Wie sicher sind die Blockchain-Protokolle für DeFi?

03.08.22
Kategorien:

DeFi im Fokus von Hackern: Wie sicher sind die Blockchain-Protokolle für dezentrale Finanz­dienst­leis­tungen?

Decentralized Finance (DeFi) ist dank einer stetig wachsenden Zahl an Anwendungen und hoher Liquidität innerhalb kürzester Zeit zu einem lukrativen Bereich im Krypto-Space geworden – von dem aber nicht nur Anlegerinnen und Anleger, sondern auch Hackerinnen und Hacker profitieren wollen. Cyber-Kriminelle suchen vermehrt nach Schwachstellen in DeFi-Protokollen und können so mit wenigen Hacks bereits hunderte Millionen Dollar erbeuten. Attacken im Bereich DeFi nahmen 2021 schlagartig zu. Die Blockchain ist zwar nach wie vor eine sichere Technologie, doch wie kommen Kriminelle eigentlich an das Krypto-Geld?

Am Donnerstag, den 23. Juni wurde das Blockchain-Unternehmen Harmony One Opfer eines Hacker-Angriffes. Die Diebe erbeuteten verschiedene Altcoins im Wert von 100 Millionen US-Dollar. Die Hackerinnen und Hacker verschafften sich über Harmonys Cross-Chain-Bridge namens Horizon Zugriff auf zahlreiche Token – darunter Wrapped Ether (WETH), Aave (AAVE), Binance USD (BUSD), Tether (USDT). Zur Einordnung: Horizon ist eine sogenannte „Blockchain-Bridge“ („Blockchain-Brücke“), die Token-Transfers zwischen dem Netzwerk von Harmony und drei weiteren Blockchain-Netzwerken, nämlich Ethereum, Binance sowie Bitcoin ermöglicht. Generell stellen Bridges den Transfer zwischen verschiedenen Blockchains sicher. Der Horizon-Hack ist der bislang letzte in einer Reihe spektakulärer virtueller Überfälle der jüngeren Vergangenheit. So wurden im Jahr 2021 insgesamt 251 Hacks registriert, darunter im August der Angriff auf das Netzwerk Polygon, bei dem Kryptos im Wert von 611 Millionen US-Dollar entwendet wurden (die Summe wurde jedoch später vollständig zurückgezahlt).

Lies auch: 
DeFi: Entwicklung, Risiken und Zukunft

Hacker schlagen seltener zu, doch die Beute wird größer

Zwar war die Zahl der Kryptodiebstähle im ersten Halbjahr 2022 rückläufig, dafür wuchs der Wert des entwendeten Kryptovermögens in diesem Zeitraum. Bis Mitte Juni registrierte die Analyseplattform Chainalysis insgesamt 64 Hacks, also deutlich weniger als im Jahr 2021. Gleichzeitig wurden in diesem Zeitraum insgesamt Kryptos im Wert von 1,7 Milliarden Dollar entwendet – darunter Wrapped Ether im Wert von 320 Millionen US-Dollar bei einem Angriff auf die Blockchain-Bridge Wormhole im Januar sowie Assets im Wert von mehr als 600 Millionen Dollar bei einem Angriff auf die dem bekannten Blockchain-Computerspiel Axie Infinity zugrundeliegende Ronin-Bridge im März. Die Summe von 1,7 Milliarden Dollar entspricht nahezu der Hälfte des Gesamtbetrags von 2021: damals erbeuteten Hackerinnen und Hacker insgesamt Kryptos im Wert von 3,2 Milliarden US-Dollar.

Vor allem Netzwerke im Bereich Decentralized Finance (DeFi) werden vermehrt Zielscheibe von Hackerangriffen. So stammten in den ersten drei Monaten des Jahres 2022 fast 97 Prozent aller entwendeten Kryptos von DeFi-Protokollen. Zum Vergleich: 2021 waren es 72 Prozent und im Jahr davor sogar nur 30 Prozent. Angesichts solcher Dimensionen fragen sich viele: Wie sicher ist die Blockchain überhaupt?

Wie werden Blockchain-Netzwerke (insbesondere DeFi-Protokolle) gehackt?

