DeFi: bZx wird Opfer von zwei Hacker Attacken

Die DeFi-Bewegung musste nach vielen positiven Nachrichten eine negative Nachricht wegstecken.

Der Anbieter von dezentralisierten Krediten, bZx, wurde zweimal gehackt.

Die Angreifer konnten mehrere hundert Tausend US-Dollar in Kryptowährungen erbeuten.

bZx Hacks

Erst vor ein paar Tagen berichteten wir zuletzt über Neuigkeiten aus der DeFi Community. “DeFi” steht für Decentralized Finance und dient als Oberbegriff für dezentralisierte Finanzprodukte auf der Blockchain. Die immer breitere Produktpalette führt dazu, dass immer mehr Anleger großes Interesse zeigen.

Nun sind DeFi-Fans jedoch hart getroffen, nachdem die dezentrale Plattform zur Vergabe von Krediten, bZx, zweimal innerhalb weniger Tage Opfer von Hacker-Attacken wurde. Die Verluste betragen knapp eine Million US-Dollar. Der erste Angriff erfolgte laut dem bZx Bericht am 14. Februar, der zweite laut TheBlock am 18. Februar.

Der erste bZx Hack – Der Ablauf

Breakdown of bZx hack #2:

This was a leveraged long profit rather than a leveraged short.

1. Borrow 7.5k ETH flash loan

2. Acquire 3518 ETH worth of sUSD (~$900k)

3. Use acquired sUSD as collateral for bZx ETH position. Think of it as opening a CDP. pic.twitter.com/pMze7K2Lg8

— Kerman (@kermankohli) February 18, 2020

Um den ersten Hack erfolgreich durchzuführen, benutzte der Hacker bei der ersten Attacke mehrere DeFi-Protokolle. Dadurch war er in der Lage signifikante Mengen an Ether und WBTC (“Wrapped Bitcoin”, Token auf der Ethereum Blockchain, der den Bitcoin Preis widerspiegelt) zu verleihen und zu tauschen und so Profite durch manipulierte, fremdfinanzierte Handel zu machen.

1. Aufnahme von 10.000 ETH über das DeFi-Kreditprotokoll dYdX.
2. Verwendung von 5.5500 ETH (1,46 Mio. US-Dollar) um einen WBTC Kredit über 112 WBTC (über 1 Mio. US-Dollar) auf Compound abzusichern.
3. Parallel dazu schickte der Angreifer 1.300 ETH an die bZx Exchange für dezentralisiertes Margin-Trading und eröffnete eine Position mit 5-fachem Leverage auf dem BTC/ETH Handelspaar. Darüber hinaus borgte er weitere 5.600 ETH über Kybers Uniswap und tauschte diese gegen 51 WBTC, was kurzzeitig zu einem Kursrutsch führte.
4. Bei Rückzahlung an Compound konnte der Hacker 1.190 ETH Gewinn machen (über 300.000 US-Dollar) und zahlte den 10k ETH Kredit auf dYdX zurück.

Die Ursache war also ursprünglich eine unzureichende Sicherheitsprüfung. Laut bZx wurde diese Prüfung durch einen technischen Fehler verhindert, der aber behoben werden soll.

Der zweite bZx Hack – Ursachen unklar

Während man zu dem ersten Hack bereits detaillierte Informationen über den Tathergang hat, tappt man im zweiten Fall größtenteils im Dunkeln. Vermutet wird eine Manipulation der Oracles, die nach den aktuellen Preisen befragt wurden.

Oracles sind eine Art zentralisiertes System, die Daten von externen Quellen für On-Chain-Applikationen bereitstellen. Dem Thema sicherer Oracles widmet sich auch das Projekt Chainlink und kündigte bereits an, mit dem DeFi-Dienstleister zusammenarbeiten zu wollen um solche Hacks in Zukunft verhindern zu können:

“Durch die Verwendung von Chainlink kann bZx eine separate Oracle-Lösung über das bZx-Basisprotokoll hinaus ermöglichen. Dies eröffnet ein viel breiteres Spektrum an bZx-Integrationen, aus dem durch Abfragen der APIs anderer Netzwerke, wie z.B. 0x-Relais, für Auftragsobjekte Liquidität gezogen werden kann. Die Relais könnten auch nach aktuellen Preisen abgefragt werden.”

LINK, der Token von Chainlink, reagierte positiv auf diese Partnerschaft und konnte ein leichtes Plus verbuchen.

Fazit: DeFi – Innovativ, aber noch lange nicht fehlerfrei

Decentralized Finance hat mehr als nur eine Daseinsberechtigung. Trotz des aktuellen Hypes sollte man aber nicht vergessen, dass Innovation am Anfang auch Fehleranfälligkeit bedeutet. Das mach der Hack von bZx deutlich. Doch Zwischenfälle wie diese beiden Hacks sind nötig um in Zukunft sichere Finanzdienstleistungen anbieten zu können.