Am 22. November versuchte ein prominenter Hacker, das dezentrale Finanzprotokoll Aave mit einer Reihe ausgeklügelter Leerverkäufe auszubeuten. Doch aufgrund einer Fehleinschätzung der Liquidät von Aave schlug der Exploit fehl. Einen Tag nach dem Angriff haben Aave-Entwickler eine Reihe von Vorschlägen zur Bewältigung der Folgen vorgelegt.
Der Mango Markets Hacker hat wieder zugeschlagen. Wir erinnern uns an Avraham “Avi” Eisenberg – Der Typ, der ein ganzes DeFi-Protokoll trockengelegt hat und im Anschluss mit den erbeuteten Tokens für seinen eigenen Freispruch gestimmt hat. Sein jüngstes Opfer: das Lending-Protokoll Aave. Mit einer Reihe von Trades hat er vor 2 Tagen die inhärenten Schwachstellen des Protokolls ausgenutzt und Aave einen Schaden i.H.v. 1,6 Mio. USD zugefügt.
Wie lief der Angriff auf Aave ab und was hat Curve damit zu tun?
Das Kernmerkmal dezentraler Börsen ist, dass die Nutzer selbst anstelle von Banken oder Unternehmen Liquidität bereitstellen. Wenn Liquiditätsanbieter wiederum Token in die Liquiditätspools der DEX einzahlen, werden sie dazu mit Belohnungen aus dem nativen Utility/Governance-Token angeregt.
Im Fall von Curve.Fi erhalten Liquiditätsanbieter CRV-Token, die dann ausgetauscht werden können, um einen Gewinn aus den Preisunterschieden zu erzielen.
Um eine DEX zu stürzen, müsste man den größten “Anreiztreiber” verfolgen. Was z.B. den Zusammenbruch von FTX auslöste, war der Tweet des CEO von Binance, dass sie ihre FTT-Bestände liquidieren würden. Dies führte zu einem Ausverkauf des nativen Tokens von FTX und seinem Preisverfall.
Da Ethereum eine öffentliche Blockchain ist, sind CRV-bezogene Transaktionen transparent nachvollziehbar. Die Adresse ponzishorter.eth leitete den “Aave-Zerbrechlichkeitstest” und steht in Verbindung mit dem Mango Market Hacker Avraham Eisenberg. Wie wollte Eisenberg also die Liquidität der DeFi-Plattform Aave (AAVE) auf die Probe stellen? Und wie passt der CRV-Token in das Konstrukt?
Eisenberg hatte sich am 13. November CRV-Token auf Aave im Wert von 39,86 Millionen US-Dollar in USDC geliehen. In einem bestimmten Zeitraum entwertete er CRV, indem er es an zentralisierten Börsen verkaufte. Der Verkaufsdruck ließ CRV am Dienstag um -24 % von 0,538 $ auf sein Zweijahrestief von 0,409 $ fallen.
Da CRV auch als Sicherheit für Kredite verwendet wird, droht den Benutzern bei Wertverlust des Tokens die Liquidation. Zu diesem Zeitpunkt sprang Curve.fi-Gründer Michael Egorov ein, indem er 20 Millionen USDC auf Aave lieh, besichert durch CRV, die er dann als Sicherheit hinzufügte.
Mit diesem riskanten Schritt zur Stärkung des Ökosystems von Curve.fi ging Egorov ein Liquidationsrisiko auf Aave ein. Am 21. November hatte Egorov bereits CRV im Wert von 48 Millionen Dollar auf Aave zu einem Liquidationspreis von 0,259. In der Zwischenzeit senkte ponzishorter.eth seine eigene health rate auf 1,39, als sich der CRV-Preis erholte.
Kurz gesagt: Es sah so aus, als wollte Eisenberg testen, ob das Dumping von CRV Positionen auf Aave Liquidationen auslösen kann.
Der Mango Markets Hacker wollte eine angebliche Illiquidität von Aave ausnutzen
Eisenberg ging von einem CRV-Liquiditätsengpass des DeFi-Protokolls Aave aus. Dadurch, so nahm er an, könnte Aave seine CRV-Short-Position nicht decken. Denn sie verfügte nicht über genügend Liquidität, um mehr als 20 % der Sicherheit zurückzukaufen. Dies würde dann Wetten gegen Aave und den Preis seines nativen Tokens begünstigen.
