Da der DeFi-Sektor weiterhin Geld und Nutzer anzieht, betrachten schlechte Akteure aus der ganzen Welt ihn weiterhin als attraktives Ziel, das reif für die Ernte und schlecht geschützt ist.
In den letzten Monaten habe ich einige der bemerkenswertesten Exploits von DeFi-Protokollen verfolgt, und mindestens sieben von ihnen scheinen allein auf Smart-Contract-Fehler zurückzuführen zu sein.
Zum Beispiel haben Hacker Wormhole angegriffen und ausgeraubt und über 300 Millionen US-Dollar gestohlen, Qubit Finance (80 Millionen US-Dollar), Meter (4.4 Millionen US-Dollar), Deus (3 Millionen US-Dollar), TreasureDAO (über 100 NFTs) und schließlich Agave und Hundred Finance, die zusammen , verlor insgesamt 11 Millionen Dollar. Alle diese Angriffe führten zum Diebstahl ziemlich beträchtlicher Geldbeträge, was den Projekten großen Schaden zufügte.
Viele der angegriffenen Protokolle haben eine Abwertung ihrer Kryptowährung, Misstrauen der Benutzer, Kritik an der Sicherheit von DeFi und Smart Contracts und ähnliche negative Folgen erlebt.
Welche Arten von Exploits traten während der Angriffe auf?
Natürlich ist jeder dieser Fälle einzigartig, und je nach Schwachstellen und Fehlern wurden verschiedene Arten von Exploits verwendet, um jedes einzelne Projekt anzugehen. Beispiele sind Logikfehler, Reentrancy-Angriffe, Flashloan-Angriffe mit Preismanipulationen und mehr. Ich glaube, dass dies das Ergebnis der immer komplexer werdenden DeFi-Protokolle ist, und die Komplexität des Codes macht es immer schwieriger, alle Fehler zu beseitigen.
Außerdem sind mir bei der Analyse jedes dieser Vorfälle zwei Dinge aufgefallen. Der erste ist, dass es Hackern jedes Mal gelungen ist, mit riesigen Beträgen davonzukommen – Krypto im Wert von mehreren Millionen Dollar.
Dieser „Zahltag“ gibt den Hackern einen Anreiz, jede notwendige Zeit mit dem Studium der Protokolle zu verbringen, sogar Monate am Stück, da sie wissen, dass sich die Belohnung lohnt. Das bedeutet, dass die Hacker motiviert sind, viel mehr Zeit mit der Suche nach Fehlern zu verbringen als die Prüfer.
Das zweite, was auffiel, war, dass die Hacks in einigen Fällen tatsächlich extrem einfach waren. Nehmen Sie als Beispiel den Angriff von Hundred Finance. Das Projekt wurde von einem bekannten Fehler getroffen, der typischerweise in Compound Forks zu finden ist, wenn dem Protokoll ein Token hinzugefügt wird. Alles, was der Hacker tun muss, ist zu warten, bis einer dieser Token zu Hundred Finance hinzugefügt wird. Danach müssen nur noch ein paar einfache Schritte befolgt werden, um den Exploit zu nutzen, um an das Geld zu kommen.
Was können DeFi-Projekte tun, um sich zu schützen?
In Zukunft ist das Beste, was diese Projekte tun können, um sich vor schlechten Akteuren zu schützen, sich auf die Audits zu konzentrieren. Je ausführlicher, desto besser und von erfahrenen Profis durchgeführt, die wissen, worauf es ankommt. Aber es gibt noch etwas, was die Projekte tun können, noch bevor sie auf die Audits zurückgreifen, und zwar sicherzustellen, dass sie über eine gute Architektur verfügen, die von verantwortungsbewussten Entwicklern erstellt wurde.
Dies ist besonders wichtig, da die meisten Blockchain-Projekte Open Source sind, was bedeutet, dass ihr Code dazu neigt, kopiert und wiederverwendet zu werden. Es beschleunigt die Entwicklung und der Code kann kostenlos mitgenommen werden.
