Verstreut und schutzlos: So passieren DeFi-Hacks

Die Zahl der Angriffe auf Defi-Plattformen nimmt ständig zu. Das ist nicht überraschend, wenn man bedenkt, dass im Bereich der dezentralen Finanzen zig Milliarden Dollar im Umlauf sind. Laut Experten sind die Hauptgründe für die Angriffe die rasante Entwicklung des DeFi-Sektors, unzureichende Tests und fehlende Sicherheitsprüfungen, da viele Projekte eilig auf den Markt drängen. Hacker verwenden unterschiedliche Methoden, um an Kryptowährungen zu gelangen, aber die häufigste Ursache für Hacks sind Schwachstellen in Smart Contracts.

Smart Contracts sind ein Kernelement des dezentralen Finanzökosystems. Wie jede andere Software werden sie von Menschen entwickelt, was bedeutet, dass es immer ein Fehlerrisiko im Programmcode und in den Konfigurationen gibt und geben wird. Wenn ein Smart Contract anfällig ist, ist auch die darauf entwickelte verteilte Anwendung anfällig und bietet Angreifern einen Einstiegspunkt.

Top 5 Hacks auf DeFi-Plattformen im Jahr 2022

Im vergangenen Jahr gab es eine ganze Reihe von Kryptowährungs-Hacks. Laut einem Bericht von Chainalysis wurden von Hackern insgesamt 3 Milliarden USD in Münzen und Token gestohlen. Die größten Diebstähle standen im Zusammenhang mit Cross-Chain-Brücken und DeFi-Protokollen.

Ronin (625 USD)

Das Ronin-Netzwerk – das das beliebte Blockchain-basierte Spiel Axie Infinity hostet, das von Sky Mavis entwickelt wurde – wurde im März 2022 um 625 Millionen USD in ETH und USDC beraubt. Der Hack wurde erst eine Woche später entdeckt, als sich ein Benutzer beschwerte, dass er seine ETH nicht von Axie Infinity abheben konnte. Dies ist der bislang größte Kryptodiebstahl und wird der Lazarus Group, einem nordkoreanischen Hackerteam, zugeschrieben.

Den Angreifern gelang es, mithilfe eines Phishing-E-Mail-Angriffs auf einen ehemaligen Mitarbeiter von Sky Mavis auf die IT-Infrastruktur des Unternehmens zuzugreifen. Nachdem sie die privaten Schlüssel zu den Netzwerkvalidierungsknoten auf den internen Servern des Unternehmens gefunden hatten, stahlen sie diese und übernahmen die Kontrolle über das gesamte Ronin-Netzwerk.

Das Ronin-Netzwerk wurde durch nur 9 Validierer gesichert, von denen 4 von Sky Mavis verwaltet wurden, während nur 5 von 9 Validierern erforderlich waren, um die Einzahlung und Auszahlung von Geldern zu genehmigen. Dies bedeutete, dass die Angreifer, nachdem sie über eine Hintertür die Kontrolle über einen fünften Knoten (der von der Axie DAO verwaltet wurde) erlangt hatten, einfach Geld aus dem Netzwerk abheben konnten. Sie nahmen über 173.600 ETH und 25,5 Millionen USDC mit.

Experten zufolge haben die Hacker die gestohlenen Coins durch mehrere Krypto-Mixer, darunter Tornado Cash, Blender und ChipMixer, bewegt, bevor sie sie offenbar in das Bitcoin-Netzwerk transferierten.

Sky Mavis gab bekannt, dass die meisten Opfer des Diebstahls vollständig aus eigenen Mitteln des Unternehmens entschädigt worden seien, zusätzlich zu 150 Millionen US-Dollar aus einer von Binance geleiteten Spendenaktion.

Wormhole (325 Millionen USD)

Wormhole ist ein Cross-Chain-Bridge-Protokoll, das es Benutzern ermöglicht, ETH in verpackte WETH-Token (Wormhole ETH) im Solana-Netzwerk zu übertragen.

Im Februar 2022 griff ein unbekannter Hacker die Cross-Chain-Bridge an. Er fälschte Sicherheitssignaturen, zauberte 120.000 WETH aus dem Nichts und tauschte sie im Ethereum-Netzwerk gegen ETH ein, wodurch der Wormhole-Liquiditätspool geleert wurde.

Die Netzwerkbrücke funktionierte nach dem Hack nicht mehr, war aber einige Tage später wieder online. Alle gestohlenen Gelder wurden ihren Besitzern mit Mitteln von Jump Crypto zurückgegeben, dem Unternehmen, das Wormhole entwickelt hat.

Nomad (190 Millionen USD)

Im August 2022 wurde eine weitere Brücke gehackt. Nomad, eine Cross-Chain-Brücke, die die Netzwerke Ethereum, Avalanche, Moonbeam, Evmos und Milkomeda verbindet, wurde gehackt, wobei ein Schaden von 190 Millionen US-Dollar entstand.

