Bridge-Hacks: Traue niemandem, nicht mal dir selbst

Artikel teilen
IN KÜRZE
  • Bridge-Hacks finden regelmäßig statt und richten großen Schaden an.

  • Es ist essenziell ein gutes Sicherheitssystem für Bridges und Protokolle zu entwickeln.

  • Diese Systeme müssen durch unerwartete Drills regelmäßig getestet werden.

  • promo

    WILLST DU MEHR WISSEN? Auf unserem Telegram-Kanal

Das Trust Project ist ein internationales Konsortium von Nachrichtenorganisationen, die Standards für Transparenz entwickeln.

Bridge-Hacks sind immer wieder in den News. Um die Sicherheit gewährleisten zu können, müssen wir einen gesunden Sinn für Paranoia bewahren, sagt John Shutt vom Across Protocol.

Im letzten Jahr gab es regelmäßig erfolgreiche und schädliche Angriffe auf Cross-Chain-Bridges. Das führte dazu, dass enorme Beträge an Assets gestohlen wurden. Der Trend verdeutlicht, dass die Sicherheit und der Schutz von Blockchain-Bridges immer genauer geprüft und überdacht werden müssen. Zuletzt sorgte der Angriff auf die Ronin-Bridge von Axie Infinity für Schlagzeilen. Die Angreifer erbeuteten dabei mehr als 600 Millionen US-Dollar in Ethereum und USDC.

Der Angriff fand am 23. März statt, aber es dauerte über eine Woche, bis der Diebstahl bemerkt wurde. Ronin-Entwickler gaben schließlich bekannt, dass die Angreifer kompromittierte private Schlüssel für Fake-Auszahlungen verwendet hatten und in zwei Transaktionen die Funds der Ronin-Bridge leerten.

Die Tat war ein verheerender Diebstahl mit massiven Folgen für die rechtmäßigen Eigentümer dieser Assets. Es hat allerdings auch Konsequenzen für die Krypto- und DeFi-Branche als Ganzes. Insbesondere für diejenigen, die sich auf Asset-Bridge-Protokolle konzentrieren und sich bemühen, die Sicherheit zu stärken, Vertrauen aufzubauen und die Funktionalität zu verbessern.

Aus dem Angriff können einige Lehren gezogen werden.

Vertraue niemandem, am allerwenigsten dir selbst

Bei der Sicherheit von Bridges, oder einer anderen Form von Protokoll, ist es wichtig ein System zu haben, das Vertrauen und Überwachung dezentralisiert.

Dafür müssen wir einen gesunden Sinn für Paranoia bewahren. Diese Paranoia, gepaart mit ausfallsicheren Systemen und technischer Expertise, wird zu einem robusten Sicherheitsüberwachungssystem führen. Dazu gehören Alarme, die die richtigen Leute mitten in der Nacht aus dem Bett holen, wenn etwas schiefläuft oder etwas den Anschein macht schiefgelaufen zu sein.

Wir sollten Systeme bauen, die es nicht einmal erforderlich machen, dass wir uns als vertrauenswürdig erweisen, falls unsere eigenen Zugangspunkte kompromittiert werden. Stell es dir wie eine “Jekyll & Hyde”-Vorsichtsmaßnahme vor. Ein System, das sogar dann standhält, wenn du versuchst es zu brechen, nachdem du die Seiten gewechselt hast.

Bridge-Hacks: Technik und Mensch vereint

Starke Überwachungssysteme sollten technische Bots und menschliche Kontrollinstanzen kombinieren. Alles, was ein Entwicklerteam baut, sollte in Verbindung mit Bots entwickelt werden, die eine automatische Überwachung durchführen. Aber es reicht nicht, sich auf Bots zu verlassen. Bots können versagen, und tun dies auch.

