Schlechte Laune? Dann hab ich was für euch!

Wie? Nein, kein Schlangenöl! Wobei ... nee doch, ist eigentlich doch Schlangenöl. Jemand hat bei Balancer die Kohle rausgetragen. Das ist alles "Crypto"-Jargon, der mit dem einen Ziel geschaffen wurde, eine Nebelwand zu errichten, um zu verschleiern, was hier wirklich passiert ist. Ich versuche mal eine Erklärung.

Es geht hier um Smart Contracts, d.h. Codestücke in der Blockchain, die "automatisch ausgeführt werden", vom System sozusagen. Die doppelte Steigerung von "keiner ist Schuld". Erstens: Software. Zweitens: "Das System" führt sie aus. Da kann nun wirklich niemand was für.

Was war geschehen? Jemand hat die Dokumentation gelesen.

Nein, wirklich. Das ist alles. Ich zitiere mal:

Decentralized finance (DeFi) liquidity provider Balancer Pool admitted early Monday morning that it had fallen victim to a sophisticated hack that exploited a loophole, tricking the protocol into releasing $500,000-worth of tokens.

Hier muss man mal mit der heißen Machete durch den Bullshit-Jargon durchschneiden, damit man versteht, was passiert ist. "DeFi" ist z.B. ein Nebelwand-Bullshit-Codewort für Crypto-Bullshitwährungen. Das De steht für Decentralized, das stimmt ja sogar, und das Fi ist halt Marketing-Wunschtraum. Wir sind ein Finance Player!!1!

Zurück zum Inhalt. Es gab keinen Hack. Es war auch kein Mensch, der hier Entscheidungen gefällt hat, sondern ein "protocol". Gemeint ist: Code. Sie haben Code geschrieben, der Geld verschenkt. Das ist die Bedeutung des Begriffes "liquidity provider". Liquidität ist in einem Markt, wenn Geld für Transaktionen verfügbar ist. Die Idee ist, dass es Angebot und Nachfrage gibt. Wenn es mehr Angebot als Nachfrage gibt, geht der Preis runter. Wenn es mehr Nachfrage als Angebot gibt, geht der Preis hoch. Solange der Markt liquide ist, gibt es aber immer jemanden, der die Waren abnimmt, oder der Waren verkauft. Nur halt möglicherweise zu einem sehr ungünstigen Preis.

Liquidität am Markt zu haben ist schon bei großen Aktenbörsen teilweise ein Problem, und es gibt dafür Mechanismen (die sogenannten Market Maker). Bei diesen ganzen unseriösen Bullshit-Crypto-Abzockgeschichten gibt es sowas aber natürlich nicht, es gibt ja auch keine Regulierung, das ist alles Wilder Westen. Damit man zumindest eine Bullshit-Geschichte zum Erzählen an Opf... äh zukünftige Kunden hat, wurde dieser Mechanismus geschaffen.

Der verschenkt natürlich nicht einfach an beliebige Passanten Geld, sondern nach Regeln.

Jemand hat jetzt die Dokumentation gelesen, was für Regeln das sind, und die dann künstlich herbeigeführt. Und zwar, wie sich das bei Zockern gehört, auf Pump. Damit der Hebel größer wird.

the attacker had borrowed $23 million-worth of WETH tokens, an ether-backed token suitable for DeFi trading, in a flash loan from dYdX. They then traded, against themselves, with Statera (STA), an investment token that uses a transfer fee model, and burns 1% of its value every time it’s traded.

Was fällt als erstes auf? Kein Hack. Es gab keinen Hack. Jemand hat valide Transaktionen am Markt durchgeführt. Mit eigenem Einsatz. Gut, geliehen, aber er haftet ja für geliehenes Geld.

The attacker went between WETH and STA 24 times, draining the STA liquidity pool until the balance was next to nothing. Because Balancer thought it had the same amount of STA, it released WETH that equated to the original balance, giving the attacker a larger margin for every trade they completed.

Der Code, der das Geld ausschüttet, hat gemäß seinen Regeln Geld ausgeschüttet.

“The person behind this attack was very sophisticated smart contract engineer with extensive knowledge and understanding of the leading DeFi protocols,” 1inch said in its blog post on the breach.

OH NEIN! CHEF WIR HABEN EIN PROBLEM! DER ANGREIFER KANN LESEN!!1!

Ja gut, damit konnte niemand rechnen. Wo kommen wir da hin, wenn Angreifer sich vorher die Dokumentation durchlesen?

the team behind Statera batted away accusations that the protocol had either failed or been designed intentionally for this sort of attack to take place.

Was für ein Angriff? Jemand hat das System regelkonform benutzt, und zwar genau dafür, wofür es gedacht war.

Ergebnis:

The project added that it was not in a position to be able to refund the attacker’s victims.

Ach Gottchen. Lange habe ich nicht mehr so viel Elend gesehen! Mein Mitleid kennt keine Grenzen!

Dies ist glaube ich die richtige Gelegenheit, nochmal den "Smart Contracts"-Teil meines Hypetech-Vortrags zu verlinken. Es ist mir aber an der Stelle wichtig, dass das kein Hackerangriff war. Der Angreifer hat den Code genau dafür angewendet, wofür er gedacht war. Nur haben die Deppen, die den Code geschrieben haben, sich halt vorher nicht ordentlich Gedanken gemacht. Das macht es nicht zu einem Hackerangriff. Eher zu einem Fall von "hättet ihr mal jemanden gefragt, der sich mit sowas auskennt".

Was ich ja immer wieder faszinierend finde: Dass jemand Startups in dem Umfeld noch Geld gibt.

Update: Wird noch besser!

If this sounds familiar, it's because we saw similar attacks happening earlier this year. Back in February, tokenized margin trading and lending platform bZx suffered two attacks, which were defined as not an oracle attack, but "a clever arbitrage execution."

Der Angriff war bekannt, aber sie haben ihn nicht verhindert, weil es nicht ihr Geld war, das sie da verteilt haben.