Dezentrale Finanzierung (DeFi)-Protokolle bieten den Nutzern dezentrale Finanzdienstleistungen, die es ihnen ermöglichen, Transaktionen durchzuführen und Vereinbarungen mit anderen Teilnehmern abzuschließen. Während die DeFi-Protokolle darauf abzielen, ihren Benutzern eine sichere und zuverlässige Plattform bereitzustellen, haben mehrere Exploits in den letzten Jahren zu erheblichen Geldverlusten geführt. In diesem Artikel werden einige der umfangreichsten DeFi-Exploits erörtert, die in letzter Zeit aufgetreten sind.
Hier sind die Top-8-Krypto-DeFi-Exploits in Web3 nach Abzug der zurückgegebenen Gelder:
Ronin-Kette – 600 Millionen Dollar
März 2023 war ein ereignisreicher Monat für den Kryptowährungsraum, wobei der Bridge-Hack von Axie Infinity Ronin mit 612 Millionen US-Dollar die Liste anführte.
Die Ronin-Brücke ist eine Ethereum Seitenkette, die im beliebten Play-to-Earn-Spiel Axie Infinity verwendet wird.
Der Cyberkriminalitätsgruppe Lazarus, die mutmaßlich Verbindungen zu Nordkorea hat, gelang es, Zugang zu den privaten Schlüsseln von neun Transaktionsvalidierern zu erhalten, die es ihnen ermöglichten, zwei große Transaktionen zu genehmigen und die Gelder von ihrer Wallet-Adresse zu verschieben. Glücklicherweise konnte eine Zusammenarbeit zwischen Behörden, Sicherheitsfirmen und Kryptowährungsbörsen dazu beitragen, einige dieser Gelder aufzuspüren, nachdem die Hacker sie zu Tornado Cash – einem Open-Source-Krypto-Tumbler – und anderen Börsen gebracht hatten.
Wurmlochbrücke – 323 Millionen Dollar
Im Februar 2022 ereignete sich ein unglücklicher Vorfall, als Krypto-Hacker den Code eines Wurmlochs ausnutzten, um mit Krypto im Wert von 326 Millionen Dollar abzuheben.
Ein Wurmloch ist eine symbolische Brücke zwischen Solana und Ethereum, die den Angriff leider nicht verhindern konnte. Dies wurde durch eine veraltete/tot unsichere Funktion ermöglicht, die die Signaturüberprüfung umging und die Kette der Delegierung von Signaturen ermöglichte.
Experten in Internet-Sicherheit schlagen vor, dass Entwickler den Angriff hätten verhindern können, wenn sie „sichere Codierungspraktiken“ praktiziert hätten, bei denen sie alle Parameter überprüfen müssen. Die Überprüfung hätte die Authentifizierung gültiger Adressen sicherstellen und somit illegitime Quellen vom Zugriff auf Assets in der Kette ausschließen können.
Bohnenstange – 181 Millionen Dollar
An einem schicksalhaften Wochenende im April 2022 entfesselte ein Hacker einen Angriff, der die Krypto-Community erschütterte. Mit einem Flash-Darlehen – einem Merkmal der DeFi-Protokolle (Decentralized Finance) – gelang es ihnen, ETH, BEAN-Stablecoin und andere Vermögenswerte im Wert von 182 Millionen Dollar aus dem Beanstalk-Stablecoin-Protokoll zu stehlen.
Die Hacker präsentierten dem Beanstalk DAO zwei böswillige Vorschläge über seine Notfall-Commit-Funktion, die nach 24 Stunden vor der Implementierung ⅔ Abstimmung erfordert. Der Angreifer nutzte die Flash-Loan-Technologie, um die Kontrolle über 79 % der Token zu erlangen, um beide Vorschläge zu passieren und seinen Plan erfolgreich auszuführen.
Die Gelder wurden innerhalb des Protokolls zur Rückzahlung des Flash-Darlehens geschickt, der Rest ging an eine Adresse, die mit einem in der Ukraine ansässigen Notfallfonds verbunden ist. Insgesamt wurden von der Person, die für diese mutige Tat verantwortlich ist, bis zu 76 Millionen US-Dollar eingenommen.
