Hacks: DeFi soll traditionelles Finanzsystem nachahmen

Eine einzige Schwachstelle in einem Smart-Contract kann Nutzer von DeFi-Projekten Millionen an Kapital kosten. Während technische Anfälligkeiten und Bugs bzw. Fehler im Code der erste Angriffspunkt für Hacker sind, sollte man nicht vergessen, dass auch andere Mittel eingesetzt werden, um Gelder aus DeFi-Protokollen zu stehlen.

Formale Prüfungen, Stresstests, Audits und Simulationen: DeFi-Protokolle haben eine lange Liste an möglichen Praktiken und Werkzeugen, die für technische Audits und eine gründliche Überprüfung des Codes auf Bugs und versteckte Schwachstellen jederzeit zur Verfügung stehen. 

Aber all das garantiert nicht die Sicherheit des Protokolls. Einige Schwachstellen entstehen durch Fehler in der Logik des Produkts und der Abhängigkeit von externen Märkten oder DeFi-Bausteinen. Dies sind die sogenannten wirtschaftlichen Schwachstellen, welche zusätzlich wirtschaftliche Audits benötigen und im Allgemeinen viel schwieriger zu erkennen sind. Dies ist nicht zuletzt der Fall, weil das Ökosystem sich ständig weiterentwickelt und jedes Upgrade zu neuen potenziellen Exploits führen kann.

So muss das DeFi-Ökosystem im Bereich Security einen Schritt weiter gehen. Man sollte bessere Verfahren zum Risikomanagement einführen, um Nutzer und Protokolle gleichermaßen vor wirtschaftlichen Gefahren zu schützen. Bei diesen Gefahren handelt es sich unter anderem um Markt- oder Orakel-Manipulationen, die Beeinflussung von verbundenen Protokollen oder die kontinuierliche Suche nach möglichen Fehlern, welche durch Upgrades des Codes entstehen.

Hacks stellen auch weiterhin eine Gefahr dar

Viele Protokolle erlitten Exploits über die Jahre, wobei die beliebtesten Angriffspunkte mittlerweile dokumentiert und ausgebessert wurden. Dennoch existieren auch weiterhin Wege, Protokolle auszubeuten, indem Smart-Contracts oder die geschäftliche Logik des Protokolls beeinflusst werden.

Exploits dieser Art können bei der Durchführung mehrere Protokolle verwenden. Eine Möglichkeit wäre, das Preis-Orakel des Protokolls durch Flash-Loan-Attacken zu manipulieren. Um das zu verstehen, schauen wir uns ein bestimmtes Beispiel an.

Der Exploit von Cream Finance

Dieser passierte im November 2021 und führte zu einem Verlust in Höhe von 130 Millionen USD. Der Angreifer manipulierte den Preis des yUSD, indem er die Liquidität aufblähte und so das Preis-Orakel missbrauchte. Das System glaubte nun, 1 yUSD entspreche 2 USD. So hatte die anfängliche Einlage des Angreifers in Höhe von 1,5 Milliarden USD in yUSD nun einen Wert von 3 Milliarden USD.

Beanstalk

Ein weiterer aktueller Hack nutzte eine Schwachstelle in der Regierungsführung von Beanstalk. Der Hacker nutzte eine Hintertür in der Verwaltung des Protokolls, indem er zwei Drittel der Regierungsgewalt durch einen Flash-Loan erwarb. So konnte er einen Regierungsvorschlag innerhalb eines Tages durchführen (normalerweise braucht man dafür sieben Tage).

Der scheinbar sichere Vorschlag entpuppte sich als ein bösartiger Smart-Contract. Er aktivierte sich mit dem Flash Loan und erleichterte das Protokoll um 182 Millionen USD (zum Zeitpunkt des Exploits).

Beide Attacken nutzten die Logik der Protokolle aus, indem sie die zugrunde liegenden Wirtschaftsprozesse austricksten. Diese Art von Attacken zeigt, wie wichtig Werkzeuge zum Risikomanagement und eine kontinuierliche Überwachung sind, da diese solche Gelegenheiten leicht erkennen und verhindern können.

Hacks und die Einführung von Risiko-Management-Tools für erhöhte Sicherheit

Um zusätzliche Absicherung gegen solche Attacken zu gewährleisten, sollten DeFi-Protokolle mit der Nutzung von Risikomanagement-Regeln und -Werkzeugen anfangen, die sich bereits seit Jahren im traditionellen Finanzsystem bewährten.

So sollten Protokolle beispielsweise zeitverzögerte Transaktionen einführen. Eine solche Funktion kann verdächtige Transaktionen verzögern und Entwickler alarmieren, sodass diese Zeit haben einzugreifen und eventuelle Schäden zu verhindern. Dies könnte man weiter ausbauen, indem man eine Verzögerung mit Überwachungs-Tools verbindet, welche Transaktionen, die eine Gefahr für das Protokoll darstellen, automatisch abbricht oder aufschiebt.

Eine weitere Möglichkeit wäre die Liquiditätsbegrenzung: Die Beschränkung der Anzahl der Gelder, die in einer Transaktion übermittelt werden können. Auch wenn das keine Auswirkungen auf den durchschnittlichen Nutzer hat, kann die Liquiditätsbegrenzung Angriffe wie den Cream-Finance-Exploit verzögern oder verhindern, da es für Hacker schwieriger und teurer wird, den Angriff durchzuführen.

Der DeFi-Sicherheitsbereich kann in hohem Maße von der Erfahrung des traditionellen Finanzwesens im Bereich Cybersecurity profitieren. Dies würde zusätzliche Fachkenntnisse und Spezialisten einbringen, die auf eine höhere Sicherheit und eine stärkere Infrastruktur der Web3-Protokolle hinarbeiten.

Hacks in DeFi: Das sind die nächsten Schritte.

Auch wenn das rapide Wachstum von DeFi für Ottonormalverbraucher und Investoren verlockend ist, ist das Fehlen von Sicherheitspraktiken nach wie vor ein Hindernis für eine breitere Akzeptanz und institutionelle Kunden.

Das allgemeine Publikum benötigt mehr Zusicherungen, wenn es um die Sicherheit ihres Kapitals geht. Wissen und Methoden aus dem traditionellen Finanzwesen können die DeFi-Szene deshalb auf das nächste Level bringen. Mit der richtigen Anwendung kann der DeFi-Sektor stark von Instrumenten für Risikomanagement, betrieblichen Sicherheitspraktiken, Sicherheitsbeschränkungen, und kontinuierlicher Überwachung profitieren.

Über die Autorin:
Kate Kurbanova, eine Blockchain-Veteranin und Aktienhändlerin, ist die Gründerin und COO von Apostro. Apostro ist ein Risikomanagement-Protokoll, das dich vor externen Sicherheitsbedrohungen schützt. Das kann ein dummer Fehler im Code oder ein Exploit durch Orakel-Manipulation sein.

Die besten Krypto-Plattformen | April 2024

CoinEx Erkunden →

Coinbase Erkunden →

YouHodler Erkunden →

Bitpanda Erkunden →

Wirex App Erkunden →

De.Fi Erkunden →