Flash-Kredite, Flash-Angriffe und die Zukunft von DeFi – Financial institution Underground

Aidan Saggers, Lukas Alemu und Irina Mnohoghitnei

Dezentrale Finanzierung (DeFi) scheint eine verlockende Choice für diejenigen zu sein, die finanziellen Gewinn, Autonomie und Selbstverwaltung anstreben … Aber wie sicher ist eine Welt, in der „Code ist Gesetz‘? Eine genauere Betrachtung zeigt, dass es in einem Ökosystem mehrere Hacks, Angriffe und Betrug gibt. Schätzungen zeigen zumindest 6,5 Milliarden US-Greenback wurde seit der Einführung von DeFi gestohlen, und eine bestimmte DeFi-Funktion steht oft im Mittelpunkt dieses Diebstahls: Schnellkredite. Unbegrenzte, unbefristete und unbesicherte Schnellkredite geben Hackern das Werkzeug an die Hand, mit dem sie ihre potenziellen Angriffe wirkungsvoll einsetzen können. Die einzigen Kosten sind die Gasgebühren, die für den Versand der Transaktion anfallen. In diesem Blogbeitrag betrachten wir die Welt der Blitzkredite und ihr kriminelles Gegenstück – Blitzangriffe.

Was genau ist ein „Schnellkredit“?

Bei Flash-Krediten handelt es sich um unbegrenzte unbesicherte Kredite, bei denen ein Nutzer geliehene Gelder in derselben Blockchain-Transaktion sowohl erhält als auch zurückgibt. Derzeit existieren sie ausschließlich innerhalb des DeFi-Ökosystems. DeFi soll eine Various zum traditionellen Finanzwesen (TradFi) sein, wobei zentralisierte Vermittler durch sogenannte dezentrale, codebasierte Protokolle ersetzt werden. Diese Protokolle, die auf der Distributed-Ledger-Technologie basieren, machen theoretisch das Vertrauen in Gegenparteien und Finanzinstitute, wie wir sie kennen, überflüssig.

Blitzkredite werden am häufigsten für Arbitrage-Möglichkeiten genutzt, beispielsweise wenn Händler schnell von einer Diskrepanz bei der Preisgestaltung von Kryptoassets auf verschiedenen Märkten profitieren möchten. Flash-Kredite können auch für Sicherheitenswaps verwendet werden – eine Technik, bei der ein Benutzer seinen Kredit mit geliehenen Mitteln abschließt, um sofort einen neuen Kredit mit einem anderen Vermögenswert als Sicherheit zu eröffnen – oder für die Schuldenrefinanzierung durch „Zinsswaps“ aus verschiedenen Protokollen.

Bei TradFi müssen Kreditnehmer im Allgemeinen einen Due-Diligence-Prozess durchlaufen und je nach Kreditbetrag eine Reihe von Dokumenten vorlegen, darunter einen Identitätsnachweis, einen Einkommensnachweis und vor allem Sicherheiten. Bei einem DeFi-Flash-Darlehen ist das alles nicht notwendig.

Es ist wichtig zu verstehen, dass der Kreditgeber bei der Teilnahme an einem Schnellkredit nahezu keinem Kreditrisiko ausgesetzt ist und daher keine Sicherheiten erforderlich sind. Hebelwirkung bei Flash-Darlehen Intelligente Verträge (Code, der sicherstellt, dass Gelder nicht den Besitzer wechseln, bis ein bestimmtes Regelwerk erfüllt ist) und die Atomarität von Blockchains (entweder findet die gesamte oder keine Transaktion statt), um eine Kind der Kreditvergabe zu ermöglichen, die keine traditionellen Äquivalente hat.

Flash-Darlehen stehen dem Kreditnehmer daher nur für die kurze Dauer der Transaktion zur Verfügung. Innerhalb dieses kurzen Zeitraums muss der Kreditnehmer die Mittel anfordern, andere Sensible Contracts in Anspruch nehmen, um nahezu sofortige Geschäfte mit dem geliehenen Kapital durchzuführen, und die Mittel zurückgeben, bevor die Transaktion endet. Wenn das Geld zurückgegeben wird und alle Unteraufgaben reibungslos ausgeführt werden, wird die Transaktion validiert.

