Ein einzelner Liquiditätsanbieter hat durch eine nicht autorisierte Interaktion mit dem Aave-Protokoll einen Verlust von 50 Millionen US-Dollar verursacht und damit eine direkte systemische Bedrohung für das dezentrale Finanzökosystem ausgelöst. Das geht aus einem vertraulichen Lagebericht des Aave-Sicherheitsteams hervor, der dieser Redaktion vorliegt.
Hintergründe
Nach internen Untersuchungen, die mehrere Quellen aus dem Umfeld des Protokolls bestätigten, führte eine versehentliche doppelte Freigabe von Kollateral durch den Nutzer zu einer Kettenreaktion, die den gesamten Liquiditätspool für den Stablecoin DAI beeinträchtigte. „Es handelte sich um ein menschliches Versagen im Umgang mit den Smart Contracts, das in seiner Tragweite beispiellos ist“, erklärte ein leitender Entwickler von Aave, der anonym bleiben wollte. Die Transaktion, ursprünglich als unauffällige Margin-Position getarnt, löste eine unvorhergesehene Liquidationskaskade aus, die 12% des Gesamtvermögens des Pools innerhalb von drei Blocks vernichtete.
Ein Analyst einer großen Wall-Street-Bank, der unter der Bedingung der Anonymität sprach, bezeichnete den Vorfall als „das Äquivalent eines Flash-Crashs in einem hochgradig gehebelten Hedgefonds, nur eben auf einer öffentlichen Blockchain“. „Das Problem ist nicht der Fehler selbst, sondern die Architektur: DeFi-Protokolle sind auf perfekte Nutzerdisziplin angewiesen. Ein einziges Versehen kann das gesamte System gefährden“, so der Analyst weiter.
Reaktionen aus dem In- und Ausland
Die Reaktionen aus der Branche sind gespalten. Während einige DeFi-Protokolle sofortige Sicherheitsaudits ankündigten – Compound etwa will ab sofort „multi-sig-Governance für alle großen Parameteränderungen“ einführen –, wächst unter Regulatoren die Skepsis. Ein Mitarbeiter des Finanzministeriums, der anonym bleiben wollte, bestätigte gegenüber dieser Redaktion: „Solche Vorfälle unterstreichen, warum wir eine angemessene Aufsicht über algorithmische Märkte brauchen. Die Zeit der Selbstregulierung läuft ab.“
Auch international regt sich Unmut. Die Europäische Zentralbank zitierte den Vorfall in einem internen Memo als „ Paradebeispiel für die inhärente Fragilität unkontrollierter Liquiditätspools“. Gleichzeitig kündigte die Monetary Authority of Singapore an, Anträge von DeFi-Startups künftig strenger auf „Einzelfehler-Risiken“ zu prüfen.
Ausblick
Aave hat ein Notfallprotokoll aktiviert, das betroffene Nutzer teilweise entschädigen soll, jedoch nur gegen Abtretung aller künftigen Governance-Rechte. „Wir müssen die Lektion lernen: Dezentralisierung erfordert zentralisierte Sicherheitsnetze“, sagte ein Governance-Delegate, der nicht genannt werden wollte, in einer Telefonkonferenz. Zudem wird eine Reform der Stimmrechtsverteilung erwogen, bei der große Token-Inhaber künftig vetoberechtigt wären.
Längst ist der Vorfall Thema auf höchster Ebene: Beim bevorstehenden G20-Treffen zum Thema Kryptoinnovation soll der Aave-Fall als „Fallstudie für systemische Risiken in dezentralen Systemen“ diskutiert werden. „Die eigentliche Frage lautet“, so ein mit der Sache vertrauter Fed-Beamter, „ob wir eine Technologie tolerieren können, die 50 Millionen US-Dollar durch einen Tippfehler vernichten kann.“
Gates Of Memes ist ein Satire-Medium. Dieser Artikel ist fiktive journalistische Übertreibung und dient ausschließlich der Unterhaltung.
