Decentralized Finance (DeFi) wird mit einem Total Value Locked (TVL) von über 100 Milliarden US-Dollar leben, was den Vertrauensbeweis in diese neuen Finanzinstrumente unterstreicht. Diese Investition wird weiter steigen, aber es scheint, dass für jeden neuen Rekord bei TVL ein weiterer Cyberangriff mit schrecklichem Schaden gemeldet wird.

Kryptowährungen sind im Jahr 57 um 2020 % zurückgegangen, aber DeFi-Angriffe haben dramatisch zugenommen und Unternehmen und Investoren Verluste in Milliardenhöhe gekostet. Allein im März kam es innerhalb von nur 5 Tagen zu mehreren Angriffen, bei denen Paid Network 180 Millionen US-Dollar verlor. Ende Mai verlor PancakeBunny durch einen Flash-Credit-Exploit über 200 Millionen US-Dollar.

Es ist klar, dass es in den aktuellen Blockchain-Sicherheitsprotokollen zu viele Lücken und Schlupflöcher gibt. Von Teppichdiebstahl bis hin zu betrügerischen Betrügereien sind die Sicherheit und Technologie dieses Bereichs nicht ganz so perfekt, wie die Zahlen vermuten lassen. Es gibt jedoch wichtige Praktiken, die sowohl Entwickler als auch Benutzer anwenden können, um diese Lücke zu schließen.

Dezentrale Technologie ist immer noch zentralisiert

Egal wie dezentral ein Protokoll deklariert ist, die Grundstruktur ist immer noch zentralisiert. Werfen Sie einen Blick auf eine unserer wichtigsten Internetfunktionen: DNS-Einträge. Jeder Domänenname befindet sich weiterhin im zentralen Besitz – im Besitz der Regierung, des Staates oder eines Unternehmens, das die letztendliche Autorität über die Domäne hat und diese auf Wunsch deaktivieren kann.

Ein Beispiel für Zentralisierung bei Dezentralisierung sind Smart Contracts. Die Smart-Contract-Autoren bei Ethereum oder Binance haben das letzte Wort darüber, was im Code enthalten ist, und es gibt Möglichkeiten, schändliche Machenschaften, wie z. B. Carpet-Pulling, in Smart Contracts zu codieren.

Während des Booms der Produktivitätsfarmen im Sommer 2020 sahen wir, wie viele Protokolle entstanden, um von den in DeFi fließenden Geldern zu profitieren, und dieser Boom geht auch in diesem Jahr weiter. Im März führte TurtleDex einen Teppichraub durch, bei dem es sich eigentlich um eine Hintertür in einem Smart Contract handelt, der dazu führte, dass Investoren 2.5 Millionen US-Dollar gestohlen wurden. Diese angebliche Funktion ermöglicht es Entwicklern, Cheats zu programmieren, die dann als Reaktion auf andere Ereignisse im Code ausgeführt werden, und TurtleDex ist eines von mehreren Projekten in diesem Jahr, die programmgesteuert den Teppich durchbrachen.

In Verbindung gebracht: Gewinn ist in aller Munde, aber DeFi verspricht, die Art und Weise, wie wir mit Geld umgehen, zu verändern

Die Prüfung intelligenter Verträge ist eine großartige Möglichkeit, Teppichverstöße zu verhindern, aber selbst dann gibt es Fälle, in denen Entwickler einen getesteten intelligenten Vertrag an einen ungetesteten weitergeben. Der Fall Compounder zeigt ein Betrugsprojekt, das den Ruf bekannter, seriöser Namen im Raum leicht ausnutzt. Sie konnten die Vorteile von Harvest Finance und Yearn.finance schnell ausnutzen, bevor sie ihren Nutzern den Garaus machten und Millionen von Dollar in Kryptowährungen davontrugen.

In Verbindung gebracht: Eine Standardprüfung für DeFi-Projekte ist ein Muss für die Branchenentwicklung

Aktuelle Hacking-Trends

Abgesehen vom „Teppichziehen“ gibt es viele häufige Angriffe, die ein ganzes Unternehmen stürzen können, wenn sie nicht vorbereitet werden. Ein 51-Prozent-Angriff – das heißt, wenn ein Pool von Minern mehr als 50 Prozent der Mining-Hash-Rate des Netzwerks kontrolliert und es ihnen ermöglicht, Transaktionsdatensätze abzuschotten oder zu manipulieren, um doppelte Ausgaben zu erzielen oder die Kettenblockade zu durchbrechen – kommt immer noch häufig vor. Sowohl Firo als auch Grin erlitten in letzter Zeit jeweils 51 % Angriffe.

Sogar einige Top-Kryptowährungsprojekte sind unsicher. Im Februar wurde berichtet, dass 200 Tage des XVG-Handels im Verge-Netzwerk gelöscht wurden, was im wahrsten Sinne des Wortes „das tiefgreifendste Ereignis aller Zeiten in den Top-100-Kryptowährungen“ ist.

Wir akzeptieren diese Fehler als Teil der Blockchain-Erfahrung, aber wie würde die Reaktion sein, wenn beispielsweise einer großen Bank dasselbe passieren würde? Es ist mit vielen Schlagzeilen in den Medien und einem Aufruhr bei Nutzern und Kunden zu rechnen. Diese Ereignisse bleiben bei Kryptowährungen weitgehend unbemerkt, da es weniger Benutzer gibt. Mit dem jüngsten Bullenmarkt ändert sich dies jedoch. Zwangsläufig wird die Sicherheit öffentlicher Blockchains strenger geprüft.

