Interview: Warum Hacker weiterhin DeFi Protokolle angreifen – Lösungsansätze

Zusammenfassung (TL;DR)

• Die Häufigkeit von Hackerangriffen auf Krypto- und DeFi -Protokolle nimmt weiterhin rasant zu.
• Im Jahr 2021 gingen durch Angriffe auf die Kryptoindustrie über 7 Milliarden Dollar verloren.
• Warum Hacker weiterhin die Kryptoindustrie ins Visier nehmen.

Die Welle von Hackerangriffen auf den DeFi Bereich und damit auch auf die Kryptowährungsbranche ist weiterhin ein Grund zur Besorgnis für die Branche.

Berichten zufolge ereigneten sich im Jahr 2021 169 Blockchain-Hacking-Vorfälledentbei denen Hacker fast 7 Milliarden US-Dollar verloren. Allein im letzten Monat wurden mindestens fünf Krypto-Hacks gemeldet, zuletzt das DeFi -Protokoll Cream Finance . Dabei sollen über 130 Millionen US-Dollar gestohlen worden sein

Stattdessen sprach Cryptopolitan mit Dmitry Mishunin, CEO und Gründer von HashEx, einem Forschungs- und Entwicklungsunternehmen mit Fokus auf Blockchain-Integration in Geschäftsprozesse und Cybersicherheit. Dmitry verfügt übertrontechnische Kenntnisse in Cybersicherheit und dezentralen Anwendungen sowie über beeindruckende Erfahrung in der Entwicklung von Informationssicherheitssystemen.

Nachfolgend finden Sie Auszüge aus dem Interview

F: Sind Sie überrascht von der Anzahl der Hacks und Exploits, mit denen Benutzer in letzter Zeit konfrontiert sind?

Leider nein. Immer mehr Menschen schreiben ihre Smarttracselbst. Oftmals fehlt ihnen jedoch das nötige Programmierwissen und ein gutes Verständnis von Solidity – derzeit die einzige mit Ethereumkompatible Programmiersprache. Ein gutes Verständnis dieser Programmiersprache ist unerlässlich für die Entwicklung eines zuverlässigen DeFi Protokolls, und Unkenntnis ihrer Feinheiten kann leicht zu Sicherheitslücken und dem Diebstahl von Geldern führen.

F: Wie kann die Annahme oder Unterzeichnung eines Smarttrac, der Schadcode enthält, zum Diebstahl meiner Vermögenswerte führen?

Jeder Nutzer sollte wissen, dass Blockchain-Transaktionen unumkehrbar sind: Sobald Sie einen bestimmten Betrag eines ERC-20-Tokens einem ERC-20-Smart Contract zuweisentracwird dieser unwiderruflich übertragen. Ein Vertragtraczwar verifizierten Quellcode ohne Sicherheitslücken aufweisen, aber dennoch eine nicht verifizierte Bibliothek als Abhängigkeit verwenden. Die Zuweisung von Tokens zu einem solchen Vertragtracein hohes Risiko, da die Funktionsweise der Bibliothek nicht überprüft werden kann.
Dies war beim StableMarket-Projekt der Fall, bei dem mindestens 27 Millionen US-Dollar an Kundengeldern gestohlen wurden. Die StableMarket-Projektverträgetraczwar geprüften Code, wurden aber mit einer nicht verifizierten Bibliothek bereitgestellt. Diese Bibliothek war schädlich und stahl die im Protokoll gespeicherten Tokens der Nutzer.

Ein weiteres Risiko für Nutzer besteht darin, Token für einen aktualisierbaren Smart Contract freizugebentracEin solcher VertragtracautomatischmaticSchadcode aktualisiert werden und die freigegebenen Token stehlen.
Frontend-Apps geben häufig maximale Token-Mengen für einen Vertrag freitracnicht nur die tatsächlich verwendete Menge. Dies dient der Bezahlung der Transaktionsgebühren (Gas) in einer einzelnen Transaktion. Zahlt ein Nutzer Token für einen Vertrag eintracmuss er zusätzlich die Gasgebühren bezahlen. Handelt ein Vertrag jedochtracbetrügerischer Absicht, kann er beliebige Token-Mengen aus der Wallet abheben.

Die beste Vorgehensweise für maximale Sicherheit ist daher, stets den Genehmigungsbetrag zu überprüfen und nur den Betrag zu genehmigen, der für dietracerforderlich ist.

F: Werden Hacker immer raffinierter oder werden Kryptowährungsnutzer bei ihren Cybersicherheitsmaßnahmen nachlässiger?