Nomade – 155 Millionen Dollar
Der verwirrende Nomad Bridge-Hack machte Schlagzeilen, als er am 1. August 2022 geschah. Er schockierte viele Blockchain Enthusiasten als Angreifer nutzten eine Schwachstelle aus, um Ethereum-basierte Vermögenswerte im Wert von über 190 Millionen US-Dollar zu entziehen, die in der Multi-Chain-Crossbridge gespeichert waren.
Die Hacker gingen schnell und wütend vor, wobei Hunderte von Brieftaschen an 960 Transaktionen beteiligt waren, was zu 1,175 einzelnen Abhebungen vom Total Value Locked (TVL) der Brücke führte. Alles innerhalb von Stunden.
Ein verwirrender Aspekt dieses Hacks war, dass Benutzer zum Hacken von Bridge-Geldern lediglich die Anrufdaten der ursprünglichen Hacker kopieren und einfügen mussten, die ursprüngliche Adresse durch eine persönliche ersetzen und die Transaktion abgeschlossen war.
Der Hack hat Schockwellen in der gesamten Gemeinschaft der dezentralisierten Finanzen (DeFi) ausgelöst und bewiesen, dass Hacker beim Ausnutzen von Lücken im Code immer einen Schritt voraus sind. Die Nomad Bridge ist ein anschauliches Beispiel, das die Bedeutung sicherer Codierungspraktiken demonstriert und bekräftigt, warum Sicherheit auch heute noch eine ständige Herausforderung für Blockchain-Projekte ist.
CREME-Finanzierung – 130.8 Mio. USD
Obwohl der Angriff auf CREAM im Oktober 2021 einer der größten Überfälle auf Flash-Kredite war, war es sicherlich kein Einzelfall. Flash-Darlehensangriffe umfassen die Verwendung eines „Flash-Darlehens“ von Liquidität, die Aufnahme von Krediten und die Nichterfüllung dieser schnellen Finanzierung, alles innerhalb einer einzigen Transaktion.
Durch das Ausnutzen von Preiskalkulationsfehlern können Hacker schnell von ihren Krediten profitieren. Im Fall von CREAM interagierten beispielsweise zwei verschiedene Adressen mit seinem yUSDVault, um eine große Anzahl von crYUSD-Token zu prägen. Sie nutzten eine Schwachstelle aus, die den Wert dieser Aktien verdoppeln würde. Obwohl sie erfolgreich Mittel im Wert von 130 Millionen US-Dollar gesichert haben, könnten die verfügbaren Sicherheiten von rund 1 Milliarde US-Dollar weit mehr als diesen Betrag erfordern.
Flash-Loan-Angriffe werden immer häufiger, und die Community sollte sich fragen, wie sie weitere Sicherheitsverletzungen in Zukunft verhindern kann.
BSC-Token-Hub – 127 Millionen Dollar
Im Oktober 2022 entwendeten Hacker, die eine kritische Schwachstelle im Cross-Bridge-Code von BSC Beacon ausnutzten, Krypto-Assets in Höhe von insgesamt 570 Millionen US-Dollar.
Die BSc-Beacon-Kette, auch bekannt als Token Hub, ist eine Brücke zwischen den Ketten, die die BNB-Beacon-Kette (BEP2) und die BNB-Kette (BEP20/BSC) verbindet.
Der Hacker fälschte kryptografische Beweise, sogenannte Merkle-Beweise, die die Gültigkeit von Daten wie Transaktionen bestätigen sollten. Im Gegenzug verwendeten sie diese falschen Merkle-Beweise, um Gelder von der BSC Beacon Crossbridge zu anderen Ketten zu transferieren.
Sobald Tether die Adresse der Angreifer auf die Blockliste setzte, folgten schnelle Maßnahmen, wobei über 7 Millionen US-Dollar von der BNB-Kette eingefroren wurden und der größte Teil ihrer unrechtmäßig erworbenen Gelder beschlagnahmt wurde.
Harmony Horizon – 100 Millionen Dollar
Im Juni 2022 wurde das Harmony Horizon Bridge-Projekt kompromittiert, als Hacker zwei seiner fünf privaten Validator-Schlüssel stahlen, was es Betrügern ermöglichte, Token im Wert von 100 Millionen US-Dollar zu übertragen.