Bei TradFi sind Sicherheiten von entscheidender Bedeutung, da sie das Risiko des Kreditgebers bei einem Zahlungsausfall verringern oder eliminieren. Wenn der Kreditnehmer den Schnellkredit jedoch nicht im Rahmen derselben Transaktion zurückzahlt, in der er aufgenommen wurde, wird die gesamte Transaktion rückgängig gemacht, einschließlich des ursprünglich geliehenen Betrags und aller anderen folgenden Aktionen. Mit anderen Worten: Wenn der Kreditnehmer den Schnellkredit nicht zurückzahlt, erhält er den Kredit überhaupt nicht.

Eine nicht erstattungsfähige Gebühr, die die Betriebskosten für die Ausführung der Sensible Contracts abdeckt, muss im Voraus bezahlt werden, die sogenannte „Gasgebühr“ für die Transaktion – dies gilt für jede Distributed-Ledger-Technologie-Transaktion und nicht speziell für Flash-Darlehen. Weitere Provisionsgebühren werden erst dann erhoben, wenn die Transaktion erfolgreich ausgeführt wurde, sodass das gesamte Unterfangen sowohl für den Kreditnehmer als auch für den Kreditgeber nahezu „risikofrei“ ist.

Funktionen für Flash-Darlehen

Um Flash-Kredite besser zu verstehen, haben wir die Ethereum-Blockchain analysiert (unter Verwendung von Alchemie Archivknoten) und sammelte jede Transaktion, die den vom DeFi-Protokoll bereitgestellten Sensible-Vertrag „FlashLoan“ genutzt hat Aave V1 und V2. Das Aave-Protokoll, einer der größten DeFi-Liquiditätsanbieter, hat schnelle Kredite populär gemacht und wird oft für sein Design verantwortlich gemacht. Mithilfe dieser Daten konnten wir 60.000 einzelne Transaktionen von der Einführung des Flash-Darlehens durch Aave bis 2023 erfassen und so einen genaueren Blick auf dieses Neue werfen Finanzprimitiv.

Generell unterscheiden sich die Eigenschaften von Flash-Darlehen von anderen DeFi-Transaktionen. Das liegt nicht nur daran, dass sie nahezu augenblicklich, unbesichert und unbegrenzt sind, sondern auch daran, dass sie, gemessen an der Anzahl, dazu neigen, komplex zu sein Ereignisse oder Protokolle wird während einer Transaktion ausgegeben. Diese höhere Komplexität trägt zum zweiten Unterscheidungsmerkmal bei, nämlich dass für Flash-Kredite in der Regel viel höhere Gasgebühren anfallen als für Normal-DeFi-Transaktionen, siehe Abbildung 2. Je mehr Ereignisse in einer Transaktion enthalten sind, desto mehr Platz nimmt sie auf der virtuellen Maschine von Ethereum ein. Angesichts der unsicheren Ausführung dieser Kredite sind einige Benutzer auch bereit, zusätzliche Priorisierungsgebühren zu zahlen, damit ihre Transaktion in den unmittelbarsten hinzugefügten Block aufgenommen wird.

Unter Berücksichtigung dieser Attribute haben wir den Aave-Datensatz verwendet, um die folgenden Fragen zu beantworten: Welche Vermögenswerte werden von diesen Schnellkrediten aufgenommen und warum? Wie komplex sind diese Transaktionen? Und wie teuer sind diese Transaktionen im Vergleich zur durchschnittlichen Transaktion?

Abbildung 1: Die fünf am häufigsten auf Aave V1 und V2 geliehenen Vermögenswerte⁽¹⁾

Angesichts der Tatsache, dass schnelle Kredite sowohl Preisstabilität als auch hohe Liquidität erfordern, um erfolgreich ausgeführt zu werden, ist es nicht überraschend, welche Vermögenswerte am häufigsten geliehen werden. Abbildung 1 zeigt, dass drei Stablecoins und die beiden größten Kryptowährungen Bitcoin und Ether die fünf am häufigsten geliehenen Vermögenswerte bilden.