Beide Aussagen sind richtig. Hacker haben erhebliche Fortschritte bei der Ausnutzung von Sicherheitslücken in Flash-Kreditplattformen in Verbindung mit verschiedenen Protokollen erzielt. Für sich genommen sind diese Plattformen meist sicher, Flash-Kredite hingegen führen zu einer höheren strukturellen Komplexität, wodurch Sicherheitslücken häufiger auftreten.

Solche Angriffe sind sehr komplex. Schon ihre Analyse ist sehr zeitaufwendig. Hinzu kommen viele Hacks von Projekten mit einfachem, fehlerhaftem Code, der simple Bugs enthält, die bei Tests oder einer ordnungsgemäßen Codeprüfung höchstwahrscheinlich behoben worden wären.
Auch die Nutzer tragen eine Mitschuld, denn viele kennen die Sicherheitsvorkehrungen zur Risikominimierung, wie beispielsweise die Offline-Speicherung von Daten. Doch sie ignorieren diese oft und lassen sich eine Chance entgehen, die ihnen ein Vielfaches an Rendite bringen könnte. Manchmal verlieren sie am Ende einfach nur ihr Geld.

F: Wie können Nutzer ihre Vermögenswerte auf Metamask und zugehörigen dezentralen Anwendungen wie OpenSea und DeFibesser schützen?

Der beste Schutz besteht nicht darin, alle Vermögenswerte in Hot Wallets zu speichern, sondern sie in Cold Wallets zu übertragen, da diese keinen Internetzugang haben. Es empfiehlt sich, nur die für Transaktionen benötigten Vermögenswerte in Hot Wallets zu verwahren und den Rest in Cold Wallets aufzubewahren.
Darüber hinaus sollten Nutzer die üblichen Sicherheitsregeln beachten: Antivirenprogramme verwenden, verdächtige Links in E-Mails nicht öffnen und nach Möglichkeit die Zwei-Faktor-Authentifizierung nutzen.

F: Glauben Sie, dass Hacks und Exploits mit dem Wachstum der Branche häufiger werden?

Mit dem Wachstum der Branche und der zunehmenden Anzahl an Projekten steigt auch das Risiko von Hackerangriffen. Zwar lassen sich nicht alle Fehler in allen Projekten eliminieren, doch Blockchain-Sicherheitsunternehmen arbeiten kontinuierlich daran, deren Anzahl zu minimieren. Dies umfasst nicht nur die Prüfung des Quellcodes von Projekten, sondern auch die Entwicklung von Analysetools, die dazu beitragen, Fehler von vornherein zu verhindern oder sie zumindest in frühen Entwicklungsphasen zu erkennen.

F: Welche Rolle spielt HashEx bei der Expansion der Kryptowährungsbranche?

Wir klären die Öffentlichkeit über die Transparenz und Sicherheit dezentraler Anwendungen auf. Deren Funktionsweise ist für den Durchschnittsnutzer oft zu komplex und undurchsichtig. Niemand würde sein Geld etwas anvertrauen, das er nicht versteht – wie Pinocchio auf dem Feld der Wunder. Wir erklären komplexe Sachverhalte verständlich und weisen auf mögliche Fallstricke hin, die es zu vermeiden gilt. Gleichzeitig unterstützen wir potenzielle Investoren dabei, fundierte Anlageentscheidungen zu treffen.

Wir sind in erster Linie eine Wirtschaftsprüfungsgesellschaft mit Schwerpunkt auf DeFi und Kryptowährungen. Das bedeutet, dass wir zahlreiche Smarttracprüfen und so Kryptoprojekten helfen, das Vertrauen von Investoren zu gewinnen. Investoren vertrauen eher Projekten, die gut gegen kostspielige Fehler abgesichert sind, welche ihre Anleger finanziell treffen könnten.

F: Was halten Sie von den Maßnahmen der G7 und des US-dent Joe Biden zur Bekämpfung von Ransomware, Cybersicherheit und häufigen Krypto-Hacks?

Die kontinuierliche Verbesserung der Sicherheitsstandards ist fester Bestandteil unserer Unternehmenspraxis und -philosophie. Wir wollen Vertrauen in den vertrauenslosen DeFi Bereich bringen. Dieses Thema ist in jedem IT-Bereich von entscheidender Bedeutung, nicht nur DeFi. Angesichts der rasanten Entwicklung neuer Softwareprodukte wird der Cybersicherheit leider nicht genügend Aufmerksamkeit geschenkt, was Hackern Angriffsmöglichkeiten eröffnet. Dafür gibt es im Wesentlichen zwei Gründe: unprofessionelle Programmierung und ein Pool an minderwertigen Arbeitskräften, denen überhöhte Löhne geboten werden.

