Anders als das herkömmliche Finanzsystem bietet DeFi eine neue Dimension der finanziellen Freiheit und Flexibilität. Der wesentliche Unterschied zwischen traditionellen Finanzinstitutionen und DeFi liegt in der Art und Weise, wie sie operieren.

Während traditionelle Banken, Broker und Börsen zentrale Einheiten sind, die Transaktionen und Konten kontrollieren, basiert DeFi auf dezentralen Plattformen und Smart Contracts. Dies ermöglicht eine direkte Peer-to-Peer-Interaktion, ohne Zwischenhändler. Aber wie ist es um das Thema DeFi Sicherheit bestellt?

Das Wichtigste über DeFi Sicherheit in Kürze

  • DeFi Sicherheit bezieht sich auf Maßnahmen, die in dezentralen Finanzanwendungen implementiert werden, um die Integrität und Verfügbarkeit von Vermögenswerten zu gewährleisten.
  • Allgemeine Risiken, die bei DeFi Sicherheit auftreten, sind Smart Contract Risiken, Wallet Risiken sowie Phising und Social Engineering.
  • Der größte DeFi Hack betraf das Ronin Network. Durch kompromittierte Private Keys wurden ca. $625 Millionen entwendet.
  • Insurance Protokolle ermöglichen DeFi Sicherheit, indem sie gegen verschiedenen Risiken wie Smart Contract Bugs versichern.

Die größten DeFi Hacks in der Übersicht

Hacks und Sicherheitsprobleme sind in der Welt der dezentralen Finanzen leider keine Seltenheit. Diese traurige Realität wird besonders deutlich, wenn wir uns die fünf größten DeFi-Hacks der Vergangenheit ansehen.

Die 5 größten DeFi Hacks
Netzwerk/Projekt Höhe des Verlusts Was ist passiert?
Ronin Network Ca. $625 Millionen Kompromittierte private Keys
Wormhole Bridge Ca. $325 Millionen Liquiditätsmechanismus ausgenutzt
Nomad Bridge Ca. $190 Millionen Code-Schwachstelle ausgenutzt
Beanstalk Farms Ca. $182 Millionen Flash Loans, Governance hack
Wintermute Ca. $160 Millionen Vanity-Wallets gehackt

Jeder dieser Hacks hat nicht nur erhebliche finanzielle Verluste verursacht, sondern auch wichtige Lehren für die Sicherheit und die Notwendigkeit robuster Schutzmaßnahmen in der DeFi-Welt aufgezeigt.

Ronin Hack: Der größte DeFi Hack erklärt

Im März 2022 wurde das Ronin Network Opfer eines der größten DeFi-Hacks aller Zeiten. Ein Angreifer erbeutete rund 173.600 ETH und 25,5 Millionen USDC im Gesamtwert von über 600 Millionen US-Dollar.

Der Ronin Network-Hack wurde durch kompromittierte private Keys ermöglicht. Die Chain von Sky Mavis besteht insgesamt aus neun Validatorknoten. Um eine Transaktion anzuerkennen, sind fünf von neun Validatoren erforderlich. Der Angreifer erlangte die Kontrolle über vier Ronin-Validatoren von Sky Mavis und einen Validator der Axie DAO.

Mit Zugang zu den Systemen von Sky Mavis hatte der Angreifer die Möglichkeit, gültige Signaturen für fünf Ronin Network-Validatoren zu generieren. Mit diesem Zugriff autorisierte er zwei Transaktionen und entzog der Ronin-Bridge 173.600 ETH und 25,5 Millionen USDC.

Besonders interessant: Der Angriff auf das Ronin Network wurde erst sechs Tage nach seiner Durchführung bemerkt, als ein Benutzer das Projektteam darüber informierte, dass er etwa 5.000 ETH nicht von der Bridge des Projekts abheben konnte.

