüger damit am einfachsten davonkommen.
Blitz-Kredit-Angriffe sorgen seit dem Popularitätsschub von DeFi im Jahr 2020 immer wieder für Schlagzeilen und haben bis heute Verluste in Höhe von mehreren hundert Millionen US Dollar verursacht.
Was sind Flash-Loans (Blitz-Kredite)?
Flash-Loans/Blitz-Kredite sind eine Art von unbesicherten Krediten, die durch “Smart Contracts” durchgesetzt werden.
Smart Contracts ist eine selbstausführende Software, bei dem die Bedingungen der Käufer- und Verkäufervereinbarung direkt in die Codezeilen eingebettet sind.
Das Programm wird zusammen mit der darin enthaltenen Vereinbarung über ein dezentrales Blockchain-Netzwerk wie Ethereum oder Ontology verteilt.
Ein Smart Contract wird automatisch ausgeführt, wenn bestimmte Bedingungen erfüllt sind. Sobald der Code ausgeführt wurde, ist es praktisch unmöglich, ihn rückgängig zu machen oder zu ändern.
Flash-Loans erklärt
Es gibt zwei traditionelle Arten von Krediten: Besicherte Kredite, für die Sicherheiten erforderlich sind, und unbesicherte Kredite, für die keine Sicherheiten erforderlich sind.
Ein Beispiel für einen unbesicherten Kredit ist, wenn Sie sich z.B. 2000 Euro von einer Bank leihen möchten.
Einige Banken sind bereit, Ihnen diesen Betrag problemlos zu leihen, sofern Sie über eine gute Erfolgsbilanz bei der Rückzahlung von Krediten verfügen.
Sollte die Summe, die Sie leihen möchten, jedoch zu hoch sein, wäre es für die Bank zu riskant, einen unbesicherten Kredit anzubieten – selbst wenn Sie über eine gute Bonität verfügen.
Wenn Sie sich beispielsweise 30.000 Euro leihen möchten, verlangen Banken normalerweise, dass Sie Sicherheiten wie Ihr Haus oder Ihr Auto stellen, um das Risiko zu mindern.
Bei Flash-Loans handelt es sich im Wesentlichen um unbesicherte Kredite auf Steroide für die DeFi-Generation, für die weder Sicherheiten noch
Bonitätsprüfungen oder eine Begrenzung der Kreditaufnahme erforderlich sind – vorausgesetzt, dass Sie den Kredit in derselben Transaktion zurückzahlen können.
Arbitrage ist der beliebteste Anwendungsfall von Schnellkrediten, da Händler damit an den Preisunterschieden der verschiedenen Börsen verdienen können.
Beispiel:
Wenn z.B. LINK an Börse (A) 30 US Dollar und an Börse (B) 35 US Dollar kostet, kann sich ein Benutzer über einen Flash-Loan eine große Summe Geld leihen und einen Auftrag erteilen, um 100 LINK für 3000 US Dollar an Börse (A) zu kaufen, um sie dann alle für 3500 US Dollar an Börse (B) zu verkaufen.
Daraufhin kann der Benutzer seinen Schnellkredit zurückzahlen und 500 US Dollar abzüglich der Gebühren selber einstreichen.
Wie funktionieren Flash-Loan-Angriffe?
Blitz-Kredite ermöglichen es einem Benutzer, ohne Kapital so viel zu leihen, wie er möchte.
Wenn Sie sich beispielsweise ETH im Wert von 70.000 US Dollar leihen möchten, erhalten Sie diese sofort und ohne große Schwierigkeiten über ein Kreditprotokoll.
Das bedeutet aber nicht, dass sie Ihnen gehören. Sie müssen mit dem geliehenen Geld etwas anfangen, um den Kredit zurückzuzahlen und den eventuellen überschüssigen Betrag einzustreichen.
Damit das funktioniert, muss der Prozess schnell erfolgen und die Schulden müssen rechtzeitig an das Protokoll zurückgezahlt werden – andernfalls wird die Transaktion rückgängig gemacht.
