Flashloans verstehen

Um Flashloans (zu Deutsch Blitzdarlehen) zu verstehen, müssen wir uns im ersten Schritt traditionelle Kredite anschauen und dessen Funktionen und Limits verstehen. Mit diesem Wissen können wir uns dann auf die Funktionsweise und Bedeutung von Flashloans stürzen und verdeutlichen, inwiefern sie das fehlende Puzzleteil für ein blitzschnellen DeFi-Space sind.

Um das Konzept vollständig zu begreifen, müssen wir verstehen, dass Flashloans eine Adaption eines bestehenden traditionellen Produkts sind, welches jedoch mithilfe der Blockchain-Technologie verbessert wurde.

Kredite im traditionellen Sinne

Wir alle wissen, was Kredite im weitesten Sinne sind. Sich Geld zu leihen, um Dinge zu erwerben/finanzieren, ist nichts sehr Komplexes. Aber die zugrunde liegenden Prozesse und Bedingungen, die Kredite möglich machen, werden oft übersehen.

Das Kreditsystem, wie wir es heute kennen, hat drei Hauptkomponenten:

  1. Kreditwürdigkeit
  2. Sicherheiten
  3. Zinssätze

Institutionen (wie z. B. Banken) führen vor Kreditvergabe meist eine Bonitätsprüfung (zum Testen der Kreditwürdigkeit) durch. D. h. die Institution prüft die finanzielle Vergangenheit des Antragstellers um einzuschätzen, wie dieser seine Finanzen verwaltet und welche Schuldenhöhe ihm zumutbar ist. Denn es ist wichtig, dass der Kredit in monatlichen Raten rückzahlbar ist, ohne zu hohem finanziellen Druck für den Kreditnehmer.

Aufgrund der individuellen Kreditwürdigkeit können einige Institutionen oder sogar Einzelpersonen verlangen, dass eine bestimmte Sicherheit hinterlegt wird, bevor ein Kredit vergeben wird. Das bedeutet, dass eine Person im Voraus einen Geldbetrag hinterlegen muss, der auf die Rückzahlung des Kredits anrechenbar ist oder zurückgezahlt wird, wenn der Kredit vollständig abgezahlt ist. Diese Sicherheitsvorkehrung treffen Kreditgeber, um keinem vollständigen Risiko ausgesetzt zu sein. Antragsteller mit unausreichender Kreditwürdigkeit müssen einen Prozentsatz der gesamten geliehenen Summe als Sicherheit für die Rückzahlung hinterlegen.

Die Finanzierung von Krediten ist kein einfaches Unterfangen und erfordert einen großen Kapitalpool. Das bedeutet, dass die Institutionen oder Personen, die das Geld verleihen, selbst über dieses Kapital verfügen und in den meisten Fällen von der Vergabe solch großer Summen profitieren wollen. Kreditnehmer werden mit Zinssätzen belastet, die im Wesentlichen Gebühren für das geliehene Geld sind. Die Zinsen dienen als Bezahlung für den Service, den die Kreditgeber anbieten. Diese Zinssätze sind in der Regel reguliert und schwanken i. d. R. nur gering, aber sie existieren und erhöhen die Gesamtsumme, die zurückgezahlt werden muss.

Grenzen traditioneller Kredite

Grundsätzlich sind Kredite meistens durch hinterlegtes Kapital oder Vermögenswerte abgesichert. Das bedeutet, dass die Aufnahme von Krediten zur Finanzierung von Dingen für viele Menschen immer noch ein kostspieliges Unterfangen ist, und abhängig vom Zinssatz wird der Aufwand noch größer.

Unbesicherte Kredite bieten eine Lösung für die oben genannte Einlagenanforderung und ermöglichen einen leichteren Zugang zu Kapital. Aber dies geht oft mit einem großen Risiko für den Kreditgeber einher und in der Praxis wird dieses Risiko nur dann eingegangen, wenn der mögliche Profit groß ist. Kreditgeber, die unbesicherte Kredite anbieten, tun dies mit saftigen Zinssätzen obendrauf, die den Kreditnehmer am Ende ähnlich belasten. Bei nicht lohnenswerter Prämie bieten Kreditgeber diese Art von Kredit i. d. R. nur an, wenn der Ruf des Kreditnehmers das Risiko überwiegt, aber diese Fälle sind selten.

