Mit dem Wachstum von Web3 steigen auch die mit dezentralen Anwendungen (Dapps) verbundenen Risiken. Hier geben wir praktische Ratschläge zur Minderung dieser Risiken.
An der Spitze der neuen Web3-Technologien stehen dezentrale Anwendungen, oft als Dapps bezeichnet. Sie nutzen miteinander verknüpfte Smart Contracts, um bestimmte Aufgaben innerhalb der App zu erledigen, die als Code-Snippets auf der Blockchain laufen. Sie sind wie eine Brücke zwischen dem aktuellen Internet (Web 2.0) und dem sich entwickelnden Web3.
Dapps nutzen die inhärente Sicherheit, Transparenz und Unlöschbarkeit der Blockchain-Technologie, um Benutzern mehr Privatsphäre und eine größere Kontrolle über ihre Daten und digitalen Vermögenswerte zu ermöglichen. Sie fungieren als Blockchain-Gegenstück zu herkömmlichen Apps und decken soziale Medien, Finanzen, Spiele und mehr ab.
Auch wenn die Art und Weise, wie Sie eine DApp verwenden, der von normalen Apps ähnelt, ist das, was hinter den Kulissen passiert, anders. Anstatt auf einem großen Server gespeichert zu werden, werden Dapps auf viele Computer, sogenannte „Knoten“, in einem Blockchain-Netzwerk verteilt.
Die schnelle Expansion von web3 hat das technologische Terrain verändert. Allerdings brachte es auch neue Sicherheitsherausforderungen mit sich.
Risiken und Schwachstellen in Web3 und Dapps
Zu den größten Sicherheitsrisiken im Zusammenhang mit Web3 und dezentralen Anwendungen zählen Phishing-Angriffe. Diese treten auf, wenn böswillige Akteure betrügerische Websites oder Social-Media-Konten erstellen, um Benutzer dazu zu verleiten, ihre privaten Schlüssel oder andere vertrauliche Informationen preiszugeben.
Eine weitere eng damit verbundene Bedrohung ist Social Engineering, eine betrügerische Methode, mit der Cyberkriminelle Benutzer dazu verleiten, ihre Anmeldeinformationen preiszugeben.
Einige Sicherheitsmängel sind auf die Interaktion zwischen Web3- und Web 2.0-Infrastrukturen zurückzuführen, während andere Protokollen wie Blockchain und IPFS (InterPlanetary File System) inhärent sind.
Web3 ist auf Netzwerkkonsens angewiesen, was die Behebung dieser und anderer Schwachstellen verlangsamen kann.
Zu den größten Sicherheitsrisiken gehören:
- Unverschlüsselte und nicht verifizierte API-Abfragen: Trotz des alltäglichen Bewusstseins, persönliche Informationen mit nicht verifizierten Quellen zu teilen, sind Web3-Anwendungen häufig auf API-Aufrufe und -Antworten angewiesen, die die Verbindungsenden nicht authentifizieren. Web3 schlägt eine vollständige Dezentralisierung vor, wobei jeder Netzwerkknoten direkt mit den gespeicherten Daten kommunizieren kann. Web3-Anwendungs-Frontends benötigen jedoch weiterhin Web 2.0-Technologien für die Benutzer-End-Interaktion. Viele Web3-API-Abfragen sind nicht kryptografisch signiert, was Angriffen auf dem Weg, dem Abfangen von Daten und anderen Bedrohungen Tür und Tor öffnet.
- Protokoll- und Bridge-Angriffe: Nicht alle Web3 basieren direkt auf der Blockchain. Auf mehreren Netzwerken sind Plattformen namens Layer-2 (L2) aufgebaut. Da Blockchains außerdem häufig in Silos arbeiten, haben Entwickler Protokolle namens Bridges erstellt, die die Kommunikation zwischen verschiedenen Netzwerken ermöglichen sollen. Hacker können sowohl die L2-Protokolle als auch die Bridges ins Visier nehmen, da sie diese als Schwachstellen betrachten.
