Dieser Artikel wurde zuerst auf The Bit Journal veröffentlicht.
Seit Jahren gilt gesperrte Liquidität als eines der vertrauenswürdigsten Signale in der Welt der dezentralen Finanzen. Investoren haben schon immer geprüft, ob die Liquidität gesperrt ist, bevor sie einen Token kaufen, in der Annahme, dass dies ihnen einen gewissen Schutz vor Rug Pulls und Entwickler-Tricks bietet.
Der jüngste DxSale Exploit stellt diese Annahme jedoch infrage. Dem auf der BNB Chain basierenden Launchpad und der Liquiditätssperrplattform wurden Berichten zufolge etwa 7,3 Millionen Dollar gestohlen, wovon fast 1.400 Liquiditätsanbieter Positionen betroffen waren.
Was diesen Vorfall besonders macht, ist die Tatsache, dass die gestohlenen Gelder aus einem System stammten, das speziell darauf ausgelegt war, Liquidität gesperrt und sicher zu halten. Anstelle eines regulären Rug Pulls glauben Ermittler, dass die Angreifer eine Schwachstelle in der Infrastruktur und den administrativen Kontrollen der Plattform gefunden haben.
Dieser Vorfall löst nun alle möglichen Diskussionen über DeFi Sicherheit aus und unterstreicht eine Realität, die viele Investoren gerne übersehen: Gesperrte Liquidität kann zwar einige Risiken verringern, aber sie kann Schwachstellen in Smart Contracts nicht beseitigen.
Was geschah während des DxSale Exploits?
Den Sicherheitsanalysen zufolge zielte der Angriff auf die Liquiditätssperrverträge auf der BNB Chain ab.
Beweise deuten darauf hin, dass es dem Angreifer gelang, in den Besitz einiger privilegierter Admin-Funktionen zu gelangen, die eine Manipulation von Vertragseinstellungen und Auszahlungsmechanismen ermöglichten, die eigentlich unzugänglich hätten bleiben müssen.
Über 1.400 Liquiditätspools wurden getroffen. Forscher für Blockchain Sicherheit wiesen auf administrative Berechtigungen und Eigentumskontrollen als wahrscheinliche Schwachstellen hin. Basierend auf der Analyse verwandelten diese privilegierten Funktionen in Kombination mit geänderten Sperrparametern die vermeintlich gesperrten Einlagen effektiv in auszahlbare Guthaben.
Für die betroffenen Nutzer wurden Gelder, die eigentlich sicher sein sollten, trotzdem abgezogen.
Warum gesperrte Liquidität zu einem Standard in DeFi wurde
Die Sperrung von Liquidität entstand als ein Weg, um eines der frühesten Probleme von DeFi zu lösen: Rug Pulls.
Früher konnten Projektteams einfach die Liquidität von dezentralen Börsen abziehen und sich mit dem Geld der Investoren aus dem Staub machen. Liquiditätssperren wurden eingeführt, um dies zu verhindern, indem die Token der Liquiditätsanbieter in Smart Contracts hinterlegt wurden, die über einen festgelegten Zeitraum keine Auszahlungen zuließen.
Im Laufe der Zeit wurde gesperrte Liquidität zu einem dieser Vertrauenssignale im Kryptobereich.
Die Idee ist recht einfach; wenn die Entwickler die LP-Token nicht in die Hände bekommen, können sie die Liquidität nicht einfach aus dem Pool entfernen. Dieser Schutz ist auch heute noch nützlich.
Der DxSale Vorfall zeigt jedoch, dass die Verhinderung der Entnahme von Liquidität durch Entwickler nur ein Teil der DeFi Sicherheitsgleichung ist.
Wovor gesperrte Liquidität Sie tatsächlich schützt
Liquiditätssperren erfüllen nach wie vor einen Zweck.
Sie erschweren es, Liquidität schnell abzuziehen, erhöhen die Transparenz in Bezug auf Projektverpflichtungen und machen den klassischen Rug Pull unwahrscheinlicher. Sie helfen den Nutzern auch festzustellen, ob Liquidität vorhanden ist und ob dies für eine Weile so bleiben wird.
In vielen Fällen haben diese Mechanismen die Nutzer vor böswilligen Projektgründern geschützt.
Das Problem beginnt, wenn Investoren gesperrte Liquidität als Beweis dafür betrachten, dass das gesamte Protokoll vollkommen sicher ist.
Wovor gesperrte Liquidität Sie nicht schützen kann
An diesem Punkt schätzen viele DeFi Teilnehmer das Risiko falsch ein.
Eine Liquiditätssperre schützt vor der unbefugten Entnahme von Liquidität durch Inhaber von LP-Token. Sie schützt nicht automatisch vor Fehlern im Smart Contract, Codierungsfehlern, Versagen der Governance, kompromittiertem Admin-Zugang, Oracle-Manipulation oder Schwachstellen in der Infrastruktur, mit der sie verbunden ist.
Wenn der Vertrag, der die Sperre durchsetzen sollte, einen Fehler aufweist, können Angreifer leicht einen Weg daran vorbei finden und den Schutz im Grunde nutzlos machen.
Dies ist eine der wichtigsten Lektionen aus dem DxSale Exploit. Die Sperre selbst war nicht das eigentliche Problem, sondern das System, das diese Sperre verwalten sollte, hat versagt.