Ein dezentraler Kreditgeber verlangt von Ihnen keine Sicherheiten, da die
Vereinbarung zur Begleichung Ihrer Schulden durch eine Blockchain durchgesetzt wird.
Flash-Loan-Angreifer versuchen, Wege zu finden, den Markt zu manipulieren und gleichzeitig die Regeln einer Blockchain einzuhalten.
Flash-Loan-Angriff erklärt: PancakeBunny
Schauen wir uns einmal ein reales Szenario von einem Flash-Loan-Angriff an, um die Anatomie dieser Exploits besser zu veranschaulichen.
Im Mai 2021 ereignete sich ein Flash-Loan-Angriff bei PancakeBunny, einem von BSC betriebenen Yield-Farming-Aggregator. Dieser Exploit führte dazu, dass die Token einen Wertverlust von über 95% erlitten.
Der Angreifer hat sich zunächst über PancakeSwap eine große Menge BNB geliehen und damit den Preis von USDT/BNB und BUNNY/BNB auf der Plattform von PancakeBunny manipuliert.
Dies ermöglichte es dem Hacker, eine große Menge BUNNY zu stehlen, die er auf den Markt warf, was zu einem Preisfall führte.
Anschließend zahlte der Hacker die Schulden, die durch den Blitz-Kredit
entstanden, über PancakeSwap zurück und streichte den Profit ein.
Es deutet darauf hin, dass der Hacker mit einem Gewinn von fast 3 Millionen US Dollar davonkommen konnte.
Warum Flash-Loan-Angriffe in DeFi häufig vorkommen
Flash-Loans/Blitz-Kredite sind eine Betrugsmasche mit geringem Risiko, geringen Kosten und hoher Rendite, was sie für Kriminelle zu einer gefährlichen Kombination macht.
Hier folgen die Hauptgründe, weshalb Flash-Loan-Angriffe zunehmen.
Flash-Loan-Angriffe sind günstig
Im Gegensatz zu “51%-Angriffen”, für deren Durchführung enorme Ressourcen erforderlich sind, sind für Flash-Loans nur drei Dinge erforderlich: Ein Computer, eine Internetverbindung und vor allem Einfallsreichtum.
Die Betrüger müssen natürlich planen, wie genau sie den Angriff durchführen, doch die Ausführung dauert nur wenige Sekunden bis Minuten. Daher ist auch kein großer Zeitaufwand erforderlich.
Flash-Loan-Angriffe sind risikoarm
Jede kriminelle Aktivität birgt Risiken, aber stellen Sie sich vor, Sie würden eine Bank ausrauben, ohne dass Sie sich physisch in der Bank aufhalten müssen.
Dies fasst grob die Sichtweise der Flash-Loan-Angreifer zusammen. Die letzten Jahre haben gezeigt, wie einfach es ist, mit dem Diebstahl von DeFi-Protokollen davonzukommen.
Flash-Loan-Angriff: Das Fazit
Flash-Loan-Angriffe sind die Norm und werden, zumindest für eine Weile, bestehen bleiben.
Wir müssen leider einsehen, dass die DeFi-Technologie noch nicht ausgereift genug ist, da jede Woche neue Schwachstellen von Hackern aufgedeckt.
Die einzige Möglichkeit für Entwickler, damit umzugehen, besteht darin, weiter mit den Lösungen zu arbeiten, die zur Verfügung stehen und versuchen diese zu optimieren. Darüber hinaus, gilt es, aus den Angriffen zu lernen.
Für die Nutzer heißt es, sich nicht davon abhalten zu lassen, an DeFi-Programmen wie Staking, Yield Farming oder Liquidity Mining teilzunehmen, da diese auch enorme Chancen bieten.
Doch denken Sie immer daran, die damit verbundenen Risiken sorgfältig abzuwägen und niemals Geld einzuzahlen, dessen Verlust Sie sich nicht leisten können. Bei Investitionen dreht sich alles um Risikomanagement, und beim DeFi-Einsatz ist das nicht anders.
