Der jüngste Poly Network Inter-Chain-Hack, der Ethereum, Binance Smart Chain und Polygon umfasst, hat einen großen Hype ausgelöst, unter anderem weil der Hacker die gestohlenen Gelder zurückgegeben hat.
Doch je länger die Angelegenheit andauert, desto mehr Details und Vermutungen über die wahren Motive des Hackers werden bekannt. Und bei näherer Betrachtung stellt sich die Frage, ob es sich tatsächlich um einen vollständig von Außenstehenden durchgeführten Angriff handelt.
Was sich hinter dem Hack verbirgt
Der Poly Network-Hack wurde durch eine Sicherheitslücke in den von Poly Network gebauten Interchain-Brücken ausgelöst. Dies geht aus dem Bericht des Cybersecurity-Unternehmens SlowMist hervor. Die Cybersecurity-Firma BlockSec hat eine Variante des Hacks angeboten. In dieser Version gelangte der Hacker in den Besitz eines Schlüssels, der es ihm ermöglichte, chainübergreifende Transaktionen über die Brücken von Poly Network zu signieren. Außerdem fand er einen Fehler im Smart Contract von Poly Network, der es ihm ermöglichte, seine eigenen Transaktionen zu generieren.
Beide Exploits wären sowohl für Hacker als auch für Prüfer sehr schwer zu finden. Offensichtlich haben die Prüfer den Exploit nicht gefunden. Das weckt den Verdacht, dass der Angriff eventuell nicht von einem externen Hacker durchgeführt wurde. Außerdem muss man den PR-Effekt bedenken, den die Meldung ausgelöst hat. Das lässt vermuten, dass es sich bei der Aktion auch um eine PR-Aktion des Unternehmens gehandelt haben könnte.
Gründe für einen echten Hackerangriff
Dass es sich um einen „echten Hacker“ gehandelt haben könnte, bleibt aber nicht auszuschliessen, wenn man folgende Fakten berücksichtigt. Der Hacker beschloss, die Gelder zurückzugeben. Dies geschah, nachdem die Informationen über die IP-Adresse des Hackers und seine verifizierte Adresse bei der chinesischen Krypto-Börse Hoo.com auf Twitter aufgetaucht waren.
Vor dem Angriff hob der Hacker 0,47 ETH von der Börse ab, um die Gasgebühren für die Transaktionen zu bezahlen. Bei diesem Vorgang wurde die vom Hacker verwendete E-Mail und IP-Adresse registriert. Unter Androhung einer Strafverfolgung beschloss der Hacker, die gestohlenen Gelder zurückzugeben, um einer Anklage zu entgehen. Dies erscheint jedoch eher zweifelhaft, da der Hacker zahlreiche Werkzeuge zur Anonymisierung verwendet hat. Dies war auch in seiner Antwort auf den SlowMist-Bericht zu lesen.
Außerdem ist es interessant, dass der Angreifer einen Teil der gestohlenen Gelder in einen Liquiditätspool von Ellipsis Finance geschickt hat. Dies könnte ihm bereits einen anständigen Gewinn eingebracht haben, so dass der Rest der Gelder das Risiko nicht wert war.
Neuartige Technologie birgt Risiken
Der Hauptgrund für die Hacks ist die Verwendung neuer Programmiersprachen, mit denen viele Blockchain-Entwickler noch nicht ganz vertraut sind, wie z. B. die Programmiersprache Solidity. Die größte Gefahr liegt jedoch in den strukturellen Merkmalen der Smart Contracts, die vor allem im dezentralen Finanzwesen ein Hauptrisiko darstellen.
Auch die Zahl der Sicherheitsbeauftragten ist bei den meisten Blockchain-Startups offensichtlich unzureichend. Einige von ihnen machen sich nicht einmal die Mühe, ihre Technologie einer angemessenen Prüfung zu unterziehen.
