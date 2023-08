PM 21Shares Research: 62-Millionen Hack auf Curve bringt DeFi–Risiken zutage

10. August 2023

Weekly Research Note KW 31

62-Millionen Hack auf Curve bringt DeFi–Risiken zutage

Paypal mit eigenem Stablecoin

Worldcoin-Projekt in Kenia vorerst gestoppt

Von Leena ElDeeb und Karim AbdelMawla, Research Associates

Der Angriff auf einen der größten dezentralen Krypto-Handelsplätze (DEX) Curve Finance und die Sorge vor einem Übergreifen auf den gesamten DeFi-Sektor belasteten in der vergangenen Woche die Stimmung im Krypto-Sektor. Das Blatt wendete sich allerdings überraschend, als der offenbar noch nicht identifizierte Hacker etwa 70 Prozent der insgesamt 62 Millionen Dollar an die Börse zurückgab. Diese Summe hatte er zuvor entwendet, indem er Code-Schwachstellen in der von Curve verwendeten Programmiersprache ausnutzte. Während die Kurse von Bitcoin und Ethereum in der vergangenen Woche um 0,19 bzw. 1,63 Prozent nachgaben, zeigte sich Curve mit einem Plus von 7,57 Prozent aufgrund der zurückgegebenen Gelder als großer Gewinner der Woche. Auch wenn sich der Kurs des zugehörigen Tokens noch nicht vollständig erholt hat, so zeigt der Anstieg des Gesamtwerts von 25,47 Prozent, dass der größte Teil der gestohlenen Gelder wieder auf der Curve-Blockchain sind und nicht außerhalb verschoben wurden

Abbildung 1: Wöchentliche Preis- und TVL-Performance der wichtigsten Krypto-Kategorien

Quelle: Coingecko, DeFi Llama. 7. August 2023.

Drei wichtige Ereignisse, die man im Blick behalten sollte

Arbitrum dezentralisiert seine Validierungstechnologie

Bounded Liquidity Delay (BOLD) – das ist der Name einer neuen Software , die am 3. August von Arbitrum, einer wichtigen Layer-2-Skalierungslösungen für Ethereum, vorgestellt wurde. Es soll den Validierungsprozess von Blockchains, die auf Arbitrum aufbauen, dezentralisieren, indem sie jedem beteiligten Validierer ermöglicht, Betrugsnachweise einzureichen, die Gültigkeit von Transaktionen anzufechten und die Streitbeilegung zu verbessern.

Arbitrum verwendet zur vertrauenswürdigen Aufzeichnung von Transaktionen sogenannte Optimistic-Rollups, um das Netzwerk schneller und effizienter zu machen. Obwohl Optimistic-Rollup-Skalierungslösungen, wie Arbitrum, momentan eine siebentägige Frist zur Validierungsanfechtung eingeführt haben, bleiben sie im Vergleich zum vorherigen Softwaremodell, das einen zentralen Validator vorsah, anfällig für sogenannte Flooding-Angriffe, die ein Netzwerk mit einer großen Anzahl von Daten oder Anfragen überschwemmen. Ein Schwachpunkt, der gelegentlich zu verlängerten Abhebeverzögerungen führen kann. Aus diesem Grund stellt BOLD einen erheblichen Fortschritt in Bezug auf die Dezentralisierung der Skalierung von Ethereum dar, da es endlich eine feste obere Grenze von sieben Tagen für die Zeit festlegt, die benötigt wird, um Transaktionen anzufechten.

Am Tag des Starts der neuen Software verzeichnete Arbitrum die größte Anzahl neu eingerichteter Verträge. Die tatsächlichen Auswirkungen dieser Entwicklung auf das Wachstum des Arbitrum-Ökosystems und seinen Einfluss auf ähnlich konzipierte Skalierungslösungen bleibt noch genau zu beobachten.

Abbildung 2: Gesamtzahl der auf Arbitrum erstellten Verträge

Quelle: @HenryStats on Dune

Tether häuft weiter Bitcoin an

Der Emittent hinter dem in den USA denominierten Stablecoin Tether ist mittlerweile der weltweit elftgrößte Bitcoin-Inhaber. Nach den angekündigten Plänen, überschüssige Gewinne in BTC umzuwandeln, hat Tether 55.000 Bitcoin-Einheiten angehäuft, was einem Marktwert von etwa 1,6 Milliarden Dollar entspricht. Laut dem in der vergangenen Woche veröffentlichten, jüngsten Bescheinigungsbericht stiegen die Überschussreserven des Unternehmens im zweiten Quartal um 800 Millionen Dollar auf insgesamt 3,3 Milliarden Dollar. Diese Entwicklung gilt es nun genau zu beobachten, da die Entscheidung von Tether die Nachfrage nach Bitcoin für das Treasury-Management von Unternehmen erhöht.