Dieses Sicherheitsproblem war auf die Art und Weise zurückzuführen, wie die Brücke mit einem 2-von-5-Validierungsschema eingerichtet wurde. Infolgedessen benötigte der Angreifer nur zwei Genehmigungen, damit jede böswillige Transaktion validiert werden konnte. Um ihre Spuren zu verwischen, benutzten die Angreifer Tornado Cash, um einige ihrer unrechtmäßig erlangten Gewinne zu waschen.
Obwohl dieses Setup anfangs sicher schien, erwies es sich als lukratives Ziel für schlechte Schauspieler und als teure Lektion in Blockchain-Sicherheit für diejenigen, die erwischt wurden.
Selten – 91 Mio. $
Reentrancy-Angriffe gibt es seit den Anfängen von Ethereum. Sie haben Vertragsschwachstellen genutzt, um wiederholt Geld abzuheben, bevor die ursprüngliche Transaktion genehmigt oder abgelehnt wurde.
Im Mai 2022 wurden zwei dezentrale Finanzplattformen auf diese Weise kompromittiert, wobei Hacker 90 Millionen Dollar stahlen. Jack Longarzo von Rari Capital sagte, der Angreifer habe das Unternehmen ausgenutzt, und Fei Protocol, das mit Rari Capital fusionierte, bot dem Hacker eine Prämie von 10 Millionen Dollar.
Das Blockchain-Sicherheitsunternehmen BlockSec erklärte, dass die Hacker eine Reentrancy-Schwachstelle ausgenutzt hätten.
Entwickler können diese Art von Angriffen verhindern, indem sie Verträge vor dem Einsatz in der Ethereum-Blockchain ordnungsgemäß testen und prüfen.
So schützen Sie sich vor DeFi-Exploits
DeFi-Protokolle werden immer beliebter und komplexer, was sie zu attraktiven Zielen für Hacker macht. Die folgenden sieben Tipps helfen Ihnen, sich vor DeFi-Exploits zu schützen:
- Führen Sie bei jedem Projekt eine gründliche Due Diligence durch, bevor Sie investieren. Überprüfen Sie den Code, die Website, die Teammitglieder und die sozialen Kanäle der Plattform auf Warnsignale.
- Stellen Sie sicher, dass eine vertrauenswürdige Quelle die Verträge prüft, mit denen Sie interagieren, und dass die Prüfungsergebnisse öffentlich verfügbar sind.
- Speichern Sie keine großen Geldbeträge in einem DeFi-Vertrag, was ihn anfälliger für Angriffe macht.
- Bleiben Sie mit den neuesten Sicherheitsnachrichten auf dem Laufenden, um mehr über neue Exploits zu erfahren.
- Implementieren Sie geeignete Authentifizierungs- und Autorisierungsverfahren für alle Konten, die mit DeFi-Protokollen interagieren.
- Stellen Sie sicher, dass Ihre Brieftasche sicher ist, und verwenden Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung.
- Überwachen Sie regelmäßig Ihre Gelder und Transaktionen in der Blockchain, um verdächtige Aktivitäten oder nicht autorisierte Abhebungen zu erkennen.
Die Befolgung dieser Tipps kann Ihnen helfen, sich vor DeFi-Exploits zu schützen und sicherzustellen, dass Ihre Gelder bei der Interaktion mit dezentralen Finanzprotokollen sicher sind. Es ist jedoch auch wichtig, sich daran zu erinnern, dass kein System unfehlbar ist, daher ist es immer am besten, beim Umgang mit digitalen Assets besondere Vorsicht walten zu lassen.
Zusammenfassung
Insgesamt ist Sicherheit eine der wichtigsten Überlegungen im Umgang mit Kryptowährungen und DeFi-Protokollen. Mit dem weiteren Wachstum der Branche wachsen leider auch die Risiken böswilliger Aktivitäten. Es ist zwar unmöglich, absolute Sicherheit zu garantieren, aber die Befolgung dieser Tipps kann Ihnen helfen, sich vor DeFi-Exploits zu schützen und Ihre Gelder sicher zu halten.
Indem Sie über die neuesten Entwicklungen in der Blockchain-Sicherheit auf dem Laufenden bleiben und sicherstellen, dass für alle Konten ordnungsgemäße Authentifizierungsverfahren vorhanden sind, können Sie dazu beitragen, dass Ihre digitalen Assets sicher bleiben.
Quelle: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/