Mit der Einführung von lending und borrowing (Verleihen und Leihen) in das Blockchain Umfeld entstanden auch Herausforderungen. Angesichts der dezentralen und anonymen Welt von DeFi können Menschen nicht auf Kreditwürdigkeit überprüft werden, was das Risiko der Kreditgeber erhöht. Aufgrund dessen verlangen die meisten Protokolle von den Kreditnehmern, mehr als 100% des Kreditwertes als Sicherheit zu hinterlegen. Dieses Modell hat die Kreditprotokolle sicher und finanziell gesund gehalten, aber wie wir oben gesehen haben, ist es eine große Belastung für den durchschnittlichen Benutzer.

Flashloans

Mit dem Aufkommen von Smart Contracts und Kreditprotokollen mussten Kredite nicht mehr von Mittelsmännern vermittelt werden. Das schafft im Gegensatz zum traditionellen Bankensektor Möglichkeiten für zusätzliche Anwendungsfälle und eine viel größere Nutzerbasis.

Da die Funktionsweise von Krediten und teilweise überbesicherten Krediten im DeFi Bereich geklärt ist, stellen wir das Flashloan-Konzept vor, das geschaffen wurde, um die Probleme mit der Sicherheit des unterbesicherten Kredits und den hohen Kapitalanforderungen des überbesicherten Kredits zu lösen.

Flashloans sind eine bestimmte Nische von unterbesicherten Krediten. Sie bieten jedem die Möglichkeit, sofort und einfach Kredite aufzunehmen, ohne dass Sicherheiten erforderlich sind. Sie besitzen jedoch die Bedingung, dass der Kredit innerhalb desselben Transaktionsblocks zurückgezahlt wird, in dem er aufgenommen wurde.

Damit kommt sicherlich die Frage auf, wie solche Darlehen nützlich sein können, wenn sie Sekunden später im selben Block zurückgezahlt werden müssen. Wie die Abbildung oben zeigt, können Entwickler Flashloans verwenden, um großes Kapital effizient zu bewegen und so z. B. Markt-Diskrepanzen durch Arbitrage schließen. Flashloans können aber auch für negative Dinge verwendet werden, um beispielsweise Schwachstellen in Smart Contracts oder DeFi-Protokollen auszunutzen.

Hacks durch Flashloans und was davor schützt

Jüngste Ereignisse haben gezeigt, dass Flashloans ein sehr starkes Werkzeug für das Gute, aber auch Schlechte sind. Es gibt eine Vielzahl von Beispielen, wie Flashloans für verschiedene Angriffe verwendet wurden, um eine Menge Kapital aus verschiedenen Protokollen zu extrahieren. Zum Zeitpunkt der Erstellung dieses Artikels hat die DeFi-Industrie fast $300 Millionen an Vermögenswerten durch Flashloan-Angriffe verloren.

Einer der ersten bekannten Flashloan-Angriffe ist der Flucrum-Hack (auf dem bZx-Protokoll). Dabei nahm der Angreifer einen ETH-Flashloan über dYdX auf und teilte die Summe über Einzahlungen auf Compound und Fulcrum auf.

  • Bei Fulcrum ging der Angreifer eine Short-Position auf ETH gegen Wrapped BTC (WBTC) ein, was dazu führte, dass Fulcrum WBTC kaufen musste, um die andere Seite der Position zu decken. Fulcrum tat dies, indem die über Kyber-Protokoll eine WBTC-Kauforder bei Uniswap setzten. Doch der Angreifer wusste, dass Uniswap eine geringe Liquidität für WBTC hatte. Der Preis stieg dadurch deutlich an, was bedeutete, dass Fulcrum die WBTC mit einem großen Aufpreis erwerben musste.
  • Während der Eröffnung der Short-Position auf Fulcrum nahm der Angreifer mit den restlichen ETH von dYdX über Compound einen WBTC-Kredit auf. Durch den WBTC-Kauf seitens Fulcrum, stieg der Preis stark an. Der Angreifer verkaufte die geliehenen WBTC auf Uniswap für ETH und machte dabei hohen Gewinn, nachdem er die ursprünglich von dYdX geliehenen ETH zurückgezahlt und die Differenz eingesteckt hatte.