Konkrete Angriffsvektoren auf DeFi Plattformen

Da wir nun die größten DeFi Hacks kennen, möchten wir diesen nächsten Abschnitt nutzen, um uns einen Überblick über wichtige Angriffsvektoren auf DeFi Plattformen zu verschaffen. Die wichtigsten Arten von Angriffen auf DeFi Plattformen sind Folgende:

  • Reentrancy Attacken
  • Flash Loan Attacken
  • Sandwich Attacken
  • Oracle Manipulation
  • Overflow und Underflow Vulnerabilität
  • Frontend Attacken

Reentrancy Attacke

Eine Reentrancy Attack ist ein Angriff auf Smart Contracts in der Ethereum-Blockchain, bei dem ein Angreifer eine Schwachstelle in einem Contract ausnutzt, um Ether unerlaubt zu entziehen oder den Vertrag auf unerwartete Weise zu manipulieren.

Die Funktionsweise einer Reentrancy Attack besteht darin, dass ein Smart Contract eine externe Funktion aufruft, um Ether an eine andere Adresse zu senden. Wenn diese externe Funktion von einem Angreifer übernommen wird, kann der Angreifer seinen eigenen Code ausführen, einschließlich eines Rückrufs in den ursprünglichen Contract. Dadurch "re-entert" der Code des Angreifers den Contract und kann an einer beliebigen Stelle innerhalb des Contracts ausgeführt werden, ohne dass der Contract dies erkennt.

Uniswap und Lendf.Me: $25 Millionen Schaden

Im Jahr 2020 nutzten Angreifer eine Schwachstelle im ERC777-Token-Standard auf der Ethereum-Blockchain, um eine Reentrancy Attacke durchzuführen. Dies ermöglichte es ihnen, die Kontrolle über den Smart Contract zu übernehmen. Es gab jedoch Verwirrung über die Beziehung zwischen den betroffenen Unternehmen, und einige Berichte deuteten darauf hin, dass dForce selbst gehackt wurde.

Uniswap, obwohl nicht von der dForce Foundation unterstützt, verlor ebenfalls einen erheblichen Betrag an imBTC-Token. Trotz der Bemühungen zur Untersuchung des Vorfalls blieben sowohl Lendf.Me als auch Uniswap vorübergehend offline.

Flash Loan Attacke

Bei Flash Loans handelt es sich um einen dezentralisierten, ungesicherten Kredit, der ohne Beteiligung eines Vermittlers aufgenommen werden kann. Im Gegensatz zu herkömmlichen Borrowing und Lending Protokollen, die auf Überdeckungsmechanismen basieren, muss der Kreditnehmer keine Sicherheiten stellen, um eine Flash Loan aufzunehmen.

Transaktionsdetails der Flash Loan Attacke auf Beanstalk, bei welcher ein $182 Millionen Schaden entstand
Transaktionsdetails der Flash Loan Attacke auf Beanstalk, bei welcher ein $182 Millionen Schaden entstand

Bei einer Flash-Loan-Attacke nimmt ein Angreifer einen kurzfristigen Kredit auf einer Plattform auf, ohne Sicherheiten zu hinterlegen. Mit diesem geliehenen Kapital führt der Angreifer komplexe Transaktionen aus. Nachdem die Gewinne erzielt wurden, zahlt der Angreifer die Flash Loan samt Zinsen in derselben Transaktion zurück.

Beanstalk Farms: $182 Millionen US-Dollar

Die Beanstalk Flash-Loan-Attacke vom 17. April 2022 war ein bedeutender Vorfall im Krypto-Raum. Mit einem Verlust von insgesamt 182 Millionen US-Dollar wurde Beanstalk zu einer der am stärksten von Flash-Loan-Angriffen betroffenen Kryptoplattformen.

Der Angreifer nutzte Flash Loans, um beträchtliche Stimmrechte zu erlangen und manipulierte dann den Governance-Mechanismus des Protokolls, um Gelder in seine eigene Wallet zu leiten.

Sandwich Attacke

Eine Sandwich Attack ist eine Form von Front-Running, die hauptsächlich dezentrale Finanzprotokolle ins Visier nimmt. Bei einer Sandwich Attacke sucht ein Trader nach einer ausstehenden Transaktion im Netzwerk seiner Wahl, z. B. Ethereum. Die Sandwich-Attacke erfolgt, indem der Angreifer eine Order kurz vor dem Handel und eine kurz danach platziert. Im Wesentlichen führt der Angreifer Front-Running und Back-Running gleichzeitig durch, wobei die ursprüngliche ausstehende Transaktion dazwischenliegt.

