Der dezentrale Finanzsektor wächst rasant. Vor drei Jahren betrug der in DeFi gesperrte Gesamtwert nur 800 Millionen US-Dollar. Bis Februar 2021 war die Zahl auf 40 Milliarden US-Dollar angewachsen; im April 2021 erreichte es einen Meilenstein von 80 Milliarden US-Dollar; und jetzt liegt es bei über 140 Milliarden US-Dollar. Ein derart schnelles Wachstum in einem neuen Markt konnte die Aufmerksamkeit aller Arten von Hackern und Betrügern auf sich ziehen.
Laut einem Bericht des Krypto-Forschungsunternehmens hat der DeFi-Sektor seit 2019 etwa 284,9 Millionen US-Dollar durch Hacks und andere Exploit-Angriffe verloren. Hacks von Blockchain-Ökosystemen sind aus Sicht von Hackern eine ideale Bereicherung. Da solche Systeme anonym sind, haben sie Geld zu verlieren und jeder Hack kann ohne Wissen des Opfers getestet und abgestimmt werden. In den ersten vier Monaten des Jahres 2021 beliefen sich die Verluste auf 240 Millionen US-Dollar. Und das sind nur die öffentlich bekannten Fälle. Wir schätzen die realen Verluste auf Milliarden von Dollar.
Unsere Top Trading Bots
Verbunden:Zusammenfassung der Krypto-Hacks, Exploits und Überfälle im Jahr 2020
Wie wird Geld aus DeFi-Protokollen gestohlen? Wir haben mehrere Dutzend Hackerangriffe analysiert und die häufigsten Probleme identifiziert, die zu Hackerangriffen führen.
Missbrauch von Drittanbieterprotokollen und Fehler in der Geschäftslogik
Jeder Angriff beginnt in erster Linie mit der Analyse des Opfers. Die Blockchain-Technologie bietet viele Möglichkeiten für das automatische Tuning und die Simulation von Hacking-Szenarien. Damit ein Angriff schnell und unsichtbar ist, muss der Angreifer über die notwendigen Programmierkenntnisse und Kenntnisse über die Funktionsweise von Smart Contracts verfügen. Das typische Toolkit eines Hackers ermöglicht es ihm, seine eigene vollständige Kopie einer Blockchain von der Hauptversion des Netzwerks herunterzuladen und dann den Prozess eines Angriffs vollständig abzustimmen, als ob die Transaktion in einem echten Netzwerk stattfinden würde.
Als nächstes muss der Angreifer das Geschäftsmodell des Projekts und die verwendeten externen Dienste untersuchen. Fehler in mathematischen Modellen der Geschäftslogik und Dienste von Drittanbietern sind zwei der am häufigsten von Hackern ausgenutzten Probleme.
Die Entwickler von Smart Contracts benötigen zum Zeitpunkt einer Transaktion oft mehr relevante Daten, als sie zu einem bestimmten Zeitpunkt besitzen. Sie sind daher gezwungen, externe Dienste zu nutzen – zum Beispiel Orakel. Diese Dienste sind nicht für den Betrieb in einer vertrauenswürdigen Umgebung ausgelegt, sodass ihre Verwendung zusätzliche Risiken birgt. Laut Statistik für ein Kalenderjahr (seit Sommer 2020) machte die jeweilige Risikoart den geringsten Prozentsatz der Verluste aus – nur 10 Hacks, die zu Verlusten von insgesamt etwa 50 Millionen US-Dollar führten.
Verbunden:Die radikale Notwendigkeit, Blockchain-Sicherheitsprotokolle zu aktualisieren
Codierungsfehler
Smart Contracts sind ein relativ neues Konzept in der IT-Welt. Programmiersprachen für Smart Contracts erfordern trotz ihrer Einfachheit ein völlig anderes Entwicklungsparadigma. Die Entwickler verfügen oft einfach nicht über die notwendigen Programmierkenntnisse und machen grobe Fehler, die für die Benutzer zu immensen Verlusten führen.
