coindesk.com
Die beiden größten DeFi-Exploits der vergangenen zwei Monate haben eine Gemeinsamkeit. Sie nutzten ein Tool, das auf dem $XRP Ledger nicht existiert.
Thorchain verlor am 15. Mai etwa 10,8 Millionen US-Dollar durch einen Cross-Chain-Angriff, bei dem Gelder über Bitcoin, Ethereum, BSC und Base abgezogen wurden. Drift Protocol, eine auf Solana basierende dezentrale Perpetual-Börse, und KelpDAO, ein Liquid-Restaking-Protokoll auf Ethereum, verursachten allein bis April zusammen Verluste von über 600 Millionen US-Dollar.
Cross-Chain-Brücken haben seit 2021 laut Chainalysis aufgrund von Angriffen über 2,8 Milliarden US-Dollar verloren. Ein bedeutender Anteil dieser Exploits nutzte dabei eine Variante desselben Mechanismus: Flash Loans.
Ein Flash Loan ist eine Funktion von Smart Contracts, die es einem Händler ermöglicht, Millionen von Dollar ohne Sicherheiten zu leihen, unter der Bedingung, dass der Kredit innerhalb derselben Transaktion zurückgezahlt wird. Zu den legitimen Anwendungsfällen gehören Arbitrage zwischen Börsen, Sicherheitenwechsel ohne Auflösung von Positionen und Liquidations-Bots, die die Zahlungsfähigkeit in Kreditmärkten erhalten.
Das Angriffsmuster ist derselbe Mechanismus, der in die falsche Richtung zeigt.
Ein Kreditnehmer nimmt das Darlehen auf, nutzt die Mittel, um einen Oracle zu manipulieren oder einen schlecht konzipierten Pool auszuschöpfen, erzielt Gewinne aus der Manipulation und begleicht das Darlehen – alles bevor die Transaktion abgeschlossen ist. Sollte ein Schritt fehlschlagen, wird die gesamte Sequenz zurückgerollt, wodurch der Angreifer lediglich das Risiko der Gasgebühren trägt.
Das $XRP Ledger lässt dies nicht zu. Ein Anfang dieser Woche im XRPL-Standards-Repository eingereichter Änderungsentwurf, der konzentrierte Liquidität und StableSwap-ähnliche Pools für den nativen automatisierten Market Maker der Kette vorschlägt, enthielt eine einzige Zeile in seinem Abschnitt zur Sicherheitsbetrachtung: „Flash-Loan-Angriffe sind strukturell unmöglich. XRPL-Transaktionen sind atomar ohne zusammensetzbare innertransaktionale Aufrufe.“
Das bedeutet, dass XRPL-Transaktionen entweder vollständig erfolgreich sind oder vollständig fehlschlagen, ähnlich wie eine Ethereum-Transaktion. Im Gegensatz zu Ethereum kann eine XRPL-Transaktion jedoch während ihrer Ausführung keinen anderen Vertrag aufrufen. Die Abfolge aus Ausleihen-Manipulieren-Zurückzahlen, die einen Flash-Loan-Angriff definiert, erfordert mindestens drei verschachtelte Operationen innerhalb eines einzigen Transaktionsrahmens.
Dies ist eine bedeutende architektonische Entscheidung, die mit Kosten verbunden ist. Flash Loans sind nicht nur ein Angriffswerkzeug. Sie haben sich zu einer strukturellen Komponente von Ethereum DeFi entwickelt, wobei Aave, dYdX und andere wichtige Protokolle sie als Produkt anbieten. Arbitrage-Händler nutzen Flash Loans, um Preisunterschiede zwischen Börsen in einer einzigen atomaren Aktion auszugleichen.
Liquidations-Bots nutzen sie, um überbesicherte Kreditpositionen zahlungsfähig zu halten. Anspruchsvolle DeFi-Nutzer verwenden sie für Besicherungstauschgeschäfte, die sonst Kapital binden würden, das für Stunden blockiert ist. XRPL verzichtet auf all dies, um im Gegenzug die Angriffsfläche vollständig zu schließen.
Während der größten Zeit der XRPL-Historie spielte der Kompromiss keine Rolle, da der DeFi-Anteil der Chain gering war. Das ändert sich jedoch. Tokenisierte reale Vermögenswerte auf dem $XRP Ledger haben einen Gesamtwert von über 3 Milliarden US-Dollar überschritten, einschließlich des Pilotprojekts von Ripple-JPMorgan-Mastercard-Ondo Finance im letzten Monat, das eine tokenisierte Rücknahme von US-Staatsanleihen in weniger als fünf Sekunden abwickelte.
Der vorliegende Entwurf zur Änderung des AMM würde, falls er verabschiedet wird, die Kapital-Effizienz-Lücke schließen, die XRPL DeFi hinter Ethereum zurückhält, und die Kette für ein breiteres Spektrum an Handels- und Ertragsstrategien öffnen.
Wenn die AMM-Änderung angenommen wird und die DeFi-Liquidität von XRPL in Richtung eines Niveaus wächst, das institutionelles Kapital in großem Umfang einsetzen kann, stellt sich die Frage, ob die strukturelle Exploit-Resistenz einen echten Wettbewerbsvorteil darstellt oder ob es sich lediglich um ein Merkmal handelt, das Institutionen zugunsten der bereits verfügbaren Liquidität ignorieren.