Kryptofirmen geben viel Geld für Sicherheitsüberprüfungen aus, aber Hacker erbeuten immer noch Milliarden von Dollar. Einem neuen Bericht von Oak Security zufolge zielen viele der größten Angriffe nicht mehr auf Schwachstellen im Smart-Contract-Code ab. Stattdessen nutzen Angreifer gestohlene Zugangsdaten, schwache interne Kontrollen und betriebliche Fehler aus.
Seit 2022 haben Cyberkriminelle, darunter die nordkoreanische Lazarus-Gruppe, mehr als 2,2 Milliarden US-Dollar von Kryptoplattformen gestohlen. Im gleichen Zeitraum hat die Branche die Zahl der Code-Audits stark erhöht. Viele schwerwiegende Sicherheitsverstöße haben jedoch ihren Ursprung in Bereichen, auf deren Bewertung herkömmliche Audits nicht ausgelegt sind, darunter die Verwaltung privater Schlüssel, Governance-Mechanismen und interne Sicherheitskontrollen.
Der Bericht weist auf eine wachsende Kluft zwischen dem, was Audits schützen können, und der Art und Weise hin, wie Angreifer jetzt vorgehen. Aus diesem Grund sagen Sicherheitsexperten, dass Kryptofirmen über den Code hinausblicken und die Systeme und Prozesse stärken müssen, die Kundengelder schützen.
Angreifer gehen über Smart Contracts hinaus
Code-Audits sind weitaus ausgefeilter geworden und helfen Entwicklern, Schwachstellen zu erkennen, bevor Projekte in Betrieb gehen, und reduzieren die Anzahl der in Smart Contracts gefundenen Fehler. Doch als sich die Technologie verbesserte, änderten Hacker ihre Vorgehensweise.
Angreifer versuchen, Menschen und Systeme innerhalb einer Organisation auszunutzen, statt Fehler in der Codierung auszunutzen. Zu diesen Arten von Angriffen gehören Phishing-Angriffe, der Diebstahl privater Schlüssel, die Ausnutzung von Systemaktualisierungen und interne Bedrohungen. Viele groß angelegte Diebstähle in letzter Zeit waren auf solche Angriffe zurückzuführen und nicht auf Fehler in der Codierung von Anwendungen.
Forscher sagten, dass die Audits immer noch wie vorgesehen funktionieren und Sicherheitsprobleme vor der Bereitstellung identifizieren. Das Problem besteht darin, dass Audits nur Code bewerten können. Sie können nicht verhindern, dass ein Mitarbeiter Anmeldedaten preisgibt, eine betrügerische Transaktion genehmigt oder Opfer eines Phishing-Angriffs wird. Daher reicht starker Code nicht mehr aus, um eine Krypto-Plattform allein zu schützen.
Verwandt: Binance droht den EU-Zugang zu verlieren, da Griechenland die MiCA-Lizenz ablehnt
Falsches Vertrauen schafft neue Risiken
Krypto-Projekte verweisen oft auf Sicherheitsaudits als Beweis dafür, dass ihre Plattformen sicher sind, und heben dabei abgeschlossene Überprüfungen und Berichte von Wirtschaftsprüfungsgesellschaften hervor. Bei vielen Benutzern können diese Audits den Eindruck erwecken, dass ein Projekt vor schwerwiegenden Sicherheitsmängeln geschützt ist.
Forscher sagen, dass diese Annahme irreführend sein kann. Bei einem Audit wird der Code eines Projekts nur zu einem bestimmten Zeitpunkt bewertet. Neue Risiken können entstehen, wenn Plattformen ihre Infrastruktur aktualisieren, Governance-Strukturen ändern oder den Betrieb erweitern.
Der jüngste KelpDAO-Hack unterstreicht diese Herausforderung. Obwohl der Angriff nicht mit einem Fehler im geprüften Smart-Contract-Code in Zusammenhang stand, sahen Benutzer dennoch, dass eine andere Krypto-Plattform Gelder verlor. Sicherheitsexperten sagen, dass die meisten Anleger bei einem Geldverlust nicht zwischen einem Codierungsfehler und einem Betriebsfehler unterscheiden.
Dem Bericht zufolge erfordert die Reduzierung dieser Risiken mehr als nur Codeüberprüfungen. Forscher sagten, Projekte sollten die Sicherheit privater Schlüssel stärken, Überwachungssysteme verbessern, die Sicherheitsschulung der Mitarbeiter erweitern und Schutzmaßnahmen hinzufügen, die verdächtige Aktivitäten erkennen können, bevor Verluste eskalieren.
Verwandt: SBF sagt, er könnte nach dem Gefängnis eine neue Münze auf den Markt bringen, da die verlorenen Investitionen Milliarden erreichen