Die Sicherheitslücke war das Ergebnis einer fehlerhaften Konfiguration des zentralen Smart Contracts des Projekts. Den Entwicklern ist beim Update ein Fehler unterlaufen, der es jedem mit zumindest grundlegenden Programmierkenntnissen ermöglichte, sich selbst die Erlaubnis zum Abheben von Geldern zu erteilen. Als der Fehler entdeckt wurde, hatten sich bereits über 300 Benutzer beeilt, illegal Geld von der Brücke abzuheben. Einige von ihnen erwiesen sich jedoch als „White Hat“-Hacker und gaben später 22 Millionen USD an die Plattform zurück. Experten nennen diesen Hack „den ersten dezentralen Massenraub“.

Beanstalk Farms (182 Millionen USD)

Dieses auf Ethereum aufbauende Stablecoin-Protokoll wurde im April 2022 angegriffen. Der Hacker drang mit den folgenden Schritten in das Netzwerk ein:

  • Mithilfe ungesicherter Blitzkredite wurden über 1 Milliarde USD in USDC, USDT, DAI und anderen Stablecoins auf verschiedenen dezentralen Plattformen (Uniswap, SushiSwap und Aave) aufgebracht;
  • Diese Mittel wurden dem BEAN-Pool hinzugefügt und 67 % der Stalk-Governance-Token erhalten, die zum Abstimmen im Netzwerk verwendet werden;
  • Zwei bösartige Governance-Vorschläge (BIP-18 und BIP-19) wurden bereitgestellt und genehmigt, die ein Protokoll für die Spende von Geldern an die Ukraine forderten. Der Hacker hatte diesen Vorschlägen bösartigen Code hinzugefügt, was laut dem Smart-Contract-Auditor BlockSec dazu führte, dass Gelder aus dem Protokoll abgezweigt wurden.

Das Cybersicherheitsunternehmen PeckShield schätzt, dass der Vorfall Beanstalk 182 Millionen US-Dollar gekostet hat.

Mango Markets (114 Millionen USD)

Diese auf Solana basierende Kredit- und Handelsplattform verlor im Oktober 2022 durch Marktmanipulation 114 Millionen USD.

Der Hacker – wie später bekannt wurde, wurde das Hackerteam vom Händler Avraham Eisenberg geleitet – wollte Kundeneinlagen von Mango Markets abheben, indem er den Preis des MNGO-Tokens manipulierte. Er ging folgendermaßen vor:

  • 5 Millionen USDC bei Mango Markets eingezahlt;
  • Eröffnete eine riesige Long-Position auf dem MNGO-Token, wodurch dessen Preis in nur einer Stunde um über 1.000 % stieg. Dadurch stieg auch der Wert auf dem Konto des Hackers;
  • Hat Kredite im Wert von 114 Millionen US-Dollar gegen den inzwischen enorm überhöhten Wert der Sicherheiten in Form eines Korbs verschiedener Münzen und Token aufgenommen, die Mittel abgezogen und ist mit dem Geld abgehauen.

Eisenberg stimmte später einem Vergleich mit den Projektentwicklern zu und gab 69 Millionen USD zurück. Später gab er seine Identität preis, was sich als unklug erwies, als ihn das US-Justizministerium im Dezember 2022 festnahm und ihm Verbrechen im Zusammenhang mit Marktmanipulation vorwarf.

Wie läuft das Jahr 2023 für die gesetzlosen Krypto-Profiteure?

Laut den Analysten von PeckShield führten Hacker im Januar 2023 24 Kryptowährungs-Hacks im Gesamtwert von 8,8 Millionen USD durch. Dies ist 14-mal weniger als der Betrag, den Hacker im gleichen Zeitraum des Vorjahres gestohlen haben. Der größte Angriff ereignete sich auf LendHub, als Hacker in einem einzigen Angriff 6 Millionen USD von der Kreditplattform abzogen. Weitere Kryptoprojekte, die in diesem Jahr bisher gehackt wurden, sind Mycelium, Thoreum Capital, Midas Capital und OMNI.

PeckShield gab außerdem bekannt, dass es im Februar 2023 zu 209 Hacks im Wert von 35 Millionen US-Dollar kam, was zehnmal weniger ist als im gleichen Monat im Jahr 2022 gestohlen wurde.

In der Zwischenzeit wurden keine neuen Sicherheitsinnovationen vorgenommen, was bedeutet, dass es auch weiterhin zu Hacks im DeFi-Protokoll kommen wird. Hier kann eine alte Weisheit hilfreich sein: Setzen Sie nicht alle Eier in einen Korb, sonst könnten Sie auf einen Schlag alles verlieren.