Abbildung 2: Verteilung des Verhältnisses zwischen der bei einer Flash-Darlehenstransaktion gezahlten Gasgebühr und der durchschnittlich am selben Tag gezahlten Gasgebühr für alle Transaktionen auf der Ethereum-Blockchain

Quelle: Durchschnittliche Etherscan-Transaktionskosten.

Überraschend sind jedoch die überhöhten Kosten für Flash-Darlehenstransaktionen. Abbildung 2 zeigt, dass Flash-Darlehen im Durchschnitt etwa 15-mal so viel kosten wie eine Normal-DeFi-Transaktion. Wie bereits erwähnt, sind die Kosten proportional zur Komplexität einer Transaktion, und in dieser Hinsicht unterscheiden sich Schnellkredite auch von typischen Transaktionen. Flash-Darlehen enthalten typischerweise zwischen 35 und 70 Protokolle (Abbildung 3) professional Transaktion, verglichen mit etwa 5 bis 10 Protokollen für die durchschnittliche Aave-Transaktion.

Abbildung 3: Anzahl der Protokolle professional Flash-Darlehenstransaktion

Blitzangriffe

Abbildung 4: Kumulierte Gesamtausbeutung im Vergleich zum gesamten in DeFi gesperrten Wert

Quelle: DefiLlama.

Das DeFi-Ökosystem bietet zwar einigen Benutzern Vorteile, ist jedoch erheblichen Angriffen, Hacks und Betrug ausgesetzt, wobei Flash-Kredite eine besondere Schwachstelle darstellen.

Im Allgemeinen werden Hacks, Exploits oder Preismanipulationen, die mithilfe von Flash-Krediten durchgeführt werden, als „Flash-Angriffe“ bezeichnet. Flash-Angriffe machen sich das unregulierte, unbesicherte und nahezu unbegrenzte Kapital zunutze, das Flash-Kredite ermöglichen, um beispielsweise Kryptomärkte zu manipulieren oder Plattformschwachstellen auszunutzen und Gewinne zu erwirtschaften. Bis heute wurden Kryptowährungen im Wert von über 6,5 Milliarden US-Greenback bei Angriffen gestohlen, die direkt auf kurzfristige Kredite zurückzuführen waren.

Flash-Angriffe sind anders als alles, was wir bei TradFi gesehen haben, da Flash-Kredite und damit Flash-Angriffe eine Funktion der zugrunde liegenden DeFi-Technologie sind. Ein typischer Flash-Angriff besteht darin, einen Flash-Kredit aufzunehmen, um eine große Menge Krypto von einer DeFi-Plattform zu leihen. Als nächstes könnten diese Mittel verwendet werden, um den Preis eines bestimmten Krypto-Property zu manipulieren oder eine Schwachstelle in der DeFi-Plattform auszunutzen. Wenn der Flash-Angriff erfolgreich ist, besteht der letzte Schritt in der Rückzahlung der geliehenen Mittel sowie etwaiger fälliger Gebühren unter Beibehaltung der Gewinne. Sollte der Angriff jedoch nicht zustande kommen, wird die gesamte Transaktion rückgängig gemacht, als ob sie nie stattgefunden hätte (außer Gasgebühren). In Übereinstimmung mit dem inoffiziellen DeFi-Ethos „Code ist Gesetz“ argumentieren einige, dass ausgewählte Formen von Flash-Angriffen legitim sind, und beschreiben sie als „komplexe Arbitrage‘.

Flash-Angriffe können auf vielfältige Weise durchgeführt werden, beispielsweise durch die unbeabsichtigte Nutzung von Sensible-Contract-Code oder durch die Generierung und Ausnutzung von Preisabweichungen Orakelmanipulation. DefiLlamas Liste bekannter Hacks⁽²⁾ zeichnet die größten DeFi-Hacks auf, angefangen von Teppich zieht Und Wiedereintritt Angriffe bis hin zu Blitzangriffen. Von rund 150 Angriffen wurden 45 mit Schnellkrediten unterstützt. Zusätzlich Tabelle A zeigt, dass von den fünf größten über Schnellkredite geliehenen Beträgen vier für Angriffe auf Protokolle verwendet wurden.

