Was ist ein Flash-Loan-Angriff?

Bei Flash-Darlehensangriffen handelt es sich um Exploits im dezentralen Finanzwesen (DeFi), bei denen ein Smart Contract, der die Bereitstellung von Flash-Darlehen unterstützen soll, angegriffen wird, um in einem bestimmten Pool gespeicherte Vermögenswerte abzuschöpfen. Bei solchen Angriffen nimmt der böswillige Akteur einen Kredit auf, verwendet das geliehene Kapital, um andere Vermögenswerte mittels Arbitrage zu kaufen, zahlt seinen Kredit schnell zurück und nimmt die während des gesamten Prozesses verbleibenden Vermögenswerte als Gewinn mit.

Es ist wichtig zu verstehen, dass diese Offenlegung nur innerhalb von DeFi-Protokollen erfolgen kann, da diese erlaubnisfrei sind und vollständig durch intelligente Verträge gesteuert werden. Während die Disintermediation viele Vorteile wie Kosteneinsparungen und Zensurresistenz bietet, sind DeFi-Plattformen anfällig für solche Angriffe, da kein Dritter die Bereitstellung unbesicherter Kredite überwacht, die über Flash-Darlehensverträge bereitgestellt werden.

Diese Art von böswilliger Aktivität ist tatsächlich komplex und schwierig durchzuführen, dennoch gibt es viele Fälle, in denen Cyberkriminelle dieses Unterfangen erfolgreich hatten.

Bei den meisten Flash-Loan-Angriffen wird Fremdkapital verwendet, um Vermögenswerte aus anderen DeFi-Protokollen zu arbitrieren. Beispielsweise nahm der Hacker bei einem Angriff auf das bZx-Protokoll einen Kredit aus einem Vertrag auf und wandelte ihn sofort in Stablecoins um. Da Smart Contracts jedoch nur auf der Grundlage der ihnen zugeführten Daten funktionieren, können sie für einige Exploits anfällig sein. Der Angreifer nutzte dies aus, indem er den Preis des Stablecoins sUSD manipulierte, indem er einen großen Kaufauftrag dafür aufgab, was dazu beitrug, den Preis des Stablecoins auf das Doppelte seines eigentlichen Wertes zu treiben. Von dort aus nahm er einen größeren Kredit auf und nutzte die von ihm getauschten sUSD als Sicherheit. Dann zahlte er alle diese Kredite zurück und nahm das verbleibende Vermögen als Gewinn mit.

Ein weiterer bekannter Flash-Loan-Angriff ereignete sich bereits früher auf derselben Plattform. Der Flash-Darlehens-Angreifer nahm einen Flash-Kredit auf dYdx auf, einer Kredit-DApp, und schickte das Kapital aus diesem Flash-Kredit sowohl an Compound als auch an Fulcrum – auf Fulcrum leerverkaufte der Angreifer ETH gegen Wrapped Bitcoin (WBTC) und nahm gleichzeitig ab ein zusammengesetztes Darlehen der WBTC. Ohne zu sehr auf die Einzelheiten einzugehen: Als der Preis von WTBC aufgrund der Auswirkungen der Übernahme von WBTC durch Fulcrum in die Höhe schoss, verkaufte der Flash-Darlehen-Angreifer seinen WBTC an Uniswap, zahlte seinen eigenen zurück und kam mit der restlichen ETH davon.

Im Mai 2021 erlebte auch der beliebte Yield-Farming-Aggregator PancakeBunny, der auf der Binance Smart Chain basiert, einen Flash-Darlehensangriff. Der Flash-Darlehens-Angreifer hat sich eine große Menge BNB auf PancakeBunny geliehen und so den Preis sowohl gegenüber dem Binance USD Stablecoin als auch den Bunny-Tokens manipuliert – als der Flash-Darlehens-Hacker seinen Bunny auf den Markt brachte, stürzte der Preis ab.