Mit dem Wachstum der Branche wächst auch die Zahl der Experten, die sich mit der Technologie befassen. Die große Zahl an Computerfreaks können mittlerweile einige tausend hart arbeitende Menschen in der Branche massiv gefährden, wenn sie sich zu einer Gruppe zusammenschließen. Je mehr die Branche wächst, desto mehr Schwachstellen wird es geben, solange die Sicherheitslage in der Branche so bleibt, wie sie jetzt ist.
Wege zur Abwehr von Cyber-Attacken im Krypto-Bereich
In erster Linie sollte der Sicherheit von Smart Contracts mehr Aufmerksamkeit geschenkt werden. Meistens gelingen Hackerangriffe auf Smart Contracts, die nicht ordnungsgemäß geprüft wurden. Nur ein systemischer Ansatz für die Sicherheit von Blockchain-Projekten könnte es dem DeFi-Sektor ermöglichen, zu skalieren. Dazu gehören von Fachleuten durchgeführte Kontrollen und die Einhaltung von Sicherheitsprotokollen innerhalb des Unternehmens.
Was die Bewältigung der architektonischen Risiken angeht, könnte ein modularer Ansatz die Lösung für das Problem sein. Das Gute an der modularen Entwicklung ist, dass man ein lokales Netzwerk mit sogenannten Blade-Systemen aufbauen kann. Diese können ausgetauscht werden, ohne dass die gesamte Einheit, in der sie arbeiten, abgeschaltet werden muss. Man kann also den Server austauschen, ohne die Arbeit des lokalen Netzes zu beeinträchtigen. So kann ein Modul neu entwickelt werden, ohne die Arbeit des restlichen Technologie-Stacks zu gefährden.
Das Beispiel von Poly Network ist kein Einzelfall: Jedes Projekt, bei dem es um große Summen geht, muss unzählige Codeprüfungen durchlaufen, und es ist immer besser, die Dienste mehrerer Prüfer in Anspruch zu nehmen als die eines einzigen, so gut und professionell er auch sein mag.
Erstens sollte die doppelte Überprüfung in dieser Hinsicht ein Leitprinzip sein. Und zweitens sollte das Projekt nicht überstürzt freigegeben werden, denn der Preis für einen Fehler in einem unveränderlichen Code ist zu hoch. Selbst wenn einige der Freigabetermine verschoben werden müssen, ist es besser, als das Risiko einzugehen, ein Produkt freizugeben, in das man kein absolutes Vertrauen hat. Diese beiden Taktiken können die Risiken erheblich verringern.
Was bedeutet das für die Zukunft?
Möglicherweise handelt es sich um einen Hackerangriff von einem Dritten oder um einen Insider, der einen Hype um das Projekt erzeugen wollte. Derzeit ist es unwahrscheinlich, dass wir die Wahrheit erfahren, bis das Unternehmen seine Untersuchungsergebnisse bekannt gibt.
Sollte es sich jedoch um einen Angriff handeln, der vom Unternehmen aus Gründen der öffentlichen Aufmerksamkeit durchgeführt wurde, wäre es naiv zu erwarten, dass das Unternehmen die Sache aufklärt, da dies sehr schwerwiegende Konsequenzen für alle Führungskräfte des Unternehmens nach sich ziehen könnte. Die Wahrheit ist, dass das Sicherheitsproblem ernsthaft angegangen werden muss. Solange dies nicht der Fall ist, werden wir weitere Schlagzeilen über dramatische Diebstähle in den Krypto-Medien sehen.
Haftungsausschluss
In Übereinstimmung mit den Richtlinien des Trust Project verpflichtet sich BeInCrypto zu einer unvoreingenommenen, transparenten Berichterstattung. Dieser Artikel zielt darauf ab, genaue und aktuelle Informationen zu liefern. Den Lesern wird jedoch empfohlen, die Fakten unabhängig zu überprüfen und einen Fachmann zu konsultieren, bevor sie auf der Grundlage dieses Inhalts Entscheidungen treffen.