- Zentralisierte Börsen (CEXs): Während zentralisierte Börsen Krypto-Händlern Komfort bieten, sind sie aufgrund des großen Geldvolumens, das sie halten, oft ein Ziel für Hacker. Es gab mehrere Fälle, in denen CEXs Cyberangriffen zum Opfer fielen, was zu erheblichen Verlusten für ihre Benutzer führte.
- Konto- und Mobile-Wallet-Diebstahl: Geschichten über Krypto- oder NFT-Wallet-Angriffe sind in den Medien bekannt. Diese Angriffe erfolgen in der Regel, wenn Hacker Zugriff auf die privaten Schlüssel der Benutzer erhalten oder Benutzer durch Phishing dazu verleiten, diese herauszugeben.
- Malware und Keylogger: Hierbei handelt es sich um Softwaretools, mit denen Hacker illegal auf Benutzeranmeldeinformationen und private Schlüssel zugreifen.
- Datenschutzprobleme bei dezentraler Datenspeicherung: Im Gegensatz zum stark eingeschränkten Zugriff auf Datenbanken im Web 2.0-Modell kann jeder verbundene Knoten auf Daten in einer Blockchain zugreifen. Es wirft zahlreiche Sicherheits- und Datenschutzprobleme auf, selbst wenn die Daten anonymisiert sind.
- Verzögerte Updates: Die dezentrale Natur von web3 macht es schwierig, Sicherheitskorrekturen schnell herauszugeben. Das gesamte Netzwerk muss alle Änderungen genehmigen, wodurch Sicherheitslücken auch nach ihrer Entdeckung noch bestehen bleiben.
- Sicherheitslücken in Smart Contracts: Smart Contracts können wie jeder Code erhebliche Sicherheitslücken aufweisen, die Benutzerdaten oder Gelder offenlegen könnten. Fehlerhafte Smart Contracts haben es Hackern in letzter Zeit ermöglicht, erhebliche Mengen an Kryptowährungen zu stehlen.
Smart-Contract-Risiken: Was sagen Experten?
Am 17. November 2023 veröffentlichte die Blockchain-Sicherheitsplattform Immunefi ihren Bericht über die Grundursachen der schädlichsten Schwachstellen in web3.
Der auf dem Web Summit 2023, an dem crypto.news teilnahm, angekündigte Bericht führt einen neuen Standard zur Schwachstellenklassifizierung für web3 ein. Die Forschung zeigt, dass die Grundursachen von Hacks in drei erkennbare Kategorien fallen:
- Designfehler bei Smart Contracts
- Schlechte Kodierung der Verträge
- Infrastrukturschwächen
Während Smart-Contract-Protokollen häufig große Aufmerksamkeit gewidmet wird, wies Immunefi darauf hin, dass die Gefahr in der übersehenen Infrastrukturebene liegen könnte.
Dem Bericht zufolge wurde fast die Hälfte aller finanziellen Verluste durch Hacks im Jahr 2022 durch Infrastrukturprobleme wie einen schlechten Umgang mit privaten Schlüsseln verursacht. Darüber hinaus wurde festgestellt, dass fast 37,5 % aller Vorfälle auf Entwicklerfehler bei Smart Contracts in Bezug auf Zugriffskontrolle, Eingabevalidierung und Rechenoperationen zurückzuführen waren.
Der CEO der Plattform, Mitchell Amador, betonte, dass selbst ein gut konzipierter Smart Contract gefährdet sein könnte, wenn die zugrunde liegende Infrastruktur anfällig ist, was zu erheblichen Verlusten führen könnte.