Sicherheitsaudits eliminieren nur einen Teil dieses Risikos, da die meisten Wirtschaftsprüfungsgesellschaften am Markt keine Verantwortung für die Qualität ihrer Arbeit tragen und sich nur für den finanziellen Aspekt interessieren. Mehr als 100 Projekte wurden aufgrund von Codierungsfehlern gehackt, was zu einem Gesamtverlustvolumen von rund 500 Millionen US-Dollar führte. Ein krasses Beispiel ist der dForce-Hack, der am 19. April 2020 stattfand. Die Hacker nutzten eine Schwachstelle im Token-Standard ERC-777 in Verbindung mit einem Reentrancy-Angriff und kamen mit 25 Millionen Dollar davon.
Verbunden:Die Standardprüfung für DeFi-Projekte ist ein Muss für das Wachstum der Branche
Flash-Kredite, Preismanipulation und Miner-Angriffe
Die an den Smart Contract gelieferten Informationen sind nur zum Zeitpunkt der Ausführung einer Transaktion relevant. Standardmäßig ist der Vertrag nicht immun gegen eine mögliche externe Manipulation der darin enthaltenen Informationen. Damit ist ein ganzes Spektrum an Angriffen möglich.
Flash-Kredite sind Kredite ohne Sicherheiten, die jedoch die Verpflichtung zur Rückgabe des geliehenen Kryptos im Rahmen derselben Transaktion beinhalten. Wenn der Kreditnehmer das Geld nicht zurückgibt, wird die Transaktion storniert (zurückgenommen). Solche Kredite ermöglichen es dem Kreditnehmer, große Mengen an Kryptowährungen zu erhalten und für eigene Zwecke zu verwenden. Typischerweise beinhalten Flash-Darlehen-Angriffe Preismanipulationen. Ein Angreifer kann innerhalb einer Transaktion zunächst eine große Anzahl von geliehenen Token verkaufen und dadurch deren Preis senken und dann eine Reihe von Aktionen zu einem sehr niedrigen Wert des Tokens ausführen, bevor er diese zurückkauft.
Ein Miner-Angriff ist ein Analogon eines Flash-Darlehen-Angriffs auf Blockchains, der auf der Grundlage des Proof-of-Work-Konsensalgorithmus arbeitet. Diese Art von Angriff ist komplexer und teurer, kann jedoch einige der Schutzschichten von Flash-Krediten umgehen. Und so funktioniert es: Der Angreifer mietet Mining-Kapazitäten und bildet einen Block, der nur die Transaktionen enthält, die er benötigt. Innerhalb des vorgegebenen Blocks können sie zunächst Token ausleihen, die Preise manipulieren und dann die ausgeliehenen Token zurückgeben. Da der Angreifer die in den Block eingegebenen Transaktionen sowie deren Reihenfolge selbstständig bildet, ist der Angriff tatsächlich atomar (keine andere Transaktion kann in den Angriff „eingeklemmt“ werden), wie bei Flash-Krediten. Diese Art von Angriff wurde verwendet, um über 100 Projekte zu hacken, mit Verlusten von insgesamt rund 1 Milliarde US-Dollar.
Die durchschnittliche Anzahl von Hacks hat im Laufe der Zeit zugenommen. Anfang 2020 machte ein Diebstahl Hunderttausende Dollar aus. Bis Ende des Jahres waren die Beträge auf mehrere zehn Millionen Dollar gestiegen.
Verbunden:Intelligente Vertrags-Exploits sind ethischer als Hacking ... oder nicht?
Inkompetenz der Entwickler
Die gefährlichste Art von Risiko betrifft den Faktor menschliches Versagen. Auf der Suche nach schnellem Geld greifen die Leute auf DeFi zurück. Viele Entwickler sind schlecht qualifiziert, versuchen aber dennoch, Projekte in Eile zu starten. Smart Contracts sind Open Source und können daher von Hackern leicht kopiert und in kleinem Umfang verändert werden. Wenn das ursprüngliche Projekt die ersten drei Arten von Schwachstellen enthält, werden sie auf Hunderte von geklonten Projekten übergehen. RFI SafeMoon ist ein gutes Beispiel, da es eine kritische Schwachstelle enthält, die über hundert Projekte überlagert wurde und zu potenziellen Verlusten in Höhe von über 2 Milliarden US-Dollar führt.
Dieser Artikel wurde von mitverfasstVladislav Komissarov undDmitry Mishunin.
Die hier geäußerten Ansichten, Gedanken und Meinungen sind die alleinigen der Autoren und spiegeln nicht unbedingt die Ansichten und Meinungen von Cointelegraph wider oder repräsentieren diese.