Dies ist eine Schattenseite des rasanten Wachstums von IT-Unternehmen. In diesem wettbewerbsintensiven Umfeld versuchen die Unternehmen, sich gegenseitig zu übertrumpfen, indem sie neue Produkte auf den Markt bringen und dabei Sicherheitslücken trotz ihrer Bedeutung oft ignorieren. Die Folge sind mitunter große Systeme, die von einer Vielzahl von Kunden genutzt werden, aber dennoch Fehler enthalten, die zu finanziellen Verlusten führen können. Manchmal sind die Auswirkungen dieser Fehler sogar kontinentweit spürbar.

Aus dieser Perspektive ist staatliches Eingreifen vollkommen gerechtfertigt. Denn wenn sich die Bundesstaaten nicht mit diesen Problemen befassten, wer sonst würde gegen gierige Geschäftsleute vorgehen und sie dazu bewegen, sich sinnvoll um Sicherheitsmaßnahmen und die Entwicklung von Software zu bemühen?

Wenn die Bevölkerung beginnt, Hackerangriffe den Regierungsbehörden zu melden, wird sich das positiv auswirken. Rechtzeitige Informationen können dazu beitragen, die Folgen eines möglichen Ausfalls zu minimieren, indem sie die Aktivierung von Notfallkanälen ermöglichen (die Situation mit der Ölversorgung der US-Ostküste kann als gutes Beispiel für diese Vorgehensweise angesehen werden).

Einheitliche Sicherheitsstandards in der gesamten Branche wären ebenfalls von Vorteil, sofern sie von Experten und nicht von Außenstehenden entwickelt werden. Schon in der frühen Entwicklungsphase dezentraler Anwendungen (DApps) sehen wir, dass führende Prüfer solche Standards implementieren. Die Integration dieser Protokolle wird allen Beteiligten helfen: Sie vereinfacht die Programmierung, erhöht die Sicherheit des Codes und schützt zudem die Gelder der Nutzer.

F: Welche Auswirkungen haben diese Hacks auf die Kryptowährungsbranche?

Feedback an die Kryptoindustrie ist ein Versuch, gestohlene Gelder zu kontrollieren. Ich halte das für positiv. Aktuell lassen sich mit Kryptowährungen noch nicht alle Annehmlichkeiten der realen Welt nutzen. Die Situation verbessert sich zwar täglich, ist aber noch lange nicht optimal. Daher benötigen Hacker weiterhin eine Verbindung zwischen Krypto- und Fiatgeld, um illegal erworbene Gelder abzuheben.

In dieser Phase können Kriminelledentwerden. Je mehr von ihnen gefunden werden, desto weniger werden bereit sein, es erneut zu versuchen. Man denke nur an die Praxis in östlichen Kulturen, bei Diebstahl Körperteile abzutrennen. Solche Interventionen der Strafverfolgungsbehörden wirken sich durchweg positiv auf die Kryptoindustrie und ihren Ruf aus. Sie stärken das Sicherheitsgefühl der Menschen.

F: Welche Sanktionen würden Sie den Tätern/Angreifern empfehlen, die hinter vielen dieser Krypto-Hacks stecken, um andere abzuschrecken?

Wie ich bereits sagte, bin ich absolut dafür, solche Personen zu bestrafen. Ich würde solche Machenschaften als Finanzbetrug unterschiedlichen Schweregrades einstufen und entsprechende rechtliche Schritte einleiten. Ich würde zum jetzigen Zeitpunkt nicht versuchen, neue Gesetze auszuarbeiten.

F: Eine Kryptowelt ohne Hacks ist nahezu unmöglich zu erreichen. Wie können Krypto-Akteure, politische Entscheidungsträger und alle anderen die Angriffe auf ein absolutes Minimum reduzieren?

Kein IT-Bereich ist ohne Cyberbedrohungen denkbar. Doch im normalen Geschäftsleben sehen wir nur die Spitze des Eisbergs, nicht das ganze Ausmaß des Problems. Viele weitere Hackerangriffe bleiben unentdeckt, da Unternehmen ihren Ruf gefährden könnten, wenn solche Informationen an die Öffentlichkeit gelangen. Bei Kryptowährungen ist alles transparent und öffentlich bekannt, weshalb die Massenmedien häufiger darüber berichten.

Cybersicherheit ist ein vielschichtiges Feld, das regulatorische Rahmenbedingungen an den Schnittstellen zwischen Krypto- und Fiatwährungstransaktionen, Nutzerschulungen, Code-Überprüfungen durch Cybersicherheitsteams usw. umfasst. Die Branche ist noch jung, was eine hervorragende Gelegenheit bietet, ihre Entwicklung in die richtige Richtung zu lenken. So können wir von Anfang an sicherere Praktiken anwenden, anstatt später Sicherheitslücken notdürftig zu beheben.