Weitere Varianten von Angriffen auf DeFi-Protokolle

DeFi Plattformen sind komplexe Anwendungen. Deshalb gibt es natürlich weitaus mehr Möglichkeiten, ein Protokoll zu attackieren, als die oben dargestellten Angriffe. Wir haben hier noch weitere Sicherheitslücken dargestellt.

Oracle Manipulation

Price Oracle Manipulation bezieht sich auf den Versuch, den Preis, den ein DeFi-Protokoll von einem Oracle erhält, zu beeinflussen, um davon zu profitieren. Hier sind einige Probleme, die sich bei Oracle Angriffen stellen:

  1. Sybil-Angriff: Ein Angreifer erstellt mehrere gefälschte Knoten oder Identitäten im Netzwerk, um das Oracle-System zu beeinflussen. Dadurch kann er versuchen, den Durchschnittspreis zu verzerren.
  2. Flash Loans: Ein Angreifer kann Flash Loans verwenden, um große Mengen an Kryptowährungen zu leihen und damit den Preis eines Vermögenswerts kurzzeitig zu manipulieren. Dies kann dazu führen, dass das Oracle den Preis fälschlicherweise anpasst.
  3. Front-Running: Hierbei handelt es sich um eine Praxis, bei der ein Angreifer Transaktionen vor anderen Benutzern bestätigt und den Preis beeinflusst, bevor die anderen Benutzer handeln können.
  4. Datenmanipulation: Ein Angreifer kann versuchen, den Datenfeed des Oracles direkt zu manipulieren, indem er gefälschte Daten einspeist oder die Datenquelle des Oracles angreift.
  5. Lecks bei zentralisierten Börsen: Wenn ein Hacker Zugriff auf die privaten Schlüssel einer zentralisierten Börse erhält, kann er Preise auf der Börse manipulieren und die Preise, die dezentralen Plattformen gemeldet werden, beeinflussen.

Overflow und Underflow Vulnerabilität

Eine Overflow and Underflow Vulnerability ist eine Sicherheitslücke in einer Software oder einem Smart Contract, die auftritt, wenn arithmetische Berechnungen dazu führen, dass ein Wert entweder zu groß (Overflow) oder zu klein (Underflow) wird und die verfügbaren Speicher- oder Darstellungskapazitäten überschreitet.

Wenn bei einer Berechnung das Ergebnis größer ist als die maximale Kapazität, die für die Speicherung oder Darstellung dieses Ergebnisses zur Verfügung steht, tritt ein Overflow auf. Zum Beispiel, wenn in einem Smart Contract eine Berechnung durchgeführt wird, die zu einem Ergebnis führt, das die maximale Kapazität eines uint8-Datentyps (0-255) überschreitet, tritt ein Overflow auf. In solchen Fällen kann das Ergebnis unerwartet auf den minimalen Wert zurückgesetzt werden, in diesem Fall auf 0.

Im Gegensatz dazu tritt ein Underflow auf, wenn das Ergebnis einer Berechnung kleiner ist als die minimale Kapazität, die für die Speicherung oder Darstellung dieses Ergebnisses vorgesehen ist. Wenn beispielsweise von einem uint8-Datentyp (0-255) 1 subtrahiert wird, wenn der Wert bereits 0 ist, tritt ein Underflow auf. In diesem Fall könnte das Ergebnis 255 sein, da uint8 keine negativen Werte zulässt.

Frontend Attacke

Eine Frontend-Attacke bezieht sich auf Angriffstechniken, die auf der Benutzeroberfläche oder dem Frontend einer Webanwendung durchgeführt werden.

Bei einem XSS-Angriff fügt der Angreifer schädlichen HTML-Code oder JavaScript-Code in die Webseiten der Anwendung ein. Wenn Benutzer diese infizierten Seiten besuchen, wird der Code in ihrem Browser ausgeführt. Dies kann dazu führen, dass persönliche Informationen gestohlen oder bösartige Aktionen im Namen des Benutzers ausgeführt werden.

