Ethereum basiertes Kredit-Protokoll bZx: Lehren aus dem Millionen-Hack

Source: She-Hulk - Shutterstock

• Das Unternehmen hinter dem Ethereum basierten dezentralen Kredit-Protokoll bZx zieht seine Lehren aus dem schweren Million-Dollar Hack.
• bZx wird seinen Versicherungsfonds durch Einnahmen von Kyber aufstocken und die Oracle Technologie von Chainlink integrieren.

Der Hack des dezentralisierten Kredit-Protokolls bZx hat die DeFi und Ethereum Community erschüttert. Der bZx Mitbegründer hat hierzu eine abschließende Stellungnahme veröffentlicht und erklärt, dass die siebtgrößte dezentralisierte Finanzplattform einen Neuanfang plant. In einem kürzlich veröffentlichten Blogbeitrag mit dem Titel „Mea Culpa“: Ein neuer Anfang“ schreibt Kistner, dass er die volle Verantwortung für die Schwachstelle übernimmt.

Die DeFi-Plattform wurde im Februar zweimal kurz hintereinander Opfer eines Hacks, der in der Krypto-Community als sehr ausgeklügelt bezeichnet wurde und gleichzeitig die Sicherheit des DeFi-Ökosystems infrage gestellt hat. Der Hacker hat durch die Inanspruchnahme von „Blitz-Krediten“ auf der Fulcrum Plattform, unter Einbeziehung von Compound, einer weiteren beliebten DeFi-Plattform, über eine Million USD in Ethereum (ETH) stehlen können. Inm Abschlussbericht beschreibt Kistner die Vorgehensweise des ersten Hackers:

Der Angreifer hat 7.500 ETH auf iETH mit der Funktion flashBorrowToken() geliehen. Anschließend konvertierte er 900 ETH für 155.994 sUSD auf Kyber, um daraufhin 3.518 ETH für 943.837 sUSD mit Synthetix‘ exchangeEtherForSynths() zu konvertieren, bei einem Preis von0,0037 sUSD/ETH (gesunder Kurs). Im nächsten lieh sich der Angreifer 6.796 ETH auf bZx aus und versendete 1.099.841 sUSD, zu einem Preis von 0,006 sUSD/ETH (verzerrter Kurs). Hieraufhin überwies der Angreifer 7.500 ETH zurück an bZx, um den Kredit zurückzuzahlen, wodurch er einen Gewinn von 2.378 ETH erzielte

Kistner behauptet in dem Blogbeitrag weiter, dass zwar Gelder verloren gegangen sind, die Gelder der Nutzer aber trotzdem sicher sind (frei übersetzt):

Es sind Gelder verloren gegangen, und dennoch behaupten wir, dass die Gelder der Nutzer sicher sind. Dies ist möglich, weil das Unternehmen und die Beteiligten des Protokolls die Verluste statt der Nutzer auffangen. Die Cashflows des Unternehmens und des Protokolls werden an die Versicherungsfonds geleitet, wo sie warten, bis die Schulden fällig sind. Angesichts des aktuellen Wertes des Versicherungsfonds und seiner annualisierten Wachstumsrate sollte er den Verlust zu dem Zeitpunkt, zu dem er im Jahr 2285 n. Chr. realisiert werden muss, mehr als decken können.

Zudem werden laut Kistner Änderungen am Protokoll vorgenommen, wodurch der Versicherungsfonds die Verluste schneller decken kann:

Wir werden Änderungen an der Art und Weise vornehmen, wie der Versicherungsfonds an Wert gewinnt, um seine Fähigkeit, den Verlust so schnell wie möglich zu decken, zu beschleunigen. Konservativ gesehen werden wir in der Lage sein, den Anteil der Werterfassung um mehr als eine Größenordnung zu erhöhen. […] Wir werden zwei zusätzliche Einnahmequellen einführen: Handelserträge und Arbitrage.

Das Unternehmen erzielt derzeit Einnahmen in seiner Eigenschaft als Tochtergesellschaft der Börse Kyber. Diese Einnahmen werden vom Unternehmen weg und in den Versicherungsfonds fließen.

Lektionen aus dem bZX Hack

Wie Kistner weiter schreibt, gibt es einige Lektionen, die das Unternehmen gelernt hat. Allen voran, so Kistner, war es fahrlässig, die Blitz-Kredite ohne Prüfung stillschweigend in das Mainnet einzufügen.

Die Bereitschaft, ungeprüften Code zu veröffentlichen, ist ein Verzicht auf das in uns gesetzte Vertrauen, sichere Finanzsoftware zu schreiben.

Da unzureichende Preisdaten zu den Ursachen des Hacks gehörten, wird das Unternehmen die Oracle Technologie Chainlink integrieren, um zuverlässige und dezentrale Preisdaten zu erhalten, wie CNF berichtete.

Folge uns auf Facebook und Twitter und verpasse keine brandheißen Neuigkeiten mehr! Gefällt dir unsere Kursübersicht?