Wer On-Chain-DApps entwickelt oder Projekte mit Kapitalverpfändung macht, hört in der Branche oft einen alten Spruch: Beim Token-Standard muss man sich wegen Flash-Loans keine Sorgen machen, beim U-Standard muss man überall auf Angriffe durch Flash-Loans achten. Viele Einsteiger verstehen den Unterschied nicht. Heute erklären wir anhand echter Fälle mit einfachen, nachvollziehbaren Argumenten die dahinterliegende Logik.

Zuerst müssen wir klären, was der Flash-Loan eigentlich ist. Ein Flash-Loan ist ein für die Blockchain typisches Kreditinstrument: Ohne Sicherheiten können in einer einzigen Transaktion enorme Mengen an Tokens geliehen werden; nach Abschluss der Aktion werden sie sofort zurückgezahlt. Das zentrale Vorgehen von Angreifern lautet: In sehr kurzer Zeit riesige Mengen an Tokens verkaufen, um den Token-Preis zu drücken, künstlich eine Kursdifferenz (Wechselkurs-Spreads) erzeugen und dann die Vermögenswerte des Liquiditätspools abgreifen.

1. U-basiert: Stablecoins schaffen Arbitrage-Lücken und werden sehr leicht von Flash-Loans angegriffen

U-basierte Pools halten gleichzeitig Tokens und USDT-Stablecoins. Das Kapital und die Rendite werden vollständig in USD berechnet. Das Gleichgewicht des Pools hängt komplett vom Umtauschkurs zwischen Coin und U ab. Das bietet dem Hacker eine Angriffsfläche. Der Hacker leiht sich massenhaft Tokens, drückt damit den Preis im Pool durch massiven Verkauf und verdreht so den implizierten Umtauschkurs – und raubt die Assets im Pool über diesen verzerrten Wechselkurs ab. Fall 1: In den frühen Tagen nutzte ein DEFI-Liquiditätspool auf der BSC Chain ein BNB/USDT-Handelspaar. Der Hacker leiht sich per Flash-Loan Zehntausende BNB aus, verkauft sie gebündelt, der BNB-Preis im Pool bricht sofort ein. Der Hacker konnte mit nur einer kleinen Menge USDT den Großteil der BNB im Pool gegen USDT tauschen – das Projekt erlitt direkt Verluste in Höhe von mehreren Millionen USD. Fall 2: Einige Finanzierungs-/Staking-Pools bieten BNB-Umtausch zu USDT mit Zins an. Der Hacker erzeugte durch Flash-Loan-Drücken extreme Preisspreads und „trockenlegte“ den gesamten Stablecoin-Bestand im Pool. Für die Nutzer war das Kapital über Nacht auf null – ein typischer Branchenfall, in dem Flash-Loans gestohlen haben. Solange der Pool ein Stablecoin-Handelspaar enthält, besteht für U-basiertes Projekt immer das Risiko, überfallen zu werden – und genau das ist die Wurzel vieler DeFi-Diebstähle.

2. Reiner Coin-Standard: Die ganze Zeit wird nur die native Coin verwendet, wodurch Flash-Loan-Risiken von Natur aus isoliert sind

Reine-Coin-Projekte lassen bei Aufladung, Staking, Dividenden und Auszahlungen durchgehend nur eine einzelne native Token-Sorte zirkulieren – ohne dass irgendein Stablecoin an der Abrechnung beteiligt ist. Die Rendite wird ausschließlich nach der Token-Anzahl berechnet und ist vollständig von der USD-Wechselkursbewertung im Sekundärmarkt entkoppelt. Flash-Loans können den Token nur vorübergehend leihen; nach Abschluss der Transaktion muss alles vollständig zurückgegeben werden. Es können keine nativen Coins „aus dem Nichts“ neu ausgegeben werden. Im Pool gibt es nur genau denselben Coin-Typ; es existiert keine Wechselkursdifferenz zwischen Coin und Stablecoin. Selbst wenn der Hacker den Kurs im Sekundärmarkt massiv drückt, kann er keinen Gewinn „mitnehmen“. Fall 1: Olympus-ähnliches Single-Coin-Staking-Mechanismus: Beim Ein- und Auszahlen nutzen Nutzer nur BNB, und Dividenden werden ebenfalls direkt in BNB ausgezahlt. Selbst wenn ein Hacker den BNB-Preis im Sekundärmarkt stark senkt, gibt es im Pool keinen Stablecoin zum Auscashen. Die geliehenen Token müssen zurückgegeben werden; der Hacker kann die Vermögenswerte im Pool nicht stehlen. Fall 2: Das gesamte zirkulierende Staking-System des Raffi-Protokolls: Alle Liquiditätspools zirkulieren nur nativen Coins on-chain; es wird keinerlei Stablecoin-Handelspaar eingerichtet. Flash-Loans können den Off-Chain-Preis nur kurzzeitig beeinflussen, sie können aber keinen Arbitrage-Spielraum erzeugen – der Hacker hat keinen Ansatzpunkt, um den Angriff zu starten.

Hier ist eine leicht zu übersehende Falle, die ich euch unbedingt in Erinnerung rufen möchte: Viele glauben, „nur Coins zu halten“ sei bereits Coin-basiert. In Wahrheit liegt das Kriterium nicht in euren Beständen, sondern in den Projekt-Funds-Pools. Wenn ein Handelspaar bzw. ein Staking-Pool gleichzeitig Tokens und Stablecoin-U enthält: Selbst wenn ihr nur Tokens ein- und auszahlt, ist das Projekt im Kern weiterhin U-basiert – und das Flash-Loan-Risiko bleibt bestehen. Nur wenn ihr den ganzen Prozess über keinen Kontakt mit Stablecoins habt und ausschließlich mit nativen Coins abrechnet (reiner Coin-Bonding-Mechanismus), könnt ihr Flash-Loan-Risiken von Natur aus vermeiden.

Kurz zusammengefasst: Der Kern von Flash-Loan-Angriffen ist das Ausnutzen von Schwankungen des USD-Preises für Arbitrage. Bei einem U-basierenden Modell werden stabile Coins genutzt und der Hacker bekommt damit Arbitrage-Chancen. Beim reinen Coin-Bonding-Modell ist man nicht an USD-Preisnotierungen gebunden und damit entsteht keine Gewinnmöglichkeit – für Hacker gibt es keinen Ansatzpunkt. Genau das ist auch die grundlegende Logik, die Pure-Coin-DApps wie Olympus oder das Raffi-Protokoll typischerweise damit begründen, warum sie angeblich gegen Flash-Loan-Angriffe resistent seien.