Überwachungsdienste von Dritten, die ein technisches Team bei Problemen, Verstößen oder Warnungen alarmieren, sind ebenfalls eine wertvolle Sicherheitsstufe. Eine wichtige zusätzliche Sicherheitsstufe und Konfliktlösung kann mithilfe eines Optimistic Oracle (OO) entwickelt werden. UMA’s OO zum Beispiel hilft dabei, Across zu sichern. Ein Asset-Bridge-Protokoll, das den Relayern Anreize bietet, den Geldtransfer für Nutzer vorzuziehen.

Diese Relayer werden innerhalb von zwei Stunden aus einem Liquiditätspool zurückbezahlt. Transaktionen sind durch die Nutzung des OO gesichert, das als Streitbeilegungsebene fungiert. Das OO prüft und validiert alle Verträge zwischen dem Nutzer, der Geld überweist und dem Versicherer, der die Gebühr erhält.

Das OO fungiert als “Wahrhheitsmaschine” und wird durch eine Community von Leuten gestützt, die Daten aus der realen Welt überprüfen und im seltenen Fall eines Konflikts eine Lösung finden.

Drill, Übung und Vorbereitung

Die besten Sicherheitssysteme der Welt werden immer gegen innovative und strategische Angriffe kämpfen müssen. Die Angreifer haben bewiesen, dass sie in der Lage und gewillt sind, mit der Innovation Schritt zu halten. Es ist ein Wettrüsten.

Deshalb ist es umso wichtiger, die Sicherheitsprotokolle gründlich und intensiv zu testen, um sicherzustellen, dass ihnen im Bedarfsfall vertraut werden kann. Es gibt unterschiedliche Wege, dies zu tun.

Überlege, einen Krisentreffpunkt in deiner Organisation einzuführen. Stell es dir wie einen großen roten Knopf, vor den jeder betätigen kann. So kann sichergestellt werden, dass die richtigen Personen die entsprechende Warnung erhalten – auch wenn es sich nur um eine Vorsichtsmaßnahme handelt.

Bridge-Hacks: Das Testen

Der einzige Weg, um sicherzugehen, dass das System funktioniert, ist es zu testen. Deshalb ist es wichtig, Drills zu haben. Es ist möglich, dass ein wichtiges Mitglied des Teams das Alarmsystem nicht richtig installiert hat oder ein bestimmter Trigger nicht funktioniert. Regelmäßige und unerwartete Drills sind eine gute Möglichkeit, um sicherzustellen, dass das System (und die Personen im Team), richtig und zur rechten Zeit reagieren.

Und schließlich ist es unumgänglich, den Sicherheitsansatz weiterzuentwickeln, wenn sich das Risikoprofil des Protokolls ändert oder erweitert. Je größer du bist, desto härter wirst du fallen. Daher ist es wichtig, ein Sicherheits-Mindset zu entwickeln, das mit deiner Organisation oder Community wächst. Dieses Mindset hält den gesunden Sinn für Paranoia aufrecht und hilft dabei, die Protokolle, die es unterstützen, aufzubauen und zu pflegen.

Über den Autor

John Shutt ist ein Smart-Contract-Ingenieur bei UMA und Mitbegründer von Across Protocol, einer sicheren und dezentralen Cross-Chain-Bridge. Er arbeitet seit über einem Jahrzehnt mit Kryptowährungen und verschlüsselten Nachrichtensystemen.

Haftungsausschluss

Alle auf unserer Website enthaltenen Informationen werden nach bestem Wissen und Gewissen recherchiert. Die journalistischen Beiträge dienen nur allgemeinen Informationszwecken. Jede Handlung, die der Leser aufgrund der auf unserer Website gefundenen Informationen vornimmt, geschieht ausschließlich auf eigenes Risiko.
Share Article

Die Meinung der BeInCrypto-Mitarbeiter mit einer Stimme.

MEHR ÜBER DEN AUTOR

Handeln Sie mit der Nr. 1 unter Deutschlands CFD-Anbietern.*
*Investment Trends 2020 *77% der CFD-kleinanlegerkonten verlieren Geld.

Jetzt handeln