Nicht einmal die größten und angesehensten Protokolle entkamen solchen Angriffen. Yearn, ein beliebter DeFi-Aggregator, musste aufgrund einer Schwachstelle in seinen Smart Contracts $11 Millionen Verluste einstecken.

  • Der Angreifer begann mit einem ETH-Stablecoin-Flashloan von dYdX und Aave, der verwendet wurde, um DAI und USDC von Compound zu leihen, die wiederum in das Yearn V1 Tresor-Produkt eingezahlt wurden. Dieses Produkt hinterlegt die Gelder der Nutzer in Curve (Stablecoin AMM Exchange) auf dem “3pool”-Produkt, das 3 Stablecoins (DAI, USDT und USDC) enthielt. Der Yearn V1-Tresor verließ sich auf den DAI-Preis, der durch das “3pool”-Produkt angegeben wurde. Auf diese Weise konnte der Angreifer diese Schwachstelle ausnutzen.
  • Der Angriff ging folgendermaßen vor sich: Er zahlte die geliehenen DAI in den V1-Tresor und USDT in den “3pool” ein und zog dann die DAI aus dem Tresor und die USDT aus dem “3pool” ab. Dies führte dazu, dass die Preise von DAI und USDC fielen, während der Preis von USDT anstieg und so dem Angreifer ermöglichte, den Tresor von Yearn V1 zu leeren.

Wie können wir uns vor Flashloan-Attacken schützen?

Das ist die 1-Millionen-Euro-Frage der heutigen DeFi-Industrie, die äußerst schwierig zu beantworten ist. Flashloans an sich sind nicht das Hauptproblem, sondern bringen eine große Innovation in DeFi. Die Möglichkeit, Kredite ohne Sicherheiten aufzunehmen, solange die Liquidität im Rahmen eines Transaktionsblocks wiederhergestellt wird, eröffnet viele interessante Anwendungsfälle für kleine Akteure. So können sie an den Märkten teilnehmen und diese effizienter gestalten. Darüber hinaus ermöglichen Flashloans praktische DeFi-Funktionen wie Selbstliquidation, Arbitrage, Collateral Swapping und vieles mehr.

Die Hauptprobleme liegen hier im Allgemeinen bei 3 großen Verwundbarkeitsfaktoren:

  • Orakel-Manipulation
  • Smart Contract Schwachstellen
  • Wirtschaftliche Schieflage

Orakel sind das wichtigste Werkzeug für Blockchains, um auf Daten außerhalb der Blockchain selbst zuzugreifen. Es ist schwierig, genaue Informationen wie z. B. Preisdaten auf eine sichere und zuverlässige Weise zu erhalten, die zudem dezentral und manipulationssicher ist.

Smart Contracts sind komplexe Werkzeuge, bei denen es sehr schwer ist, sie ausbeutungssicher zu entwickeln. Die meisten Smart Contracts leiden unter Bugs oder schlechten Designentscheidungen, die sie anfällig für Angriffe machen und die erst entdeckt werden, wenn es zu spät ist. Selbst mit umfangreichen Audits sind die Verflechtungen und Abhängigkeiten von Smart Contracts nur schwer zu testen und von Schwachstellen zu bereinigen.

Das ökonomische Design ist von absoluter Wichtigkeit, wenn es darum geht, wie ein Protokoll funktioniert. Die Sicherstellung, dass die Anreize aller Hauptakteure aufeinander abgestimmt sind, ist für die Schaffung einer sicheren Umgebung für das Protokoll von größter Bedeutung. Wird keine solide Anreizstruktur geschaffen, kann dies zu Angriffen führen, die dem Protokoll auf unvorhergesehene Weise Ressourcen entziehen.

Ein Protokoll muss diese 3 Faktoren berücksichtigen, um ein Höchstmaß an Sicherheit und damit Schutz vor Flashloan-Angriffen zu gewährleisten.