„Das eigentliche Ziel hier war das anfällige Schleifensystem von AAVE, das Avi letzten Monat erwähnte. Die Verwendung von 40 Millionen US-Dollar, um fast 50 Millionen US-Dollar an CRV zu leihen, könnte AAVE mit schweren Forderungsausfällen belasten“, analysierte Arkham.
Eisenberg versuchte also, eine Liquiditätskrise bei Aave herbeizuführen, indem er große Mengen an CRV leerverkaufte, die auf der Plattform wohl illiquide waren, und die Smart Contracts zwang, die Positionen aufgrund der sehr hohen Slippage (über 90 %) mit Verlust zurückzukaufen.
“Um Avis Position zu liquidieren, haben die Liquidatoren von AAVE keine Möglichkeit, alle von ihm geliehenen CRV zurückzukaufen. On-Chain gibt es keine Liquidität, um mehr als ~20 % der Position zurückzuzahlen. AAVE muss erhebliche Mengen an Token aus dem Sicherheitsmodul verkaufen, um diesen Verlust zu decken”, stellte Arkham fest.
Die Auswirkungen auf die Kurse von CRV und Aave
Natürlich gingen die live verfolgbaren Ereignisse nicht spurlos an den beteiligten Token-Werten vorbei. Beide Token gingen durch ein Wechselbad der Gefühle.
Aufgrund der hohen Slippage von knapp 90 % zwischen den Tickern von USDT und CRV und der geschätzten Position von 100 Millionen US-Dollar sollte der CRV-Token im Wert steigen, was der 7-Tages-Chart bestätigt.
Doch auch der native Token des Aave-Protokolls weist Stärke auf:
Denn der Versuch des Angreifers, CRV auf Aave zu shorten, war nicht von Erfolg gekrönt. Die Verantwortlichen des DeFi-Dienstleisters beziehen Stellung:
„In der vergangenen Woche eröffnete der Benutzer eine Short-Position auf CRV mit USDC als Sicherheit. Auf dem Höhepunkt leerte der Benutzer ~92 Millionen CRV-Einheiten (ungefähr 60 Millionen USD). Der Versuch, CRV auf Aave zu shorten, war erfolglos, und der Benutzer verlor ~10 Mio. USD durch die Liquidationen. Der Benutzer wurde vollständig liquidiert, aber trotzdem hat Aave zum heutigen CRV-Preis eine viel geringere (~1,6 Mio. USD) Forderungsausfallposition angesammelt.”
Diese Verschuldung bezieht sich jedoch nur auf den CRV-Markt.
Wie reagieren die Verantwortlichen von Aave?
Obwohl die ~1,6 Millionen US-Dollar im Verhältnis zur Gesamtverschuldung von Aave einen kleinen Betrag ausmacht und deutlich innerhalb der Grenzen des Sicherheitsmoduls liegt, wollen die Entwickler das System aufarbeiten.
Llamas Vorschlag fordert den Insolvenzfonds von Gauntlet und die Finanzabteilung von Aave auf, die uneinbringlichen Schulden zu tilgen. Ein weiterer separater Vorschlag von Gauntlet fordert das vorübergehende Einfrieren einer Liste von Token-Märkten (einschließlich CRV) auf Aave V2.
Ob der DeFi-Space weitere Lehren aus dem Angriffsversuch ziehen kann, bleibt zu analysieren.
Haftungsausschluss
In Übereinstimmung mit den Richtlinien des Trust-Projekts dient dieser Preisanalyse-Artikel nur zu Informationszwecken und sollte nicht als Finanz- oder Anlageberatung angesehen werden. BeInCrypto verpflichtet sich zu einer genauen, unvoreingenommenen Berichterstattung, aber die Marktbedingungen können sich ohne vorherige Ankündigung ändern. Führen Sie immer Ihre eigenen Nachforschungen durch und konsultieren Sie einen Fachmann, bevor Sie finanzielle Entscheidungen treffen. Außerdem bietet die vergangene Performance keine Garantie für zukünftige Ergebnisse.
