Gefahr durch DeFi-Hacks Diese Schritte empfehlen Sicherheitsexperten

Über 4,3 Milliarden Dollar verloren Investoren 2021 durch DeFi-Hacks. Jetzt folgte der schlimmste Hack aller Zeiten. So schützt ihr euer Geld.

Giacomo Maihofer
Teilen
DeFi Hack Hacker

Beitragsbild: Shutterstock

Es war der größte DeFi-Hack aller Zeiten. Über 625 Milionen US-Dollar stahlen Cyberkriminelle vergangene Woche aus dem Netzwerk von “Axie Infinity”, dem erfolgreichsten Blockchain-Spiel der Welt. Der Fall schlug Wellen bis in den Mainstream. Und wirft die Frage auf: Wie sicher ist der Bereich der dezentralen Finanzen (DeFi) noch für Investoren? Wie schützen sie sich am besten?

Bereits 2021 klauten Kriminelle über 14 Milliarden US-Dollar in Kryptowährungen, über 70 Prozent davon aus dem DeFi-Sektor, so ein Report des Datendienstleisters Chainalysis, der die Finanzkriminalität im Sektor seit 2014 überwacht. Ein explosiver Anstieg um 900 Prozent zum Vorjahr.

Neben Betrügereien stellen Hackerangriffe die größte Bedrohung für Investoren dar. 2021 stahlen Hacker rund vier Milliarden US-Dollar. Dieses Jahr verloren Investoren bereits 1,2 Milliarden US-Dollar, erklärt Immunefi, eine der wichtigsten Sicherheitsfirmen auf dem Markt, gegenüber BTC-ECHO.

So funktioniert DeFi

“Ein Grund, warum wir gerade so einen explosiven Anstieg an Hacks sehen, ist einfach das rasante Wachstum des Sektors”, erklärt Adrian Hetman gegenüber BTC-ECHO. Er ist DeFi-Sicherheitsexperte bei Immunefi. Der Boom von DeFi begann vor zwei Jahren, heute existieren bereits hunderte von Plattformen und dezentrale Apps (dApps). Sie locken immer mehr Investoren mit dem Versprechen einer Finanzrevolution an.

In DeFi werden Banken und Anwälte durch Programmiercode ersetzt, sogenannte Smart Contracts. Sie stellen Verträge dar, geschrieben auf öffentlichen Blockchains wie Ethereum oder Solana und werden automatisch ausgeführt, wenn bestimmte Bedingungen erfüllt sind.

Dadurch entfällt die Notwendigkeit zentraler Vermittler. So lassen sich beim Verleih der eigenen Kryptowährungen saftige Zinsen verdienen oder unkompliziert ein Kredit leihen. Laut Datendienstleister Defi Lama stieg der in diesen Smart Contracts aufbewahrte Geldwert (Total Locked Value) letztes Jahr um 300 Prozent, auf aktuell über 225 Milliarden US-Dollar.

Alte Fehler, neue Ziele: So gehen Hacker vor

Ein gefundenes Fressen für Hacker. Ein Fehler im Code reicht und schon haben sie Zugriff auf hunderte von Millionen US-Dollar. 123 Hacks identifizierte Immunefi in 2021, im Schnitt geschah einer alle drei Tage. Dabei spielen den Cyberkriminellen laut Adrian Hetman mehrere Faktoren in die Hände.

Smart Contracts sind noch sehr neu, viele Nutzer verstehen nicht richtig, wie man mit ihnen interagiert. Auch Programmierer lernen gerade erst, wie man sichere Versionen schreibt. Der Code ist meistens Open Source, damit für alle einsehbar – auch die Hacker. Sie können direkt nach Schwachstellen suchen. Diese verteilen sich manchmal besonders rasant innerhalb des Sektors, weil viele Entwickler gerne einfach Code von anderen Projekte kopieren, Bugs inklusive.

“Der Bereich der Web-3.0-Sicherheit entwickelt sich schnell, aber die Betrügereien und Hacks entwickeln sich noch schneller”, warnt Hetman: “Viele beruhen auf alten und bekannten Fehlern, aber das Ziel der Angriffe ändert sich.” Hacker nehmen nun öfter sogenannte Brücken ins Visier. Das passierte auch beim Mega-Hack von “Axie Infinity”.

Brücken ermöglichen den einfachen Tausch unterschiedlicher Kryptowährungen, hier fließen hunderte von Millionen US-Dollar durch. Ein lukratives neues Ziel. Schon im Februar erleichterten Cyberkriminelle die Datenplattform Wormhole um über 300 Millionen US-Dollar, in dem sie deren Brücke hackten.

