Die größten DeFi Sicherheitslücken im Web3: Wie man ähnliche Verstöße verhindern kann

Dezentrale Finanzprotokolle (DeFi) bieten Nutzern dezentrale Finanzdienstleistungen an, die es ihnen ermöglichen, Transaktionen durchzuführen und Vereinbarungen mit anderen Teilnehmern zu treffen. Obwohl DeFi -Protokolle darauf abzielen, ihren Nutzern eine sichere und zuverlässige Plattform zu bieten, haben mehrere Sicherheitslücken in den letzten Jahren zu erheblichen Verlusten geführt. Dieser Artikel behandelt einige der umfangreichsten DeFi Sicherheitsvorfälle der jüngsten Zeit.

Hier sind die Top 8 der Krypto- DeFi Exploits in Web3 nach Abzug der zurückgezahlten Gelder:

Ronin Chain – 600 Mio. US-Dollar

Der März 2023 war ein ereignisreicher Monat für die Kryptowährungswelt, wobei der Hack der Axie Infinity Ronin Bridge mit 612 Millionen Dollar an der Spitze der Liste stand.

Die Ronin-Bridge ist eine Ethereum Sidechain, die im beliebten Play-to-Earn-Spiel Axie Infinity verwendet wird.

Die Cyberkriminellengruppe Lazarus, die mutmaßlich Verbindungen nach Nordkorea unterhält, erlangte Zugriff auf die privaten Schlüssel von neun Transaktionsvalidatoren. Dadurch konnten sie zwei große Transaktionen genehmigen und die Gelder von ihren Wallet-Adressen transferieren. Glücklicherweise konnte durch die Zusammenarbeit von Behörden, Sicherheitsfirmen und Kryptowährungsbörsen ein Teil dieser Gelder tracwerden, nachdem die Hacker sie zu Tornado cash – einem Open-Source-Krypto-Tumbler – und anderen Börsen transferiert hatten.

Wurmlochbrücke – 323 Mio. US-Dollar

Im Februar 2022 ereignete sich ein bedauerlicherdent , als Krypto-Hacker den Code eines Wurmlochs ausnutzten, um mit Kryptowährung im Wert von 326 Millionen Dollar zu fliehen.

Ein Wurmloch ist eine Token-Brücke zwischen Solana und Ethereum, die den Angriff leider nicht verhindern konnte. Möglich wurde dies durch eine veraltete und unsichere Funktion, die die Signaturprüfung umging und die Kette der Signaturdelegationen ermöglichte.

Experten für Cybersicherheit weisen darauf hin, dass die Entwickler den Angriff hätten verhindern können, wenn sie sichere Programmierpraktiken angewendet und alle Parameter überprüft hätten. Diese Überprüfung hätte die Authentifizierung gültiger Adressen sichergestellt und somit unberechtigten Zugriff auf die Assets in der Blockchain verhindert.

Beanstalk – 181 Mio. US-Dollar

An einem schicksalhaften Wochenende im April 2022 verübte ein Hacker einen Angriff, der die Krypto-Community erschütterte. Mithilfe eines Flash-Kredits – einer Funktion von dezentralen Finanzprotokollen (DeFi) – gelang es ihm, ETH, BEAN-Stablecoin und andere Vermögenswerte im Wert von 182 Millionen US-Dollar aus dem Beanstalk-Stablecoin-Protokoll zu stehlen.

Die Hacker reichten über die Notfall-Commit-Funktion der Beanstalk DAO zwei schädliche Vorschläge ein. Diese Funktion benötigt nach 24 Stunden eine Zweidrittelmehrheit zur Umsetzung. Mithilfe von Flash-Loan-Technologie erlangten die Angreifer die Kontrolle über 79 % der Token, um beide Vorschläge durchzusetzen und ihren Plan erfolgreich umzusetzen.

Die Gelder wurden innerhalb des Protokolls zur Tilgung des Schnellkredits überwiesen, der Restbetrag floss an eine Adresse, die mit einem ukrainischen Notfallfonds verbunden ist. Insgesamt hat die für diese dreiste Tat verantwortliche Person bis zu 76 Millionen US-Dollar veruntreut.