„Blockchains sind offene und erlaubnislose Umgebungen. Das bedeutet, dass Sie sich nicht nur vor jemandem schützen, der es geschafft hat, sich in Ihre Infrastruktur einzuschleichen, wie Sie es im herkömmlichen Web getan haben, sondern auch vor jedem, der Ihre Verträge sehen kann, vor jedem, der Ihr Produkt manipulieren kann.“
Mitchell Amador, CEO Immunefi
Alex Dulub, Gründer von Web3 Antivirus, einem Blockchain-Sicherheitsunternehmen, teilte seine Gedanken mit crypto.news und wies darauf hin, dass die eigentliche Bedrohung für Web3 und dezentrale Apps in Schwachstellen liegt, die sich aus unvollständiger Smart-Contract-Logik ergeben. Ihm zufolge können Entwickler zwar spezifische Anforderungen verwenden, um zu definieren, wie Smart Contracts funktionieren, es besteht jedoch immer das Risiko, dass sie auf unbeabsichtigte Weise verwendet werden.
Dulub stellte fest, dass Hacker kreativer seien, mit intelligenten Verträgen und Projekten experimentierten und nach Inkonsistenzen suchten, die sie ausnutzen könnten.
„Leider ist es nahezu unmöglich, derart komplexe Probleme mit automatischen Tools oder Analysegeräten zu erkennen. Der beste Ansatz? Erwägen Sie strenge Tests, sorgfältige Logikentwicklung, Analyse aller potenziellen Nutzungsszenarien, gründliche Prüfungen und die Implementierung eines Bug-Bounty-Programms.“
Alex Dulub, Gründer von Web3 Antivirus
Seine Besorgnis wurde von Sipan Vardanyan, Mitbegründer und CEO des Cybersicherheitsunternehmens Hexens, bestätigt, der sagte, dass es die Aufgabe eines Hackers sei, das zu finden, was nicht beabsichtigt ist, und neue und ausgefeiltere Angriffsvektoren zu schaffen.
„Einfach zu wissen, was da draußen passiert, ist absolut entscheidend, denn es ist ein kleines Feld und Nachrichten verbreiten sich schnell, man muss also nur am Puls der Zeit bleiben.“
Siphan Vardanyan, CEO von Hexens
Der aktuelle Stand der Dapp-Sicherheit
Der Bericht von Immunefi zeigt, dass der Web3-Sektor von Januar bis Oktober 2023 finanzielle Rückschläge in Höhe von mehr als 1,4 Milliarden US-Dollar erlebte, die durch 292 verschiedene Fälle von Betrug und Hacking verursacht wurden.
Der Bericht wies auch darauf hin, dass Hackerangriffe im Hinblick auf die Ursache finanzieller Verluste den Betrug überwogen.
Im Oktober 2023 führten Analysten Verluste in Höhe von etwa 16 Millionen US-Dollar auf Hacking-Vorfälle zurück, wobei Defi-Plattformen die erste Wahl für Hacker und Betrüger waren.
Insgesamt identifizierte die Analyse von Immunefi im dritten Quartal 2023 74 Hacks und Betrügereien, was zu einem Gesamtverlust im gesamten web3-Ökosystem von 685 Millionen US-Dollar führte.
Dabei handelte es sich um Verluste in Höhe von 662 Millionen US-Dollar bei 47 Hacking-Vorfällen und 22 Millionen US-Dollar bei 27 Betrugsfällen. Zwei Projekte, das Mixin Network und Multichain, verzeichneten im dritten Quartal 2023 die meisten Verluste, die sich auf 200 Millionen US-Dollar bzw. 126 Millionen US-Dollar beliefen.
Laut Immunefi spiegeln die Zahlen einen Anstieg von fast 60 % im Vergleich zum dritten Quartal 2022 wider, als sich Kriminelle mit etwa 428 Millionen US-Dollar davonmachten.