“Die gute Nachricht ist, dass Kryptowährungen transparent sind”, erklärt Kim Grauer gegenüber BTC-ECHO. Sie ist Direktorin von Chainalysis, dem größten Datendienstleister im Krypto-Markt, der bei der Aufklärung vieler Hacks hilft. “Wir können mit unseren Werkzeugen die Hacks und gestohlenen Gelder leichter zurückverfolgen und zurückerlangen.” Über die Hälfte der Verluste letztes Jahr wurde kompensiert. Auch die Opfer von Wormhole dieses Jahres. Chainalysis arbeitet mit den Entwicklern von “Axie Infinity” an der Aufklärung des Angriffs auf ihre Plattform. Informationen zu laufenden Ermittlungen kann Grauer nicht geben.

So schützen sich Investoren in DeFi

Doch auch DeFi-Investoren können ihr Risiko minimieren, wenn sie einige Punkte beherzigen, bevor sie ihr Geld auf einer Plattform anlegen. Diese Tipps gibt Adrian Hetman von Immunefi:

Schauen Sie sich zunächst das Team hinter jedem Projekt an. Sind sie in der Krypto-Community bekannt? Wie ist ihr Ruf? Wie sieht ihre bisherige Arbeit aus? Gibt es ein Whitepaper? Dann schauen Sie: Ist der Code auch Open Source, seine Dokumentation einsehbar? Wurde die Plattform von Sicherheitsfirmen geprüft (Audit)? Wie sehen die Verwaltungskontrollen für die Smart Contracts aus? Gibt es ein Bug-Bounty-Programm, bei dem Forscher und Nutzer verantwortungsvoll gefundene Schwachstellen melden können?

Adrian Hetman, DeFi-Sicherheitsexperte von Immunefi

Hetman empfiehlt außerdem, der Online-Community eines Projekts beizutreten, sich genau die Kommentare und das Feedback anderer Nutzer durchzulesen. “Wenn Sie nicht technisch versiert genug sind, um die Sicherheitsberichte selbst zu lesen, finden Sie dort sicher einige Leute, die es können – und auf Red Flags aufmerksam machen.” Auch Twitter sollte man im Auge behalten, um über die neuesten Hacks und Schwachstellen informiert zu bleiben.


Ein weiterer guter Anlaufpunkt: die Website DeFi Safety (Link: https://www.defisafety.com/). Sie bewertet die Sicherheit von über 200 DeFi-Plattformen anhand ausgewählter Kriterien. Eine Übersicht der verlässlichsten Sicherheitsfirmen, die Plattformen prüfen, findet man auf der News-Website Bowtiesisland (Link: https://bowtiedisland.com/the-best-smart-contract-auditors-ranked/).

Nutzer sollten auch darüber nachdenken, sich eine Hardware Wallet zu kaufen, statt Dienste wie die Online-Wallet MetaMask zu benutzen. Wer im Netz auf einen bösartigen Link klickt, während er im Browser bei MetaMask angemeldet ist, läuft Gefahr seine Zugangsdaten an Hacker zu verlieren. Hardware Wallets schützen diese. Sie kosten zwar einige hundert Euro – gelten dafür aber als sehr sicher. Einen Ratgeber zum Kauf von Hardware Wallet von uns findet ihr hier.

Eine “100-prozentige Sicherheitsgarantie” gibt einem all das aber nicht. “Projekte, die heute als sicher gelten, sind es vielleicht morgen nicht mehr. Selbst bei kampferprobten Projekten gab es schwerwiegende Bugs und Exploits”, erklärt Adrian Hetman. “Es ist einfach noch zu früh, um zu sagen: Projekt X oder Y ist am sichersten.”

Du willst wissen, wo du am besten Bitcoin und andere Kryptos kaufen kannst?
Mit unserem Krypto-Börsen- und Broker-Vergleich helfen wir dir, den für dich besten Anbieter zu finden.
Zum Krypto-Börsen- und Broker-Vergleich
Affiliate-Links
In diesem Beitrag befinden sich Affiliate-Links, die uns dabei helfen, unsere journalistischen Inhalte auch weiterhin kostenfrei anzubieten. Tätigst du über einen dieser Links einen Kauf, erhält BTC-ECHO eine Provision. Redaktionelle Entscheidungen werden davon nicht beeinflusst.