Tabelle A: Die fünf wichtigsten Flash-Kredite nach Kreditbetrag im Rahmen des Aave-Protokolls

Sind Flash-Angriffe vermeidbar?

Indem sie eine ganze Reihe risikoarmer Angriffsmöglichkeiten ermöglichen, erhöhen Flash-Kredite die Kosten für DeFi-Protokolle, sich vor Cyber-Bedrohungen zu schützen. Dennoch gibt es bereits Schritte, die DeFi-Systeme unternehmen, um sich selbst zu schützen.

Einer der einfachsten Angriffsvektoren, die Preismanipulation, könnte durch den Einsatz teilweise reduziert werden dezentrale Preisorakel. Während sie sind nicht ohne FehlerDiese Dienste stellen Reside-Preisdaten bereit, indem sie eine Vielzahl unabhängiger Off-Chain-Quellen nutzen, um einen Wechselkurs zu validieren.

Ein gängiger Ansatz zur Minimierung von Codefehlern oder unerwartetem Verhalten ist die Verwendung von PrüfungenDabei handelt es sich um gründliche Codeüberprüfungen, die von unabhängigen Drittparteien durchgeführt werden. Es ist wichtig zu beachten, dass selbst intestine geprüfte Protokolle in der Vergangenheit ausgenutzt wurden. Ebenso werden separate „Testnetze“ genannt Testnetzedie die „Reside“-Blockchain-Umgebung nachbilden, ermöglichen es Entwicklern, gängige Angriffsmethoden zu simulieren und die Widerstandsfähigkeit ihres Protokolls zu testen.

Ähnlich wie TradFi, ‘Leistungsschalter‘ kann implementiert werden, wenn verdächtige Aktivitäten erkannt werden. Diese ähneln den Handelsstopps von TradFi und sind auf große Resonanz gestoßen Skepsis im Krypto-Ökosystem. Weiter, Zeitschlösser könnte verwendet werden, um die Ausführung bestimmter Transaktionen zu verzögern, sodass die Plattform Zeit hat, auf potenzielle Flash-Angriffe zu reagieren.

Abschluss

Aus der Sicht derjenigen, die an TradFi beteiligt sind, scheinen Blitzkredite etwas realitätsfern zu sein, obwohl sie mithilfe der im DeFi-Ökosystem entwickelten Technologie durchaus möglich sind. Obwohl Flash-Kredite und DeFi noch in den Kinderschuhen stecken, ist es offensichtlich, dass sie zwar sinnvollen Zwecken dienen, aber auch einige der größten Diebstähle im DeFi-Bereich ermöglicht haben. Ob sie weit verbreitet sein werden und wie sie in Zukunft aussehen könnten, bleibt abzuwarten.

Was sind deine Gedanken? Haben Blitzkredite einen Platz in DeFi? Lassen Sie es uns im Kommentarbereich unten wissen.

(1) Der Begriff „verpackt“ beschreibt einen interoperablen Token, der den gesamten Wert des zugrunde liegenden Kryptoassets widerspiegelt.

(2) Dies ist mit ziemlicher Sicherheit eine Untergrenze für die tatsächliche Anzahl der Angriffe.

Aidan Saggersworks arbeitet in der Devisenabteilung der Financial institution, Lukas Alemu arbeitet in der Abteilung „Aktuelle wirtschaftliche Bedingungen“ der Financial institution und Irina Mnohoghitnei arbeitet im Fintech Hub der Financial institution.

Wenn Sie mit uns Kontakt aufnehmen möchten, senden Sie uns bitte eine E-Mail an bankunderground@bankofengland.co.uk oder hinterlassen Sie unten einen Kommentar.

Kommentare erscheinen erst nach Genehmigung durch einen Moderator und werden nur unter Angabe des vollständigen Namens veröffentlicht. Financial institution Underground ist ein Weblog für Mitarbeiter der Financial institution of England, um Ansichten zu dieser Herausforderung auszutauschen – oder Unterstützung – vorherrschende politische Orthodoxien. Die hier geäußerten Ansichten sind die der Autoren und nicht notwendigerweise die der Financial institution of England oder ihrer politischen Ausschüsse.