Nomad – 155 Mio. US-Dollar

Der rätselhafte Nomad-Bridge-Hack sorgte am 1. August 2022 für Schlagzeilen. Er schockierte viele Blockchain-Enthusiasten, da Angreifer eine Sicherheitslücke ausnutzten, um Ethereum-basierte Vermögenswerte im Wert von über 190 Millionen Dollar zu stehlen, die in der Multi-Chain-Crossbridge gespeichert waren.

Die Hacker agierten blitzschnell und mit höchster Geschwindigkeit: Hunderte von Wallets waren an 960 Transaktionen beteiligt, die zu 1.175 einzelnen Abhebungen vom gesamten gesperrten Guthaben (Total Value Locked, TVL ) der Bridge führten . Und das alles innerhalb weniger Stunden.

Ein verwirrender Aspekt dieses Hacks war, dass die Benutzer zum Hacken von Brückengeldern lediglich die Transaktionsdaten des ursprünglichen Hackers kopieren und einfügen, die ursprüngliche Adresse durch eine persönliche Adresse ersetzen mussten, und die Transaktion wurde abgeschlossen.

Der Hack löste in der gesamtenDeFi-Community (Decentralized Finance) einen Schock aus und bewies, dass Hacker bei der Ausnutzung von Sicherheitslücken im Code stets einen Schritt voraus sind. Die Nomad-Bridge liefert ein anschauliches Beispiel für die Bedeutung sicherer Programmierpraktiken und unterstreicht, warum Sicherheit auch heute noch eine ständige Herausforderung für Blockchain-Projekte darstellt.

CREAM Finance – 130,8 Mio. USD

Obwohl der Angriff auf CREAM im Oktober 2021 einer der größten Flash-Loan-Raubüberfälle war, handelte es sich sicherlich nicht um einendent. Bei Flash-Loan-Angriffen wird ein sogenannter „Flash Loan“ in Form von Liquidität genutzt, aufgenommen und anschließend innerhalb einer einzigen Transaktion nicht zurückgezahlt.

Durch Ausnutzung von Fehlern in der Preisberechnung können Hacker schnell von ihren Krediten profitieren. Im Fall von CREAM beispielsweise interagierten zwei verschiedene Adressen mit dem yUSDVault, um eine große Anzahl von crYUSD-Token zu prägen. Sie nutzten eine Sicherheitslücke aus, die den Wert dieser Anteile verdoppeln würde. Obwohl sie erfolgreich Gelder im Wert von 130 Millionen US-Dollar erbeuteten, könnten die verfügbaren Sicherheiten im Wert von rund 1 Milliarde US-Dollar weit mehr als diesen Betrag verschlingen. 

Flash-Loan-Angriffe werden immer häufiger, und die Öffentlichkeit sollte sich fragen, wie sie weitere Sicherheitslücken in Zukunft verhindern kann.

BSC Token Hub – 127 Mio. USD

Im Oktober 2022 erbeuteten Hacker durch Ausnutzung einer kritischen Sicherheitslücke im BSC Beacon-Crossbridge-Code Krypto-Assets im Wert von insgesamt 570 Millionen US-Dollar.

Die BSc Beacon Chain, auch bekannt als Token Hub, ist eine Inter-Chain-Brücke, die die BNB Beacon Chain (BEP2) und die BNB Chain (BEP20/BSC) verbindet.

Der Hacker fälschte kryptografische Nachweise, sogenannte Merkle-Beweise, die die Gültigkeit von Daten wie Transaktionen bestätigen sollen. Anschließend nutzte er diese gefälschten Merkle-Beweise, um Gelder von der BSC Beacon-Crossbridge auf andere Blockchains zu transferieren.

Sobald Tether die Adresse der Angreifer auf die Sperrliste setzte, wurden umgehend Maßnahmen ergriffen: Über 7 Millionen Dollar, die von der BNB Blockchain transferiert wurden, wurden eingefroren, wodurch der Großteil ihrer unrechtmäßig erworbenen Gelder beschlagnahmt wurde.

Harmony Horizon – 100 Mio. US-Dollar

Im Juni 2022 wurde das Harmony Horizon Bridge-Projekt kompromittiert, als Hacker zwei der fünf privaten Validator-Schlüssel stahlen, wodurch Betrüger Token im Wert von 100 Millionen Dollar transferieren konnten.