Schaut man sich die großen Hacks der jüngeren Vergangenheit an, zeigt sich schnell, dass die Schwachstellen, über die die Angreifenden in die betroffenen Blockchain-Netzwerke eindringen konnten, meist nicht in der Blockchain selbst lagen. Nicht selten gelangen Hackerinnen und Hacker mittels Social Engineering – also beispielsweise durch den Versand von Phishing-Mails oder Trojanern an Mitarbeitende eines Blockchain-Projektes – an kritische Informationen, wie Wallet-Keys oder an relevante Daten, um Validator Nodes unter ihre Kontrolle zu bringen. Der Zugriff selbst erfolgte häufig über Schnittstellen wie Wallets, in denen Userinnen und User ihre Coins aufbewahren, oder eben über die bereits angesprochenen Blockchain-Bridges.

Lies auch:
Tatort: das Internet. Cyber Security schafft Abhilfe.

Schwachstelle Mensch 

So gelangten die Hackerinnen und -Hacker der Ronin-Bridge über ein gefaktes Jobangebot ins Netzwerk. Das Angebot richtete sich an einen Entwickler von Sky Mavis, einem Validator-Node-Betreiber der Ronin-Bridge. Es befand sich in einer PDF-Datei, die in Wirklichkeit Spyware enthielt. Durch den Download der Datei gelangten die Angreifenden ins Netzwerk von Sky Mavis. Einmal drin, erhielten die Hackerinnen und Hacker bald alle notwendigen Informationen, um fünf von neun Validator Nodes zu kontrollieren und somit Transaktionsprozesse – in dem Fall die Entnahme von Kryptos im Wert von insgesamt mehr als 600 Millionen US-Dollar – zu validieren. Auch bei dem jüngsten Harmony-Hack wird vermutet, dass der Zugriff auf entscheidende Daten im Netzwerk – die kryptografischen Schlüssel einer Multi-Signature-Wallet (mehrfach verschlüsselten Wallet) in der Horizon-Bridge – über Social Engineering erfolgte.

Schwachstelle Zentralisierung 

Vergleichsweis einfach sind derartige Angriffe umzusetzen, wenn das betreffende Netzwerk nicht genügend auf Dezentralität achtet. So waren bei der Multi-Signature-Wallet von Horizon nur zwei von insgesamt vier Signaturen nötig, um die Coins abzuheben. Bei Ronin wurden vier von insgesamt fünf für die Transaktionsvalidierung notwendigen Validator Nodes zum Zeitpunkt des Angriffs von der Spielerentwicklerfirma Sky Mavis verwaltet. An die Daten für den fünften Node gelangten die Angreifenden durch Zufall ebenfalls über das Netzwerk von Sky Mavis. Die Hackerinnen und Hacker mussten also lediglich auf ein System Zugriff bekommen, um genügend Validator Nodes unter ihre Kontrolle zu bringen.

Laut dem Blockchain-Sicherheitsunternehmen Certik war ein Großteil der Blockchain-Hacks im Jahr 2021 auf Zentralisierungsprobleme zurückzuführen. So erbeuteten Hackerinnen und Hacker im vergangenen Jahr dank mangelnder Dezentralität in 44 Fällen insgesamt 1,3 Milliarden US-Dollar. Das entspricht mehr als einem Drittel aller erfolgreichen Hacks in dem Jahr. Nach dem Missmanagement von Private Keys stellen fehlerhafte Ereignisaufträge die zweithäufigste Schwachstelle dar – gefolgt von nicht gesperrten Compiler-Versionen und Code-Zeilen ohne ordnungsgemäße Eingabevalidierung. Meist erfolgen die Angriffe über Drittanbieter. Dazu gehören vor allem sogenannte „Hot Wallets“, die sich auf dem Smartphone befinden oder vom DeFi-Anbieter gehostet werden und mit dem Internet verbunden sind und auch die Betreiber vieler Blockchain-Bridges.

Du willst in die Welt der Kryptowährungen eintauchen? Dann eröffne jetzt ein Fidor Konto.