Die versteckten Risiken für Liquiditätsanbieter
Dieser Vorfall verdeutlicht auch die Tatsache, dass Liquiditätsanbieter mehreren Risiken gleichzeitig ausgesetzt sind.
Ein unbeständiger Verlust kann die Rendite auffressen, wenn die Preise der Vermögenswerte auseinanderlaufen, Marktvolatilität kann den Wert des Pools augenblicklich in die Höhe schnellen oder abstürzen lassen, Smart Contract Schwachstellen können eingezahlte Gelder offenlegen und Infrastrukturabhängigkeiten bringen weitere Risiken durch Dienste von Drittanbietern mit sich.
Selbst wenn die Liquidität weggeschlossen ist, sind diese Risiken immer noch vorhanden und warten nur darauf, zuzuschlagen.
Da die Komplexität von DeFi ständig zunimmt, verlassen sich die Nutzer dieser Systeme immer mehr auf Launchpads, Bridges, Schließfächer, Multisig-Systeme und alle möglichen anderen externen Protokolle. Jede neue Ebene fügt einen weiteren möglichen Angriffsvektor hinzu.
Wenn Sicherheitstools zu zentralen Fehlerquellen werden
Eine der wichtigsten Lektionen aus dem DxSale Fall ist das Konzentrationsrisiko.
Tausende von Projekten verlassen sich alle auf dieselben Launchpads, Liquiditätssperrplattformen und Infrastrukturanbieter, was die Dinge effizienter macht, aber auch eine riesige zentrale Fehlerquelle schafft.
Wenn einer dieser weit verbreiteten Dienste ausfällt, kann die Auswirkung weit über ein einzelnes Projekt hinausgehen.
Genau das ist hier passiert. Eine Schwachstelle in einer Plattform betraf Berichten zufolge fast 1.400 Liquiditätsanbieter Positionen auf einmal.
Für DeFi Sicherheitsexperten sollte dies eine Erinnerung daran sein, dass Bequemlichkeit und Sicherheit nicht immer im Einklang stehen.
Fazit: Was Investoren über die gesperrte Liquidität hinaus prüfen sollten
Die stärksten DeFi Sicherheitsstrukturen sind um mehrere Schutzebenen herum aufgebaut, nicht nur um ein einziges Vertrauenssignal.
Bevor Investoren Kapital investieren, sollten sie untersuchen, wer die Admin-Privilegien kontrolliert, ob Verträge aktualisiert werden können, wie viele unabhängige Audits durchgeführt wurden, ob ein Bug-Bounty-Programm existiert und ob Sicherheitsberichte öffentlich zugänglich sind.
Eine vorhandene Liquiditätssperre mag ein Projekt sicherer machen als eines ohne. Aber das bedeutet nicht, dass es vollkommen sicher ist.
Der DxSale Exploit zeigt, dass Sicherheit ein fortlaufender Prozess ist und nicht nur etwas, das man auf einer Liste abhakt. Investoren, die das verstehen, werden Risiken eher erkennen, bevor sie zu Verlusten führen.
Glossar
DeFi: Dezentrale Finanz-Apps, die auf Blockchain Netzwerken aufgebaut sind.
Liquiditätsanbieter (LP): Ein Nutzer, der Vermögenswerte in einen Liquiditätspool einzahlt, um den Handel zu ermöglichen.
LP-Token: Ein Token, der den Anteil am Eigentum an einem Liquiditätspool repräsentiert.
Rug Pull: Ein Betrug, bei dem Entwickler die Liquidität oder Gelder entfernen und ein Projekt im Stich lassen.
Smart Contract: Selbstausführender Code, der auf einer Blockchain bereitgestellt wird.
Unbeständiger Verlust: Ein vorübergehender Verlust, den Liquiditätsanbieter aufgrund von Preisänderungen der Vermögenswerte erleiden.
Häufig gestellte Fragen zu DeFi Sicherheit und gesperrter Liquidität
Was ist gesperrte Liquidität in DeFi überhaupt?
Gesperrte Liquidität bedeutet, dass LP-Token in einem Smart Contract verschlossen sind, der Auszahlungen für einen bestimmten Zeitraum einschränkt.
Hat die gesperrte Liquidität beim DxSale Exploit versagt?
Nicht wirklich. Die Sperre selbst war nicht das Hauptproblem, sondern Schwachstellen in der Infrastruktur, die es den Angreifern ermöglichten, den Schutz zu umgehen.
Wie viel wurde beim DxSale Hack verloren?
Etwa 7,3 Millionen Dollar wurden Berichten zufolge abgezogen, wovon fast 1.400 Liquiditätsanbieter Positionen betroffen waren.
Verhindert gesperrte Liquidität Rug Pulls?
Es kann helfen, das Risiko eines Rug Pulls zu verringern, indem es Entwickler daran hindert, die Liquidität sofort abzuheben.
Reicht gesperrte Liquidität aus, um ein Projekt zu bewerten?
Nein; Investoren sollten sich auch mit Audits, Governance Strukturen, Smart Contract Sicherheit, Admin-Kontrollen und der Geschichte des Projekts befassen.
Referenzen
