Bild von Hardvest.Finance.

Das DeFi-Protokoll Harvest.finance war das Opfer eines Angriffs, der die Preise von Stablecoin-Pools manipulierte. Der Angreifer nutzte auch UniSwap, was zu einem absoluten Rekordvolumen von rund zwei Milliarden Dollar an der dezentralen Börse führte.

Wer sich 2020 nicht mit DeFi (dezentrale Finanzierung) befasst, vermisst etwas – aber nicht unbedingt nur gespenstisch hohe Zinsen, sondern auch sagenhaft komplizierte Hacks, bei denen Code und Wirtschaft tiefer als je zuvor miteinander verbunden sind.

Ein weiteres Beispiel ist der Hack von Harvest.Finance . Wenn Sie überhaupt über einen Hack sprechen können. Ein „wirtschaftlicher Angriff“ wäre wahrscheinlich genauso passend.

Harvest ist laut FAQ „einer der größten autonomen Hedgefonds“. Harvest bündelt die Münzen oder Token seiner Benutzer, um sie so in das DeFi-Universum zu investieren, dass man das höchste Interesse für sie bekommt. Gleichzeitig steigert der Smart-Vertrag das Ergebnis durch die Verteilung eigener Token. In jedem Fall sind die Zinssätze schwer zu halten, derzeit rund 15,6 Prozent pro Jahr für WBTC (Wrapped Bitcoin). Da die Token von Harvest vermutlich schnell an Wert verlieren, wie die von Compound oder SushiSwap ist der Zinssatz natürlich nicht nachhaltig.

Wenn Hardvest.Finance schwer zu verstehen ist, wird der aktuelle Angriff halsbrecherisch verwirrend. Auf Twitter nennt Harvest es einen "wirtschaftlichen Angriff auf Stablecoin- und Bitcoin-Pools", einen "Arbitrage-Angriff" und einen "Flashloan-Angriff". Versuchen wir, eine Bestellung in diesen Begriffen zu erhalten.

Der Angreifer nahm zunächst einen großen "Flashloan", auf Deutsch einen "Blitzkredit". Ein solches Darlehen ist ein seltsames Finanzinstrument: Jemand leiht sich Geld von jemand anderem für Zinsen aus, ohne Sicherheiten zu hinterlegen – jedoch unter der Bedingung, dass er das Geld in der Transaktion zurückzahlt, die das Darlehen gewährt hat. Zahlungen und Rückzahlungen fallen somit praktisch zusammen.

Worum geht es? Man kann weitere wirtschaftliche Aktivitäten in die Transaktion einbeziehen; Ich nehme zum Beispiel an, Sie könnten die Token an einer dezentralen Börse verkaufen und an der anderen wieder kaufen, um Arbitrage zu vermeiden.

Genau das hat der Angreifer bei Harvest getan. Er spielte jedoch nicht sehr sauber. Anstatt die Gelegenheit zur Arbitrage zu nutzen, erstellte er sie mit derselben Transaktion: Mit dem Darlehen manipulierte er die Preise im Pool von Curve (einer Plattform ähnlich wie Harvest), um fUSDT und fUSDC über Arbitrage von Harvest selbst abzuziehen. Er wiederholte dies immer und immer wieder; Er tauschte das Guthaben gegen renBTC, einen Bitcoin-Token auf Ethereum, und dies schließlich gegen Bitcoin, oder er verkleidete sie über Tornado.cash 1.700 Bitcoin werden gespeichert.

Laut einem Entwickler gab es kleine Fehler im Harvest-Smart-Vertrag, die den Angriff überhaupt erst ermöglichten. Beispielsweise waren die Einzahlungen nicht auf die Adressen in einer GreyList beschränkt, und der Standardwert für Arbitrage in einem Arbitrage-Prüfer im Protokoll war zu hoch.

Das ist alles ziemlich verwirrend, und ich muss zugeben, ich verstehe es nur zur Hälfte. Bestenfalls. Und wir sind nicht einmal der Meinung, dass UniSwap beteiligt war.

Tatsache ist, dass das Handelsvolumen sowohl bei Curve als auch bei UniSwap stark anstieg. Auf UniSwap wurden mehr als 2 Milliarden Dollar erreicht, was sich bemerkbar macht, weil es am Tag zuvor „nur“ 124 Millionen Dollar waren. Die Handelspaare ETH-USDT und ETH-USDC waren mehr oder weniger im Alleingang für diesen Sprung verantwortlich.

Der Angreifer hat wahrscheinlich nicht UniSwap selbst verwendet, sondern den Pool von Curve, auf den er reagiert hat. Infolgedessen ließ der Flashloan via Curve das Volumen von UniSwap explodieren. Es hätte aber auch umgekehrt sein können, dass der Hacker die Preise über UniSwap manipuliert hat, um dann irgendwie eine Arbitrage-Möglichkeit zwischen Curve und Harvest zu eröffnen.

Auf jeden Fall hatten diejenigen auf UniSwap Liquidität in den beiden Paaren, die unbeabsichtigt von dem Angriff profitierten: In einer Nacht wurde fast 20-mal so viel gehandelt wie an anderen Tagen, was natürlich bedeutet, dass sie fast 20-mal so viel verdienten wie an anderen Tagen.

Der Angreifer ist laut Harvest. Finanzen sind kein Fremder. "Zusätzlich zu den Bitcoin-Adressen", sagte Harvest auf Twitter, "sind jetzt zahlreiche persönliche Daten über den Angreifer bekannt, der in der Krypto-Community bekannt ist." Die Plattform verspricht eine Belohnung für diejenigen, die Kontakt mit 100.000 Dollar aufnehmen – wenn der Kontakt zur Rückgabe der Münzen führt.

Die offene Frage ist jedoch, ob Harvest oder die Benutzer einen Griff haben. Ist es ein Hack – oder nur eine wirtschaftliche Chance nutzen? Soll der intelligente Vertrag wörtlich genommen werden – oder entsprechend seiner Absicht? Solange solche Fragen unbeantwortet bleiben, wird es schwierig sein, einen solchen "Flash-Loan-Arbitrage-Angriff" tatsächlich als Straftat zu melden.


Herrlich sowas dieser Inhalt kommt von
[ENGLISH]