Dieses Sicherheitsproblem entstand durch die Konfiguration der Brücke mit einem 2-von-5-Validierungsschema. Dadurch benötigte der Angreifer nur zwei Genehmigungen, um eine betrügerische Transaktion zu bestätigen. Um ihre traczu verwischen, nutzten die Angreifer Tornado Cash zur Geldwäsche eines Teils ihrer illegalen Gewinne. 

Obwohl dieses System anfangs sicher erscheinen mochte, erwies es sich als lukratives Ziel für Kriminelle und als teure Lektion in Sachen Blockchain-Sicherheit für diejenigen, die dabei erwischt wurden.

Rari- 91 Mio. $

Reentrancy-Angriffe gibt es schon seit den Anfängen von Ethereum. Dabei werden Schwachstellen in dentracausgenutzt, um wiederholt Gelder abzuheben, bevor die ursprüngliche Transaktion genehmigt oder abgelehnt wird.

Im Mai 2022 wurden zwei dezentrale Finanzplattformen auf diese Weise kompromittiert, wobei Hacker 90 Millionen US-Dollar erbeuteten. Jack Longarzo von Rari Capital erklärte, der Angreifer habe die Sicherheitslücken des Unternehmens ausgenutzt, und Fei Protocol, das mit Rari Capital fusionierte, bot dem Hacker eine Belohnung von 10 Millionen US-Dollar an.

Das Blockchain-Sicherheitsunternehmen BlockSec erklärte, dass die Hacker eine Reentrancy-Schwachstelle ausgenutzt hätten. 

Entwickler können diese Art von Angriffen verhindern, indem sietracvor der Bereitstellung auf der Ethereum Blockchain ordnungsgemäß testen und prüfen.

Wie man sich vor DeFi Angriffen schützt

DeFi Protokolle erfreuen sich zunehmender Beliebtheit und Komplexität, wodurch sie zutracZielen für Hacker werden. Im Folgenden finden Sie sieben Tipps, die Ihnen helfen, sich vor DeFi Angriffen zu schützen:

1. Führen Sie vor jeder Investition eine gründliche Due-Diligence-Prüfung durch. Überprüfen Sie den Quellcode der Plattform, die Website, die Teammitglieder und die Social-Media-Kanäle auf Warnsignale.
2. Stellen Sie sicher, dass eine vertrauenswürdige Quelle dietrac, mit denen Sie interagieren, prüft und dass die Prüfergebnisse öffentlich zugänglich sind.
3. Speichern Sie keine großen Geldbeträge in einem einzigen DeFitrac, da dies ihn anfälliger für Angriffe macht.
4. Bleiben Sie über die neuesten Sicherheitsnachrichten auf dem Laufenden, um mehr über neue Sicherheitslücken zu erfahren.
5. Implementieren Sie geeignete Authentifizierungs- und Autorisierungsverfahren für alle Konten, die mit DeFi -Protokollen interagieren.
6. Stellen Sie sicher, dass Ihre Wallet sicher ist, und nutzen Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung.
7. Überwachen Sie regelmäßig Ihre Guthaben und Transaktionen auf der Blockchain, um verdächtige Aktivitäten oder unautorisierte Abhebungen zu erkennen.

Wenn Sie diese Tipps befolgen, können Sie sich vor DeFi Angriffen schützen und die Sicherheit Ihrer Gelder bei der Interaktion mit dezentralen Finanzprotokollen gewährleisten. Es ist jedoch wichtig zu bedenken, dass kein System unfehlbar ist. Daher ist es ratsam, im Umgang mit digitalen Vermögenswerten stets besondere Vorsicht walten zu lassen.

Abschluss

Sicherheit ist generell einer der wichtigsten Aspekte beim Umgang mit Kryptowährungen und DeFi -Protokollen. Leider steigt mit dem Wachstum der Branche auch das Risiko von Betrug. Absolute Sicherheit lässt sich zwar nicht garantieren, doch die folgenden Tipps helfen Ihnen, sich vor DeFi Angriffen zu schützen und Ihr Kapital zu sichern. 

Indem Sie sich über die neuesten Entwicklungen im Bereich Blockchain-Sicherheit auf dem Laufenden halten und sicherstellen, dass für alle Konten geeignete Authentifizierungsverfahren vorhanden sind, können Sie dazu beitragen, dass Ihre digitalen Vermögenswerte sicher bleiben.