Ein neuer Branchenbericht zeigt, dass Angriffe, die auf Menschen abzielen, und nicht technische Schwachstellen für den Großteil der Verluste im Web3-Bereich verantwortlich sind, trotz Rekordausgaben für Sicherheit in diesem Sektor.
Der Bericht „ Der menschliche Faktor: Warum Echtzeitschutz die fehlende Schicht in der Web3-Sicherheit ist“ , veröffentlicht vom Sicherheitsunternehmen Kerberus , schätzt, dass zwischen Januar und Juni 2025 mehr als 3,1 Milliarden US-Dollar durch Hackerangriffe und Betrug gestohlen wurden. Davon stammten über 600 Millionen US-Dollar aus Phishing-, Wallet-Kompromittierungs- und Social-Engineering-Vorfällen, dent direkt auf Benutzer abzielten, anstatt Blockchain-Code auszunutzen.
Die Zahlen beinhalten den Diebstahl bei der Kryptobörse Bybit in Höhe von 1,46 Milliarden US-Dollar – den bisher größten Kryptoraub. Kerberus merkt an, dass selbst wenn man den Bybit-dent als Ausreißer ausklammert, gezielte Angriffe weiterhin eine bedeutende Verlustquelle im gesamten Ökosystem darstellen.
Der Bericht hebt hervor, was Kerberus als grundlegendes Versagen bei der Ressourcenverteilung im gesamten Web3-Sicherheitssektor bezeichnet. Laut der Analyse des Unternehmens fließt der Großteil der Sicherheitsausgaben weiterhin in Tools, die entweder präventiv – wie Audits und Schwachstellentests – oder erst nach einem erfolgten Diebstahl zum Einsatz kommen, darunter forensische Analysen und die Reaktiondent . Kerberus argumentiert, dass dadurch eine kritische Sicherheitslücke im kurzen Zeitfenster entsteht, in dem Nutzer Transaktionen bestätigen – ein Moment, den Angreifer zunehmend ausnutzen, da er weitgehend ungeschützt bleibt. Trotz steigender Verluste durch Phishing, Wallet-Draining und Social Engineering macht Echtzeitschutz nach wie vor nur einen geringen Anteil der verfügbaren Lösungen aus.
Wichtigste Erkenntnisse aus dem Bericht
Laut der Studie:
- 44% Viele Kryptodiebstähle beruhen auf dem unsachgemäßen Umgang mit privaten Schlüsseln.
- 60% Bei weitreichenderen Cybersicherheitsverletzungen spielen menschliches Versagen eine Rolle.
- 90% Die ausgenutzten Smarttrachatten vor dem Angriff Sicherheitsprüfungen bestanden.
- Die Klickraten bei Phishing-Angriffen liegen auch nach Sicherheitsschulungen 7 und 15 %
Der Bericht legt nahe, dass diese Muster sich fortsetzen, weil der Großteil der Ausgaben für Web3-Sicherheit auf Code-Audits und die Analyse nach einemdent gerichtet ist, während sich Angreifer zunehmend darauf konzentrieren, Benutzer bei Wallet-Interaktionen zu manipulieren.
Das Führungsteam von Kerberus stellt fest, dass die meisten bestehenden Tools vollständig außerhalb des Transaktionsfensters funktionieren. Diese Systeme spielen zwar eine wichtige Rolle bei der Code-Sicherheit und der Analyse von Sicherheitslücken, interpretieren aber weder die Nutzerabsicht noch scannen sie Live-Transaktionen auf Wallet-Ebene. Kerberus betont, dass diese Art von Schutz eine hochentwickelte Echtzeit-Erkennungsinfrastruktur erfordert, die in der Lage ist, Tiefenscans in weniger als einer Sekunde durchzuführen, ohne die Nutzererfahrung zu beeinträchtigen – eine technisch anspruchsvolle Herausforderung, die erklärt, warum derzeit nur eine kleine Minderheit der Anbieter echten Echtzeitschutz bietet.
Der Echtzeitschutz bleibt begrenzt
Kerberus hat 61 aktive Web3-Sicherheitsanbieter überprüft und Folgendes festgestellt:
- 87% vorbeugend vorgehen und sich auf Audits oder forensischedent nach Vorfällen konzentrieren
- Lediglich 13 % bieten Echtzeit-Abwehrmechanismen auf Transaktionsebene, die schädliche Aktionen vor der Genehmigung blockieren können.
Der Bericht stellt fest, dass diese Verteilung dazu beiträgt, zu erklären, warum die Verluste trotz der zunehmenden Anzahl von „Echtzeit“-Lösungen weiterhin hoch bleiben: Viele Anbieter vermarkten Echtzeitfunktionen, aber nur wenige bieten eine Transaktionsblockierung auf Wallet-Ebene an.
Im Bericht angeführte Beispiele
Ein hervorgehobener Fall betrifft einen US-amerikanischen Investor, der 330 Millionen US-Dollar in Bitcoin verlor, nachdem er Opfer eines telefonischen Social-Engineering-Angriffs geworden war, obwohl er seine Gelder jahrelang sicher verwahrt hatte. Ein weiterer Abschnitt verweist auf kompromittierte Websites, gehackte Social-Media-Konten und manipulierte Discord-Server als zunehmende Einfallstore für betrügerische Machenschaften, die zum Verlust von Bitcoin-Geld führen.
Auswirkungen auf den Sektor
Die Autoren argumentieren, dass das aktuelle Modell – bei dem von Nutzern erwartet wird, Risikendenteinzuschätzen, Links zu überprüfen und Phishing-Versuche zu erkennen – vorhersehbare Schwachstellen schafft. Häufige Sicherheitswarnungen können ihrer Ansicht nach zu einer „Warnmüdigkeit“ führen, wodurch Nutzer eher dazu neigen, schädliche Transaktionen zu genehmigen.
Der Bericht kommt zu dem Schluss, dass eine breitere Anwendung der automatisierten Echtzeit-Transaktionsprüfung entscheidend ist, um Verluste zu reduzieren und die breite Nutzung von Web3-Plattformen zu unterstützen.