Hack-Präventionsmethoden wie Carpet Pulling Kéo

Leider ist Hacking für Entwickler immer eine Option, wenn sie im Krypto-Bereich arbeiten. Die Frage ist nicht, wie man Hackerangriffe verhindert, sondern wie man verhindert, dass man selbst gehackt wird. Mehrere Fortschritte bei Hardware-Wallets – wie das Multi-Signatur-Wallet von Gnosis Safe – sind wichtige Treiber für die Verbesserung der Gesamtsicherheit.

Die Verwendung eines Multisig-Wallets ermöglicht es mehreren Benutzern, Schlüssel für dasselbe Wallet zu halten, und erfordert die Teilnahme beider Benutzer, um Aktionen für das Konto durchzuführen. Da eine Geldbörse wie diese mehrere Benutzereingaben erfordert, um eine Transaktion durchzuführen, ist es praktisch unmöglich, Teppiche mit dieser Art von Tresor zu ziehen.

Eine weitere Sicherheitsmethode, um zu verhindern, dass Teppiche herausgezogen werden, sind Zeitschlösser. Viele dezentrale Anwendungen verwenden Zeitüberschreitungen. Wenn also ein Entwickler versucht, seine Benutzer zu erreichen, erhalten Sie innerhalb von 12 bis 24 Stunden eine Benachrichtigung, um die Münzen freizugeben.

Diese Art von Sicherheitspraktiken wird das Vertrauen in DeFi stärken und eine Sicherheitskultur schaffen, die unsere Branche voranbringen wird.

Verbesserte Sicherheit des Krypto-Wallets

Die Sicherheit des Wallets hängt letztendlich von den Entwicklern und Benutzern ab, die intelligentere Methoden verwenden. Regelmäßige Sicherheitsüberprüfungen und interne Sicherheitspraktiken können dazu beitragen, Wallets sicherer zu machen.

Während Sicherheitsüberprüfungen eine gute Lösung sind, sind Uniswap und andere automatisierte, auf Market Maker basierende dezentrale Börsen (DEXs) nicht zulässig, sodass keine regelmäßigen Überprüfungen durchgeführt werden können. Die beste Vorgehensweise besteht darin, die Besonderheiten von „Fair Launch“-Münzen zu verstehen – Projekten, die von einem DEX aus gestartet werden. Obwohl viele dieser Projekte von hoher Qualität sind, sind viele für ihre hervorragende Leistung bekannt. Open-Source-Code erleichtert es jedem, zu testen und zu überprüfen, ob ein Smart Contract für ihn sicher ist, und bietet Benutzern mehr Tools, um gute Sicherheit zu praktizieren.

Von Benutzern zu verlangen, gute Sicherheit zu implementieren, mag wie eine große Leistung erscheinen, ist aber erforderlich, um die vielen Vorteile von Kryptowährungen und insbesondere DeFi nutzen zu können. Bei traditionellen Banken ist die Bank für die Sicherheit verantwortlich, bei Kryptowährungen hängt die Sicherheit jedoch von den Praktiken der Entwickler und Benutzer ab.

Wenn Sie Ihr Bankpasswort vergessen oder Geld an die falsche Person senden, können Sie sich an Ihre Bank wenden, um die Transaktion abzuwickeln, bis sie geklärt ist. Aber bei Krypto gibt es keine Backup-Möglichkeit, falls Sie Ihren Schlüssel verlieren oder Geld an die falsche Adresse senden. Einer der Vorteile besteht natürlich darin, dass Sie sich keine Sorgen machen müssen, dass Ihre Gelder in Kryptowährungen verfügbar sind, während Banken schließen und Kapitalkontrollen einführen können, wie es während der griechischen Bankenkrise 2015 der Fall war.

Zusammenfassung

Als Entwickler müssen wir Sicherheitstests und Kreuzvalidierungen durchführen und uns gegenseitig für die Entwicklung verbesserter Sicherheitspraktiken zur Verantwortung ziehen.

Benutzer sollten darüber nachdenken, ihre eigenen Sicherheitsprotokolle zu implementieren und die Nuancen der Speicherung und mögliche Angriffsszenarien zu verstehen. Für passive Krypto-Inhaber empfiehlt es sich, Hardware-Wallets vom Internet zu trennen oder Paper-Wallets, die zu 100 % offline sind und keine Online-Synchronisierung für Firmware-Updates erfordern.

Phishing-Angriffe, eine der frühen Formen von Internetangriffen, sind immer noch weit verbreitet und häufig. Eine Möglichkeit, Phishing-Versuchen entgegenzuwirken, besteht darin, die Authentizität des Absenders zu überprüfen.

Geben Sie Ihre privaten Schlüssel oder Seed-Phrasen nicht auf einer Website ein und senden Sie sie nicht über öffentliche Kanäle oder DMs an Dritte. Generell sollten Sie Ihre Seed-Phrase nur beim ersten Einrichten des Wallets eingeben. Darüber hinaus sollten Sie Ihre Seed-Phrase nur dann eingeben, wenn Sie Ihr Wallet wiederherstellen müssen, nachdem Sie Ihr Passwort vergessen haben, ein vorhandenes Wallet auf ein neues Gerät importieren oder kompatible Wallet-Software verwenden müssen. Im Allgemeinen sollten Sie Hardware-Wallet-Geräte verwenden, die Ihren Seed niemals an irgendeine Art von Software weitergeben – nicht einmal eine vertrauenswürdige Wallet-App oder Software kann gehackt werden.

Während wir unsere neue (größtenteils) globale DeFi-Wirtschaft weiter aufbauen, wird es wichtig sein, die Sicherheit zu verbessern, damit die allgemeine Akzeptanz und das Kapital weiterhin in den Weltraum strömen können, damit die nächste Generation als nächstes neue Grenzen der finanziellen Unabhängigkeit erreichen kann.