Andererseits sollte Tether jedoch überschüssige BTC- und eigene Gewinne in Bargeld umwandeln, um die Widerstandsfähigkeit des Unternehmens gegen unvorhergesehene Herausforderungen zu stärken und das notwendige Kapital für einen schnellen Einsatz in möglichen Bank-Run-Szenarien bereitzustellen. Zumal die aktuellen Barreserven des Unternehmens von 5,3 Milliarden US-Dollar im Dezember 2022 auf 90 Millionen US-Dollar deutlich reduziert wurden, was für einen Stablecoin mit einer Marktkapitalisierung von 85 Mrd. US-Dollar nicht gerade vorteilhaft ist, obwohl das Unternehmen Zugang zu mehreren anderen liquiden Instrumenten wie US-Treasuries, REPOs und Geldmarktfonds hat. Letztendlich stimmen die Wallet-Bestände mit den vierteljährlichen Beständen des Emittenten überein, obwohl die Wallet-Adressen nicht persönlich von Tether bestätigt wurden.

Abbildung 3: Potentielle BTC-Bestände von Tether

Quelle: 21.co/Dune

Altmans Worldcoin-Projekt unter Beobachtung der Behörden – Kenia stoppt Iris-Scans

Am 24. Juli startete der CEO von OpenAI, Sam Altman, Worldcoin, eine dezentrale Lösung zur Identitätsüberprüfung, die auf der Layer2-Skalierungslösung Optimism basiert und von den Nutzern verlangt, ihre Iris zu scannen, um eine Online-ID zu erhalten.



Auf den ersten Blick scheint das Konzept von Worldcoin vielversprechend. Das Sammeln biometrischer Daten einer breiten Masse wird jedoch von der Community kritisch beäugt, vor allem nachdem Worldcoin seine Dienste zuerst in Entwicklungsländern wie Kenia einführte. Die Datenschutzbestimmungen des westafrikanischen Landes erlauben die von Worldcoin angewandten Datenerhebungspraktiken. Und so konnte das Unternehmen eine ungenannte Anzahl von Iris-Scans aus Kenia erfassen, weltweit waren es über 2,2 Millionen. Am 2. August veröffentlichte die kenianische Aufsichtsbehörde (Communications Authority of Kenya) eine Erklärung, in der sie fünf unterschiedliche Bedenken hinsichtlich des Datenschutzes auflistete, darunter Fragen zur Sicherheit und Speicherung der gesammelten biometrischen Daten und zur Einholung der Zustimmung der betroffenen Personen gegen Zahlung einer Geldprämie. Die Behörde wies Worldcoin an, die Datenerfassung bis auf Weiteres einzustellen



In Frankreich teilte die nationale Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) Medien mit, das Worldcoin ihres Wissen nach biometrische Daten sammle und demzufolge Untersuchungen eingeleitet wurden. Wie bekannt wurde, beobachten auch Behörden in weiteren Ländern, darunter Deutschland und in Großbritannien, das Projekt und schon im November 2022 wurden in einigen Ländern Untersuchungen eingeleitet. Ungeachtet dieser prüfenden Blicke durch Behörden erfreut sich das junge Kryptoprojekt nach wie vor steigender Beliebtheit. Altman verkündete, dass er plane, die Dienstleistungen von Worldcoin in Zusammenarbeit mit Regulatoren auch Regierungen und Unternehmen anzubieten – und versicherte gleichzeitig, dass die gesammelten Daten durch einen Verifizierungsmechanismus nach dem Zero Knowledge (ZK)-Prinzip gesichert seien.

Abbildung 4: Anzahl der ausgegebenen WLD-Token

Quelle: 21co/Dune Analytics



PayPal entdeckt Stablecoins für sich

Der Online-Bezahldienst PayPal gab am 7. August den Start seiner eigenen, auf den US-Dollar lautenden Stablecoin bekannt. „Paypal USD“ (PYUSD) wurde in Zusammenarbeit mit dem Stablecoin-Emittenten Paxos auf Basis von Ethereum aufgebaut und ist vollständig durch US-Dollar-Einlagen, kurzfristige US-Staatsanleihen und ähnliche Barmittel gedeckt. Der Pressemitteilung zufolge werden geeignete Kunden in den USA in der Lage sein, ihre Einkäufe mit PYUSD zu bezahlen. In Europa wird diese Funktion seit Mitte Juli von Gnosis und seiner Self-Custodial-Debitkarte in Zusammenarbeit mit Visa und der an den Euro gekoppelten Stablecoin (EURe) angeboten. Sie sind Teil eines Trends, der die Massenakzeptanz von Stablecoins fördert, indem zwei wichtige Anforderungen für Nutzer erfüllt werden: Zahlungslösungen müssen eine vertraute Benutzeroberfläche bieten und sie müssen regulationskonform sein.