Konto eröffnen

Schwachstelle Blockchain-Bridge

Derzeit kristallisiert sich heraus, dass sogenannte „Bridges“ zum Hauptangriffspunkt von Hackerinnen und Hackern werden. 80 Prozent des gesamten Vermögens, das im ersten Quartal dieses Jahres aus Blockchain-Netzwerken gestohlen wurde, wurde über Bridges entwendet. Blockchain-Bridges sind Smart Contracts, die die Kommunikation zwischen unterschiedlichen Blockchain-Netzwerken ermöglichen. Das Grundprinzip von Bridges funktioniert so, dass auf einer von zwei Blockchains, zwischen denen der Austausch stattfinden soll, Token in eine Wallet der Bridge verschoben werden. Sobald mithilfe der Bridge die Informationen über diesen Transfer an die zweite Blockchain übermittelt wurden, erzeugt die Bridge auf der zweiten Blockchain sogenannte „synthetische Token“ beziehungsweise „Wrapped Token“ („verpackte Token“). Die Token von Blockchain 1 wurden somit quasi auf Blockchain 2 transferiert. Um die ursprünglichen Token auf Blockchain 1 zurückzuerhalten, müsste eine Userin oder ein User zuerst die Wrapped Token auf Blockchain 2 zurückgeben. Hackerinnen und Hacker versuchen in der Regel, Schwachstellen in den Smart Contracts der Bridges auszunutzen. Bei der Blockchain-Bridge Wormhole gelang es ihnen beispielsweise mittels gefälschter eingespeister Daten, „Wrapped Token“ zu entnehmen, ohne zuvor an anderer Stelle „echte“ Token hinterlegt zu haben.

Ausblick: Ist das Ende der Bridges schon gekommen?

Angesichts der Schäden, die Angriffe auf Blockchain-Bridges in letzter Zeit immer wieder angerichtet haben, ist sich die Blockchain-Community uneins über die Zukunft von Bridges als technologischem Bestandteil des künftigen Web 3.0. Ethereum-Gründer Vitalik Buterin sieht in Bridges ein erhöhtes Sicherheitsrisiko für die Blockchain-Ökonomie und hält die Technologie für den falschen Weg. Fest steht jedoch auch: Visionen wie das Web 3.0 und das Metaverse – also einer neuen, dezentralen Form des Internets, in der reale und virtuelle Welt ineinandergreifen – haben nur eine Zukunft, wenn die zahlreichen Blockchains, die bis dahin entwickelt wurden und werden, miteinander kommunizieren können. Entwicklerinnen und Entwickler wie der Harmony-COO Li Jiang setzen daher trotz aktueller Risiken weiterhin auf Blockchain-Bridges als Lösung. Ein Grund dafür ist, dass sich die Technologie noch am Anfang befindet. Wie bei jeder Technologie müssen Sicherheitslücken ausfindig gemacht und geschlossen und so die Technik langfristig weiterentwickelt werden.

Disclaimer
Trotz sorgfältiger inhaltlicher Kontrolle übernehmen wir keine Haftung für die Inhalte dieser Aussendung. Für den Inhalt verlinkter Seiten sind ausschließlich deren Betreiber verantwortlich. Soweit wir Ihnen steuerliche oder rechtliche Informationen liefern, stellen diese keine Anlageberatung, Steuerberatung oder Rechtsberatung dar. Die hier enthaltenen Aussagen sind nicht als Angebot oder Empfehlung bestimmter Produkte oder Dienstleistungen zu verstehen. Dies gilt auch dann, wenn einzelne Produkte oder deren Emittenten, Dienstleister oder Anbieter explizit erwähnt werden. Sofern die Inhalte und Informationen von Dritten zur Verfügung gestellt wurden bzw. Meinungen Dritter wiedergegeben werden, müssen diese nicht mit unserer Auffassung im Einklang, sondern können sogar im Widerspruch hierzu stehen. Bei Fragen zu rechtlichen oder steuerlichen Auswirkungen im Einzelfall wenden Sie sich bitte in jedem Fall vorher an Ihren Rechts- oder Steuerberater.

Weitere Beiträge aus der Fidor Welt

KRYPTO

Blockchain-Ökonomie: Oracles bringen Licht ins Dunkel

Blockchain-Oracles sind die Brücke zwischen Krypto-Netzwerken, dem klassischen Internet und unserer physischen Welt. Doch die Blockchain-Wegweiser sind nicht ohne Probleme: Zentralisierung und böswillige Akteure können den Informationsfluss lahmlegen.

Erfahre mehr

KRYPTO

Proof of what…?

Proof of Work, Proof of Stake, Proof of Burn, Proof of Capacity… Wie funktionieren die verschie­denen Validierungs­methoden und wo liegen die Vor- und Nachteile?

Erfahre mehr

FINANZEN

Bausparvertrag: Anlegen in die Zukunft (der Kids)

Hurra, Nachwuchs ist da – und die Frage, wie man in die Zukunft des Babys investieren kann. Warum das Sparbuch keine gute Wahl ist, worauf es bei Kinderdepots ankommt und wie der Nachwuchs zur familieneigenen Steueroase werden kann.

Erfahre mehr