Angriff auf Curve Finance kann Todesspirale für DeFi auslösen
Es ist sicher nicht der größte Hack, der in der Geschichte der Krypto-Branche passiert ist, aber es ist ein besonders schwer wiegender. Der Exploit von Curve Finance bzw. von dortigen Pools voller Tokens hat die Krypto-Welt ein neuerliches Mal erschüttert und wirft die Frage auf, wie sicher Decentralized Finance (DeFi) für Nutzer:innen sein kann.
Was ist passiert? Am 30. Juni sorgte ein Fehler in älteren Versionen des Vyper-Compilers dafür, dass eine Sicherheitsfunktion von unbekannten Angreifer:innen ausgenutzt werden konnte, um auf eine „begrenzte Anzahl von Curve-Pools“ zuzugreifen. Insgesamt wurden auf diesem Weg Tokens (in erster Linie Wrapped Ethereum, kurz WETH) im Gegenwert von etwa 62 Mio. Dollar entwendet. Laut Curve Finance, eine der wichtigsten dezentralen Exchanges der Krypto-Welt, waren folgende Pools betroffen:
- pETH/ETH | 6,106.65 WETH (~$11m)
- msETH/ETH | 866.55 WETH (~$1.6 m) and 959.71 msETH (~$1.8m)
- alETH/ETH | 7,258.70 WETH (~$13.6 m) and 4,821.55 alETH (~9m)
- CRV/ETH | 7,193,401.77 CRV (~$5.1m at time of exploit), 7,680.49 WETH (~$14.2m), and 2,879.65 ETH (~$5.4m)
Das macht etwa 61,7 Mio. Dollar an Token-Werten, die die Angreifer:innen stehlen konnten. Bei Liquidity Pools handelt es sich vereinfacht gesagt um Token-Pools, die in Smart Contracts sitzen, und in die man investieren kann. Zahlt man in einen Pool ein, hat man die Möglichkeit, Handelsgebühren und möglicherweise Prämien zu verdienen, weswegen das für manche DeFi-Nutzer:innen eine interessante Angelegenheit war. Curve Finance baute stark auf diese Liquidity Pools auf, weil sie eine Alternative zum klassischen Exchange-Business darstellen, wo üblicherweise Käufer:innen und Verkäufer:innen verbunden werden, um Liquidität herzustellen.
Curve Finance ist mit einem TVL-Wert (Total Value Locked) von Token im Gegenwert von etwa 1,7 Milliarden Dollar eine mittelgroße Nummer im DeFi-Universum. Der Staking-Anbieter Lido (15 Mrd. Dollar TVL) oder die bekannte DEX Uniswap (3,8 Mrd. Dollar TVL) sind bedeutend größer, aber Curve Finance galt eigentlich als immer ziemlich sicher. Zwar wurden 5,4 der 61,7 Mio. Dollar mittlerweile von einen White-Hat-Hacker, der die Sicherheitslücke aufzeigen wollte, wieder retourniert – trotzdem bleibt große Unsicherheit.
Curve-Gründer verborgte Hälfte der CRV-Token
Zum einen ist natürlich der Kurs des Curve DAO Token (CRV) seit Sonntag ordentlich eingebrochen – bis heute Mittwoch etwa um 22 Prozent. Doch auch die Rolle von Michael Egorov, dem Curve Finance-Gründer, macht viele skeptisch. Denn er hat sich mehr als 100 Mio. Dollar gegen etwa 460 Mio. CRV-Token geliehen hat, was etwa 47 % des Gesamtangebots von CRV entspricht. „Ein Rückgang des CRV-Preises könnte zu einer Liquidation von Egorovs Position führen und eine Liquidationskaskade auslösen“, berichtet Yahoo Finance. Die Darlehen hat Egorov über die Lending-Protokolle Aave und Fraxlend in Form von Stablecoins aufgenommen.
Wenn nun der CRV-Preis weiter fällt, könnte sich das als Dominoeffekt auswirken, weil CRV bei Aave, Abracadabra, Fraxlend, Inverse Finance und Silo Finance als Kollateral eingesetzt wird. Curve Finance wird deswegen als systemisches Risiko angesehen, das eine „Todesspirale“ auslösen könnte – und wirft auch die Frage auf, warum eine einzelne Person in einem angeblich dezentralisierten System so viel Einfluss auf einen Token haben kann. Egorov versucht aktuell, durch Rückzahlungen, die wiederum etwa bei Justin Sun von TRON geborgt sind den Schaden zu beheben, und auch Aave-CEO Stani Kulechov wurde aufgefordert, einzuschreiten.
Eigentlich dachten viele, dass sich DeFi nach dem FTX-Kollaps im Aufwind befinde – also Protokolle, die nicht von Einzelnen wie Sam Bankman-Fried ausgenutzt werden können. Doch die aktuelle Lage rund um CRV und der Fakt, dass der Curve-Gründer einfach mit knapp der Hälfte aller CRV-Token tun und lassen kann, was er möchte, unterhöhlt diese These wieder.
„DeFi ist gestorben“
„Das dezentrale Finanzwesen (DeFi) ist gestern gestorben. Es sind keine Protokolle ausgefallen oder Token auf Null abgestürzt – obwohl dies durchaus möglich gewesen wäre. Die vernetzte Wirtschaft mit Kreditgebern, Börsen und Handelsinstrumenten ohne Vermittler tuckert, technisch gesehen, immer noch vor sich hin“, schreibt der Krypto-Experte Daniel Kuhn in einem Aufsehen erregenden Kommentar auf Coindesk. „Aber der Geist, der DeFi vorangetrieben hat, der Traum von der Entkopplung des Geldes von der Macht und dem einfachen Zugang zu grundlegenden und komplexen Finanzprodukten ohne Angst und Gefälligkeit, ist tot. Und das hat nicht die US-Börsenaufsicht (SEC) getan, sondern DeFi selbst.“
Der FTX-Kollaps und die Folgen für echtes DeFi – mit Max von Wallenberg