Das Problem ist, wenn sich herausstellt, dass es fehlerhaft ist und kopiert wird, bevor die ursprünglichen Entwickler die Schwachstellen finden und beheben. Selbst wenn sie den Fix ankündigen und implementieren, sehen diejenigen, die ihn kopiert haben, die Nachricht möglicherweise nicht, und ihr Code bleibt anfällig.
Wie viel können die Audits tatsächlich helfen?
Smart Contracts fungieren als Programme, die auf Blockchain-Technologie laufen. Daher ist es möglich, dass sie fehlerhaft sind und Fehler enthalten. Wie ich bereits erwähnt habe, je komplexer der Vertrag ist, desto größer ist die Wahrscheinlichkeit, dass ein oder zwei Fehler durch die Überprüfungen der Entwickler gerutscht sind.
Leider gibt es viele Situationen, in denen es keine einfache Lösung gibt, um diese Fehler zu beheben, weshalb Entwickler sich Zeit nehmen und sicherstellen sollten, dass der Code ordnungsgemäß ausgeführt wird und die Fehler sofort oder zumindest so früh wie möglich entdeckt werden.
Hier kommen Audits ins Spiel, denn wer den Code testet und den Entwicklungsfortschritt und die Tests angemessen dokumentiert, kann die meisten Probleme frühzeitig aus der Welt schaffen.
Selbst Audits können natürlich keine 100-prozentige Garantie dafür geben, dass es keine Probleme mit dem Code gibt. Niemand kann. Es ist kein Zufall, dass Hacker Monate brauchen, um die kleinste Schwachstelle zu finden, die sie zu ihrem Vorteil nutzen können – Sie können nicht den perfekten Code erstellen und ihn nützlich machen, besonders nicht, wenn es um neue Technologien geht.
Audits reduzieren zwar die Anzahl der Probleme, aber das eigentliche Problem ist, dass viele der Projekte, die von Hackern getroffen werden, überhaupt keine Audits hatten.
Also, alle Entwickler und Projekteigentümer, die sich noch im Entwicklungsprozess befinden, sollten sich daran erinnern, dass Sicherheit nicht durch das Bestehen eines Audits entsteht. Es beginnt jedoch sicherlich dort. Arbeiten Sie an Ihrem Code; Stellen Sie sicher, dass es eine gut gestaltete Architektur hat und dass geschickte und gewissenhafte Entwickler daran arbeiten.
Stellen Sie sicher, dass alles getestet und gut dokumentiert ist, und nutzen Sie alle Ihnen zur Verfügung stehenden Ressourcen. Bug Bounties zum Beispiel sind eine großartige Möglichkeit, Ihren Code von Leuten aus der Sicht der Hacker überprüfen zu lassen, und eine neue Perspektive von jemandem, der nach einem Einstieg sucht, kann für die Sicherung Ihres Projekts von unschätzbarem Wert sein.
Gastbeitrag von Gleb Zykov von HashEx
Gleb begann seine Karriere in der Softwareentwicklung in einem Forschungsinstitut, wo er sich einen starken technischen und Programmierhintergrund aneignete und verschiedene Arten von Robotern für das russische Ministerium für Notsituationen entwickelte.
Später brachte Gleb sein technisches Know-how zum IT-Dienstleistungsunternehmen GTC-Soft, wo er Android-Anwendungen entwickelte. Anschließend wurde er leitender Entwickler und später CTO des Unternehmens. In GTC leitete Gleb die Entwicklung zahlreicher Fahrzeugüberwachungsdienste und eines Uber-ähnlichen Dienstes für Premium-Taxis. 2017 wurde Gleb einer der Mitbegründer von HashEx – einem internationalen Blockchain-Prüfungs- und Beratungsunternehmen. Gleb hat die Position des Chief Technology Officer inne und leitet die Entwicklung von Blockchain-Lösungen und Smart-Contract-Audits für die Kunden des Unternehmens.
Quelle: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/