DeFi-Hacks: Smart-Contracts sind die größte Schwachstelle

In einem kürzlich veröffentlichten Untersuchungsbericht analysierte Token Terminal die Hauptgründe für DeFi-Exploits. Bei einem Exploit nutzen Hacker Schwachstellen eines Systems aus, um sich einen Vorteil zu verschaffen. Smart-Contract Schwachstellen waren bisher der meistgenutzte Angriffspunkt.

Zusammen mit dem Interesse am dezentralisierten Finanzwesen (DeFi) stieg auch die Zahl der Hacks und Rug-Pulls im DeFi-Bereich massiv an. Bis dato gab es schätzungsweise 105-On-Chain-Exploits, bei denen knapp 4,2 Milliarden US-Dollar gestohlen wurden.

Die Analysten kamen zu dem Ergebnis, dass die größten Hacks (gemessen an dem Volumen) im Zusammenhang mit Cross-Chain-Bridges und zentralisierten Börsen-Wallets stattfanden. Yield-Aggregatoren und Lending-Protokolle sind dagegen das häufigste Ziel der Kriminellen. In dem Analysebericht heißt es dazu:

“Die größten Exploits finden tendenziell über mehrere Chains oder auf großen Ökosystembrücken statt.”

FBI warnt DeFi-Investoren

Bei den bisher drei größten DeFi-Exploits der Geschichte

• dem Ronin Network Hack (624 Millionen US-Dollar)
• dem Poly Network Hack (611 Millionen US-Dollar)
• dem Angriff auf die Wormhole-Bridge (326 Millionen US-Dollar)

handelt es sich um Angriffe auf Cross-Chain-Bridges. Laut dem Bericht von Token Terminal gingen im Schnitt bei jedem Cross-Chain-Bridge-Hack 188 Millionen US-Dollar verloren.

Das US Federal Bureau of Investigation (FBI) untersuchte ebenfalls kriminelle Aktivitäten im DeFi-Bereich und warnte die Bevölkerung kürzlich vor den damit verbundenen Gefahren. In einer vor kurzem veröffentlichten Mitteilung erklärt das FBI:

“Cyber-Kriminelle nutzen zunehmend Schwachstellen in den Smart Contracts der DeFi-Plattformen aus, um Kryptowährung zu stehlen, wodurch Anleger Geld verlieren. (…) Cyber-Kriminelle versuchen, das erhöhte Krypto-Interesse der Anleger sowie die Komplexität der Cross-Chain-Funktionalität und die Open-Source-Eigenschaften der DeFi-Plattformen auszunutzen.”

Yield-Aggregatoren und Lending-Protokolle sind die am häufigsten angegriffenen Systeme. Allerdings ist der durchschnittliche Verlust bei Angriffen auf diese Systeme deutlich geringer. Cross-Chain-Bridges und zentralisierte Exchanges erleiden typischerweise die größten Verluste. Laut Token Terminal sind 52 % (2,2 Milliarden US-Dollar) aller bei DeFi-Exploits gestohlenen Assets von Cross-Chain-Bridges und zentralisierten Exchange-Wallets gestohlen worden.

DeFi: Private Keys schützen ist die einfachste Lösung

Die drei häufigsten Angriffsvektoren bzw. Angriffspunkte für die Exploits waren Smart-Contract-Loopholes, gestohlene Private Keys und Frontend-Spoofing (“Frontend-Manipulation”).

Smart-Contract-Loopholes wurden typischerweise bei Flash-Loan- und Oracle-Manipulationen ausgenutzt und bei 73 % aller Hacks seit September 2020 verwendet. Automatisierte Verifikationen und DeFi-Security-Audits sind die zwei Hauptlösungen für Smart-Contract-Risiken, werden aber bisher kaum eingesetzt.

Die größten Hacks (durchschnittlich 91 Millionen US-Dollar) fanden im Zusammenhang mit gestohlenen Private Keys statt. Kriminelle nutzen oftmals Phishing-Attacken, um an die Keys zu gelangen. Dabei ist dieser Angriffsvektor gleichzeitig am leichtesten zu vermeiden. Wenn du deine Private Keys sicher aufbewahrst und nicht auf einer gefährlichen Plattform nutzt, dann kannst du die mit dem Key verbundenen Assets leicht schützen.

Bei dem sogenannten Frontend-Spoofing nehmen die Kriminellen die Plattform-Nutzer und nicht die Gelder der Plattform ins Visier. Typischerweise nutzen die Angreifer Techniken wie DNS-Cache-Manipulationen, um zum Beispiel die IP der Webseite mit einer Kopie zu ersetzen. Bei einem der bisher größten DeFi-Exploits “spooften” Kriminelle das Frontend der BadgerDAO und erbeuteten 120 Millionen US-Dollar.

Das FBI empfiehlt den DeFi-Plattformen für solche Vorfälle, Echtzeit-Analysen, Monitoring und strenge Tests zu etablieren. Außerdem riet die Behörde den Plattformen, ein Notfall-Konzept auszuarbeiten.

Krypto-Hacker verwendeten bei den oben genannten Beispielen häufig sogenannte Krypto-Mixer, um die Herkunft der Coins zu verschleiern. Nachdem Behörden den Krypto-Mixer Tornado Cash sanktioniert hatten, entwickelt sich im DeFi-Space ein neuer Trend: DeFe.

Krypto-Plattformen entwickeln DeFe

Nach dem Verbot des populären Krypto-Mixers Tornado Cash suchen Hacker nach neuen Optionen, um gestohlene Gelder zu waschen. Zahlreiche Wallet-Adressen, die mit Tornado-Cash in Verbindung stehen, wurden nach den Maßnahmen der US-Behörden blockiert. Wie wir bereits berichteten, entwickeln einige DeFi-Projekte, wie dYdX, Liquidity, GMX, Kwenta deswegen sogenannte dezentralisierte Frontends (DeFe). Die Idee: Ohne ein zentrales Interface sind auch keine zentralen Kontensperrungen möglich. Damit schützt die Plattform vor Zensur, bietet aber auch Kriminellen einen Anreiz, diese zu verwenden.

Alternativ könnten die Hacker auch auf das Aztec Network, ein auf Ethereum-basierter Rollup, wechseln. Das Aztec Network bietet private Transaktionen mit Zero-Knowledge-Technologie an und ist deshalb in der Lage, Tornado Cash zu ersetzen.

   

Source