Allgemeine Risiken bei DeFi Sicherheit

Zunächst ist es wichtig, zu verstehen, wo sich bei der Verwendung von DeFi Applikationen potenzielle Risiken ergeben können. In diesem Absatz behandeln wir deshalb verschiedene Risiken, auf die du vorbereitet sein solltest.

Angriffsvektoren und Risiken für DeFi Sicherheit
Angriffsvektor Beschreibung
Smart-Contract-Sicherheit Fehlerhafte Smart Contracts, Reentrancy-Bugs, Integer Overflow/Underflow
Wallet Sicherheit Private Keys und Seeds, Passwortschutz und PINs, Cold Storage
Phishing und Social Engineering Phishing-Websites, Malware und Keylogger, Social Engineering-Angriffe
Liquiditätsrisiken Liquiditätsschwankungen, Impermanent Loss

Risiken bei der Verwendung von DeFi Plattformen nicht zwangsläufig auf böswillige Attacken zurückzuführen, sondern können auch durch fahrlässigen Umgang mit Private Keys entstehen. Auch Liquiditätsschwankungen und Konsequenzen von Impermanent Loss sind keine Hacker-Angriffe, sondern Unzulänglichkeiten des Systems.

Smart-Contract-Sicherheit

Smart Contracts sind selbstausführende Code-Protokolle, die Verträge ohne menschliche Einmischung durchführen. Sie sind das Rückgrat von DeFi-Plattformen und ermöglichen automatisierte Transaktionen, Kreditvergabe und vieles mehr. Die Sicherheit von Smart Contracts ist von größter Bedeutung, da sie anfällig für verschiedene Fehler und Angriffe sein können:

  • Fehlerhafte Smart Contracts: Wenn ein Smart Contract fehlerhaft ist, kann er unerwartetes Verhalten aufweisen oder Angreifern Einfallstore bieten. Programmierfehler können dazu führen, dass Gelder unerreichbar werden oder ungewollte Aktionen ausgelöst werden.
  • Reentrancy-Bugs: Reentrancy-Bugs sind eine häufige Schwachstelle, bei der ein Vertrag unerwartet in einen anderen Vertrag wechselt, bevor eine Transaktion abgeschlossen ist. Dies kann dazu führen, dass Angreifer den Vertrag manipulieren und Gelder stehlen.
  • Integer Overflow/Underflow: Integer Overflow und Underflow sind Probleme, bei denen mathematische Operationen dazu führen können, dass Zahlenwerte außerhalb ihres erwarteten Bereichs liegen. Angreifer können diese Schwachstellen ausnutzen, um Vermögenswerte zu manipulieren oder Verluste zu verursachen.

Wallet Sicherheit

Wallets dienen als Zugangspunkte zu finanziellen Vermögenswerten. Sie ermögliche dir die Aufbewahrung deiner Coins und Token und sind somit von außerordentlicher Wichtigkeit.

  • Private Schlüssel und Seeds: Die Sicherheit eines Wallets hängt weitgehend von der Vertraulichkeit des private Keys oder Seeds ab. Diese sollten niemals öffentlich geteilt werden und in einem sicheren Offline-Speicher wie Hardware Wallets oder Paper Wallets aufbewahrt werden, um vor Online-Angriffen zu schützen.
  • Passwortschutz und PINs: Krypto Wallets sollten mit starken Passwörtern oder PINs gesichert sein. Diese sollten ausreichend lang und komplex sein, um Brute-Force-Angriffe zu verhindern. Mehrfaktor-Authentifizierung (2FA) sollte ebenfalls aktiviert werden, wenn möglich.
  • Cold Storage: Cold Storage bezieht sich auf das Speichern von privaten Schlüsseln auf Geräten, die nicht mit dem Internet verbunden sind. Dies ist besonders sicher, da es die Angriffsfläche minimiert. Hardware Wallets sind ein gängiges Mittel für Cold Storage.
Krypto Wallet Vergleich » Top 10 Anbieter im Test (2023)
Finde das beste Krypto Wallet für Deine Bedürfnisse! Erfahre in unserem Krypto Wallet Vergleich alles über die verschiedenen Arten von Wallets und die besten Wallets auf dem Markt für maximale Sicherheit und Benutzerfreundlichkeit.