Die Mixin- und Multichain-Raubüberfälle machten im dritten Quartal 2023 mehr als 47 % aller Verluste aus. In diesem Zeitraum war Hacking mit 96,7 % die Hauptursache für Verluste, im Vergleich zu Betrügereien, Betrügereien und Raubüberfällen, die diesen Anteil ausmachten nur 3,3 % der gestohlenen Gelder.
Darüber hinaus zielten die Angreifer am häufigsten auf Ethereum (ETH) und die BNB-Kette (BNB), wobei Ethereum 33 Vorfälle erlitt, während es bei der BNB-Kette 25 Vorfälle gab.
Es gab auch einen deutlichen Anstieg bei der Zahl der Web3-Angriffe, wobei die Zahl der einzelnen Vorfälle im dritten Quartal 2023 im Jahresvergleich um 147 % von 30 auf 74 stieg.
Insgesamt kam es in diesem Zeitraum im Jahr 2023 zu den höchsten Verlusten, die größtenteils auf Angriffe der Lazarus Group zurückzuführen sind, die Berichten zufolge hinter hochkarätigen Angriffen auf CoinEx, Alphapo, Stake und CoinsPaid stecken.
Bei den Angriffen erbeutete die mit Nordkorea verbundene Gruppe 208.600.000 US-Dollar, was 30 % der Gesamtverluste im dritten Quartal 2023 entspricht.
Im bisherigen Jahresverlauf meldete das Krypto-Ökosystem bei 292 Vorfällen Verluste in Höhe von 1.410.669.002 US-Dollar. Das dritte Quartal 2023 war besonders schwerwiegend, mit Verlusten von über 340 Millionen US-Dollar im September und 320 Millionen US-Dollar im Juli.
So schützen Sie sich im Web3-Bereich
Hier sind die Maßnahmen, die Web3-Benutzer ergreifen können, um sich und ihr Vermögen vor böswilligen Akteuren zu schützen:
-
Seien Sie wachsam gegenüber Identitätsdiebstahl. Solche Versuche sind in der Web3-Welt traurige Realität und ihre Nichtbeachtung kann schwerwiegende Folgen haben.
Behalten Sie den Überblick über Ihren Kontostand. Es mag trivial erscheinen, aber es ist eine grundlegende Möglichkeit, Sicherheitsbedrohungen in der Web3-Welt abzuschwächen. Es empfiehlt sich, nach der Verwendung Ihrer Wallet-Signatur auf einer neuen Plattform Ihren Kontostand zu überprüfen, insbesondere bei hochwertigen Token wie Bitcoin (BTC), Ethereum oder Stablecoins wie Tether (USDT), die anfällig für häufige Hackerangriffe sind.
Wenn Sie zweifelhafte Transaktionen oder unbefugte Zugriffe entdecken, sollten Sie dies unverzüglich Ihrer Defi-Institution oder Ihrem Dapp-Plattform-Anbieter melden.
Seien Sie vorsichtig, wenn Sie neue Dapps herunterladen oder installieren. Halten Sie sich beim Herunterladen und Installieren von Anwendungen an vertrauenswürdige Quellen und meiden Sie Software von unbekannten oder nicht vertrauenswürdigen Websites.
Seien Sie vorsichtig bei Websites mit schlechtem Ruf, da diese möglicherweise schädliche Software verbreiten, die die Sicherheit Ihres Geräts gefährden könnte.
Angesichts der Tatsache, dass CEXs oft ein Ziel von Hackern sind, empfehlen Experten, dass Benutzer ihre Gelder in Wallets aufbewahren, wo sie die volle Kontrolle über ihre privaten Schlüssel haben. Um ihre privaten Schlüssel besser zu schützen, können Web3-Benutzer Hardware-Wallets oder Cold-Storage-Lösungen verwenden, die Schlüssel offline und sicher vor potenziellen Keyloggern speichern.
Die Gewährleistung der Web3-Sicherheit ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, der proaktive Risikoerkennung, strategische Wahl des Blockchain-Designs, regelmäßige Audits und ständiges Lernen umfasst.