Wie können Netzwerke der 3. Generation, wie z. B. Elrond, ihre Nutzer schützen?

In einem so frühen Stadium richtige Einschätzungen zu machen ist nicht ganz einfach, da Flashloans sich auf das schwächste Glied einer Prozesskette stürzen und immer wieder neue Wege gefunden werden, Kapital zur Manipulation von Protokollfunktionen auszunutzen.

Aber wie wir alle wissen, sollte Vorbeugung so früh wie möglich geschehen, um sicherzustellen, dass die 3 großen Schwachstellenfaktoren angegangen werden.

Elrond Network hat bereits einen großen Schritt mit der ‘Formal Verification’ innerhalb der Elrond Smart-Contract-Umgebung gemacht. Elrond arbeitet an der Verbesserung seines Entwickler-Toolkits mit einem Set an formalen Werkzeugen basierend auf dem K-Framework, welches Entwicklern das Coden erleichtern soll, ‘Testing-Code-Coverages’ sofort sichtbar und erweiterbar machen soll. Zudem sollen auch symbolische Ausführungen und formelles Verifizieren der Elrond-Smart-Contracts möglich sein. Das alles wird höhere Sicherheitsstandards etablieren und das Auftreten von Smart Contract Bugs reduzieren.

Orakel auf Elrond (https://elrond.com/assets/files/elrond-ecosystem.pdf)

Ein weiterer großer Schritt von Elrond sind die Partnerschaften von vielen unterschiedlichen Orakeln, wodurch die Möglichkeit der Orakelmanipulation auf die Protokolle und dApps des Netzwerks effektiv reduziert wird. Mehrere Orakelquellen führen zu einer verteilten Datenabrufmethode und damit zu einer robusteren Art und Weise, Nicht-Blockchain-Informationen zu sammeln. Auf diese Weise können Entwickler Orakel dazu verwenden, den Datenfeed von anderen Orakeln zu überprüfen und zu verifizieren, was im Endeffekt ein Sicherheitsnetz schafft.

Und nicht zuletzt sind die wirtschaftlichen Anreize gründlich auf jeden Aspekt des Elrond-Netzwerks ausgerichtet, einschließlich des Designs der EGLD- und MEX-Tokens, die die Benutzer für die Bereitstellung von Sicherheit und Liquidität für das Ökosystem belohnen. Obwohl dies hervorragende Schritte sind, garantieren sie nicht, dass zukünftige Protokolle und dApps, die auf dem Elrond-Netzwerk gebaut werden, alle ein solides Design haben werden. Aber mit der erwarteten Einführung des Maiar-Launchpads, das ausgewählten Projekten viel Unterstützung vom Elrond-Team bieten wird, können wir zuversichtlich sein, dass bessere und belastbarere wirtschaftliche Designs für verschiedene Protokolle und dApps entstehen werden.

Fazit

Abschließend lässt sich sagen, dass Flashloans nicht zur Zerstörung und Ausbeutung geschaffen wurde. Stattdessen haben sie immenses Potenzial, eine Lücke in einem Nischensektor zu schließen, was der traditionellen Finanzwelt bisher nicht gelungen ist.

So können Flashloans Mehrwert schaffen und jedem einen faireren Zugang zu Marktchancen bieten. Protokolle und dApps im DeFi-Bereich müssen bei der Entwicklung Flashloans im Hinterkopf behalten und alle Faktoren und möglichen Angriffsvektoren, die damit einhergehen, in Betracht ziehen.

Istari Vision ist zuversichtlich, dass das Elrond-Netzwerkteam und die Entwicklergemeinschaft in der Lage dazu sind, die derzeitigen Einschränkungen zu überwinden und eine sicherere Umgebung zu schaffen, die resistent gegen Flashloan-Angriffe sind.

Für mehr Informationen, besuchen Sie uns auf:

Trusted Staking-as-a-Service Provider

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Istari Vision

Istari Vision

Trusted Staking-as-a-Service Provider

More from Medium

Cosmoverse Conference 2021 kicks off in Lisbon

It is a Crypto Christmas Miracle

The Binance Referral Code is: FL0GO8FU

Step by step, time for a FinaToken Medium update!