Phishing und Social Engineering

Phishing und Social Engineering sind ernsthafte Bedrohungen für die Sicherheit im DeFi-Bereich und erfordern ein Verständnis der Techniken, die von Angreifern verwendet werden.

  • Phishing-Websites: Phishing-Websites sind gefälschte Websites, die so aussehen wie legitime DeFi-Plattformen. Diese Seiten sind darauf ausgelegt, Benutzer zur Eingabe ihrer private Keys, Passwörter oder Seeds zu verleiten.
  • Malware und Keylogger: Malware und Keylogger-Software können auf einem Computer oder einem Mobilgerät installiert werden, um Tastatureingaben und Aktivitäten zu überwachen. Dies kann dazu führen, dass private Schlüssel oder Passwörter gestohlen werden.
  • Social Engineering-Angriffe: Social Engineering-Angriffe zielen darauf ab, menschliche Schwächen auszunutzen, um Informationen zu erhalten. Dies kann durch gefälschte E-Mails, Nachrichten oder Anrufe erfolgen. Angreifer könnten sich als vertrauenswürdige Personen ausgeben und Benutzer dazu bringen, sensible Informationen preiszugeben.
DefiLlama Phishing Website: Das "d" im URL wurde durch "cl" ersetzt.
DefiLlama Phishing Website: Das "d" im URL wurde durch "cl" ersetzt.

Liquiditätsrisiken

Liquiditätsrisiken sind ein zentrales Thema im DeFi-Bereich und erfordern ein tiefes Verständnis der Mechanismen, die die Liquidität beeinflussen, sowie der potenziellen Auswirkungen auf Nutzer und Protokolle.

  • Liquiditätsschwankungen: Liquiditätsrisiken entstehen aus den natürlichen Schwankungen der Marktnachfrage und des Angebots. Diese Schwankungen können zu erheblichen Veränderungen in den Preisen und der Verfügbarkeit von Vermögenswerten führen. Dies kann Liquidationsereignisse in Kreditprotokollen auslösen und zu erheblichen Verlusten für Nutzer führen.
  • Impermanent Loss: Impermanent Loss tritt in Liquiditätspools auf, wenn der Preis eines Vermögenswerts im Vergleich zu einer Hodl-Strategie schwankt. In diesem Fall kann der LP (Liquiditätsanbieter) beim Liquidity Mining Geld verlieren, da er seine Vermögenswerte zu einem ungünstigeren Preis tauscht.

Sicherheitstipps für Anfänger

Damit du sicher in diese aufregende Welt eintauchen kannst, haben wir einige wichtige Sicherheitstipps zusammengestellt. Diese Tipps helfen dir, die potenziellen Gefahren zu minimieren und gleichzeitig das Potenzial von DeFi möglichst gut auszuschöpfen.

Vertrauenswürdige Quellen nutzen

  • Vermeide unbekannte Quellen oder dubiose Links in Foren und Chats.
  • Nutze offizielle Websites, soziale Medien und Community-Kanäle der DeFi-Projekte.

Wallet-Sicherheit priorisieren

  • Nutze Hardware-Wallets oder gut gesicherte DeFi-Wallets.
  • Bewahre private Keys offline auf (Cold Storage) und teile sie niemals online.

Starke Passwörter verwenden

  • Verwende komplexe Passwörter mit Buchstaben, Zahlen und Sonderzeichen.
  • Vermeide leicht zu erratende Informationen wie Geburtstage oder Namen.

Mehrstufige Authentifizierung aktivieren

  • Aktiviere 2-Faktor-Authentifizierung (2FA) für deine Wallets und Plattformen.
  • Nutze zusätzliche Sicherheitsmaßnahmen wie biometrische Authentifizierung, wenn möglich.

Projekte prüfen und überprüfen

  • Untersuche DeFi-Projekte gründlich, bevor du investierst.
  • Suche nach Informationen über das Team, Sicherheitsaudits und Community-Feedback.

Smart Contracts überprüfen

  • Lese den Smart Contract-Code auf Plattformen wie Etherscan oder BscScan.
  • Achte auf offene Sicherheitslücken oder potenzielle Angriffsvektoren.

Vermeide öffentliches WLAN

  • Vermeide die Nutzung öffentlicher WLAN-Netzwerke beim Zugriff auf deine Wallets oder Plattformen.
  • Nutze stattdessen sichere und private Netzwerke.