PayPal und Visa sind Beispiele für den Einstieg von Akteuren der traditionellen Finanzbranche (sowie des sogenannten Web 2.0) in die Welt der Stablecoins. Das Interesse dieser Unternehmen zeigt auch das Potenzial des Stablecoin-Sektors, dessen Marktkapitalisierung auf 124,5 Milliarden Dollar geschätzt wird – 67 Prozent davon werden von der Stablecoin Tether (USDT) beansprucht. Weitere traditionelle Akteure, vor allem solche, die über bestehende Instrumente verfügen, werden wahrscheinlich nachziehen und versuchen, diese Dominanz zu ihren Gunsten zu kippen. Im Großen und Ganzen ist der Markt umso „gesünder“, je mehr regulierte Akteure in diesem Bereich tätig sind.

Die Auswirkungen des Curve-Hacks

Curve Finance (Token CRV) ist ein bedeutender Name in der Welt der dezentralen Finanzen des neuen Web3 und stellt primär eine dezentrale Tauschbörse für Stablecoins dar. Ende Juli wurde die Handelsplattform Ziel eines Hackerangriffs, der zunächst zu Verlusten in der Höhe von 62 Millionen Dollar führte. Die vom Hacker ausgenutzte Schwachstelle, die mittels eines sogenannten Reentrancy-Angriffs ausgenutzt wurde, stammt aus einer Ethereum-Programmiersprache namens Vyper. Diese Schwachstelle ermöglichte es dem Angreifer, die Abhebungsfunktion wiederholt auszulösen, Sicherheitsvorkehrungen zu umgehen und schließlich alle Guthaben aus den vier betroffenen Pools abzuziehen, bis diese ausgeschöpft waren.

Doch damit nicht genug: Wie kurz darauf bekannt wurde, hat der Angreifer, der als sogenannter White-Hat-Hacker (d.h. ein ethisch handelnder Hacker, der Sicherheitslücken offenbaren will) gehandelt haben könnte, inzwischen 73 Prozent der gestohlenen Gelder zurückerstattet. Aktuell hält er jedoch immer noch rund 18 Millionen Dollar, die an CRV bzw. ETH in einem der vier betroffenen Pools gebunden sind.

Abbildung 5: Saldo des Curve-Hackers in Curve (CRV) und Ethereum (ETH)

Quelle: 21shares/Dune

Wie sich herausstellte, war die existierende Sicherheitslücke auf drei bestimmte Versionen von Curve beschränkt, wodurch sich der Schaden in Grenzen hielt. Dennoch stellt der Hack, auch wenn er die Integrität von Curve nicht ernsthaft beeinträchtigt hat, die Zuverlässigkeit der Risikomanagementpraktiken von DeFi in Frage. Michael Egorov, der Gründer von Curve, besaß fast 35 Prozent des zirkulierenden CRV-Token-Volumens, das er dann dazu verwendete, mehrere Kredite bei den drei größten Kreditprotokollen zu sichern.

Auch wenn der Hacker keine große Menge an CRV besaß, hätte sein Verkauf des Tokens unter den dünnen Liquiditätsbedingungen der letzten Woche eine Kette von Liquidationen auslösen können, beginnend mit Egorovs 85-Millionen-Dollar-Kredit, der durch 168 Millionen CRV-Einheiten gesichert war. Obwohl Egorov seine Kreditmarge in der letzten Woche erhöht hat und durch den außerbörslichen Verkauf von CRV auf rund 57 Millionen Dollar aufstockte, um die Auswirkungen auf den Markt zu dämpfen und die Auswirkungen des Hacks abzumildern, werden die realen Markteffekte des Angriffs sicherlich noch andauern.

Abbildung 6: Gesamte Anzahl an CRV, die von Michael Egorov direkt verkauft wurden

Quelle: @0xramen/Dune

Wie könnten die weiteren Folgen aussehen?

Zum einen dürften Lending-Protokolle die Obergrenze für Kredite in CRV reduzieren, wodurch Forderungsausfälle vermieden werden bis das verfügbare Angebot an CRV-Token wieder gesunken ist. Darüber hinaus könnte das breitere Kreditsegment auf ein dynamisches Zinsmodell umschwenken, das sich – inspiriert durch das V2-Design des Stablecoin-Protokolls von Frax Finance – automatisch an extreme Marktbewegungen anpasst. Zudem ist eine Kombination mit isolierten Kreditmärkten denkbar, die das Risiko auf einzelne Vermögenswerte beschränken.

# # #

Über 21.co

21.co ist ein führender Anbieter von Produkten, die den einfachen Zugang in die Krypto-Welt bieten. 21.co ist die Dachgesellschaft von 21Shares, der weltweit größte Emittent von börsengehandelten Produkten (ETPs) auf Basis von Kryptoassets. Die ETPs werden auf Onyx, einer firmeneigenen Technologieplattform bereitgestellt, die sowohl von 21Shares als auch von Drittpartnern für die Emission und das operative Geschäft mit Kryptowährungs-ETPs genutzt wird. Das Unternehmen wurde 2018 von Hany Rashwan und Ophelia Snyder gegründet und hat seinen Sitz in Zug in der Schweiz sowie Büros in Zürich und New York.

Weitere Informationen: https://21.co