Phishing-Erkennung üben

  • Achte auf verdächtige E-Mails, Nachrichten oder Links, die nach sensiblen Informationen fragen.
  • Überprüfe immer die URL der Website, bevor du persönliche Informationen eingibst.

Regelmäßige Software-Updates durchführen

  • Halte deine Wallet-Software und Sicherheitsanwendungen auf dem neuesten Stand.
  • Updates enthalten oft wichtige Sicherheitsverbesserungen.

Mit kleinen Beträgen testen

  • Bevor du größere Summen in DeFi-Projekte investierst, teste die Plattform mit kleinen Beträgen.
  • Dies minimiert das Risiko von Verlusten im Falle von Problemen.

DeFi Sicherheit und Insurance Protokolle

DeFi Insurance, kurz für Decentralized Finance Insurance, stellt eine innovative Form der Risikoabsicherung dar, die die Dezentralisierung der Finanzbranche begleitet. Im Gegensatz zu traditionellen Versicherungsmodellen vertraut DeFi Insurance auf Smart Contracts und die Blockchain-Technologie, um Versicherungsdienstleistungen transparent, effizient und dezentral anzubieten.

💡
Insurance Protokolle versichern gegen verschiedene DeFi Risiken. Dazu gehören Risiken wie Smart Contract Bugs und ETH Slashing.

Das bekannteste Insurance Protokoll ist Nexus Mutual. Die Schadensbewertung erfolgt entweder durch vertrauenswürdige Oracles oder durch dezentrale Abstimmungen der Mitglieder, um faire Anspruchsabwicklungen sicherzustellen. Ein gemeinsamer Kapitalpool, der von allen Mitgliedern geteilt wird, enthält die Mittel zur Begleichung von Ansprüchen und zur Unterstützung des Protokolls.

Fazit zum Thema DeFi Sicherheit

Beim Streben nach finanzieller Freiheit und Flexibilität in der Welt der Dezentralen Finanzen (DeFi) ist Sicherheit von entscheidender Bedeutung. Die Einzigartigkeit von DeFi liegt in der Kontrolle, die es Nutzern über ihre Vermögenswerte bietet, aber diese Freiheit birgt auch Verantwortung.

Wir haben gesehen, dass DeFi-Plattformen nicht nur Chancen, sondern auch Risiken mit sich bringen. Von Smart Contract Bugs bis hin zu Phishing-Angriffen müssen wir uns dieser Gefahren bewusst sein und proaktiv Schutzmaßnahmen ergreifen. Einige dieser Aspekt sind nach wie vor maßgeblich dafür verantwortlich, dass Regulationsorgane eine Regulierung von DeFi diskutieren.

Mit jedem Handel, jeder Investition und jeder Transaktion sollten wir die Grundlagen der Sicherheit im Auge behalten. Durch die Kombination von technischem Know-how, gesundem Misstrauen gegenüber unbekannten Quellen und einem starken Bewusstsein für Phishing- und Betrugsversuche können wir nicht nur unsere Krypto-Assets schützen, sondern auch die Zukunft von DeFi mitgestalten.

Häufige Fragen (FAQ) zum Thema DeFi Sicherheit

In diesem Abschnitt geben wir Antworten auf die wichtigsten Fragen zu DeFi Sicherheit

  • Welche Risiken gibt es im DeFi-Bereich?

    Zu den Risiken gehören zum Beispiel Smart Contract Bugs, Phishing-Angriffe und Liquiditätsverluste.
  • Wie erkenne ich Phishing-Versuche?

    Achte auf verdächtige Links, überprüfe die URL sorgfältig und gib niemals private Informationen preis.
  • Welche Rolle spielen Sicherheitsaudits bei DeFi-Projekten?

    Sicherheitsaudits überprüfen den Smart Contract-Code auf Schwachstellen, erhöhen die Vertrauenswürdigkeit und reduzieren Risiken.
  • Was ist Cold Storage und warum ist es wichtig?

    Cold Storage bezieht sich auf die Offline-Aufbewahrung von privaten Schlüsseln und minimiert das Risiko von Online-Angriffen.