Wie entschärfen web3-Firewalls und Smart-Contract-Sicherheitsdienste Krypto-Sicherheitslücken?

(TL;DR)

🔹 Laut SlowMist, einem in Xiamen ansässigen Blockchain-Sicherheitsunternehmen, wurden seit 2012 mehr als 27 Billionen US-Dollar in Kryptowährungen gestohlen, wobei die drei wichtigsten Arten von Angriffen Betrug, Flash-Kredit-Angriffe und Vertragsschwachstellen sind.

🔹 Einige Web3-Sicherheitslücken ergeben sich aus dem Zusammenspiel von Web3- und Web 2.0-Architekturen, während andere in der Funktionsweise von Protokollen wie der Blockchain und anderen Funktionen begründet sind.

🔹 Die vielen Angriffe und die Anzahl der Schwachstellen, die durch das Fehlen von Sicherheits-Patches verursacht werden, haben zur Entwicklung von Smart-Contract-Sicherheitsdiensten geführt. Diese Dienste für intelligente Verträge bieten Überwachungsdienste, Problemerkennung, Analyse von Vertragsereignissen in Echtzeit und Warnmeldungen.

🔹 Web3-Firewalls und Smart-Contract-Sicherheitsdienste entschärfen Krypto-Sicherheitslücken, indem sie bösartigen Datenverkehr filtern, Smart Contracts überprüfen und Sicherheitsmeldungen und -warnungen bereitstellen.

Die wachsende Zahl von Krypto-Betrügereien mit hohem Bekanntheitsgrad hat den Bedarf an Web3-Sicherheitslösungen deutlich gemacht. Berühmte Persönlichkeiten wurden zur Zielscheibe, darunter Bill Murray und Seth Green in den USA sowie die taiwanesische Mandopop-Sensation Jay Chou, der im April eine wertvolle Bored Ape Yacht Club NFT an eine Phishing-Website verlor. Laut SlowMist, einem in Xiamen ansässigen Blockchain-Sicherheitsunternehmen, wurden seit 2012 mehr als 27 Billionen US-Dollar an Kryptowährungen gestohlen. Die drei wichtigsten Angriffe waren Betrug, Flash Loan-Angriffe und Schwachstellen in Verträgen. Im Laufe der Jahre gab es viele Smart-Contract-Angriffe, die die Opfer viel Geld gekostet haben.

Andererseits sind die Hacks von DAO und Parity Wallet bekannt. Der DAO-Smart-Contract enthielt Schwachstellen, die es Angreifern ermöglichten, Gelder aus dem Netzwerk zu stehlen. Aufgrund des Fehlers konnte der Hacker Gelder aus dem intelligenten Vertrag anfordern, bevor der Kontostand aktualisiert wurde.

Der Wechsel vom Web 1.0 zum Web 2.0 setzte Benutzer und Unternehmen mehreren neuen Sicherheitsbedrohungen aus. Da jeder Benutzer Inhalte im Internet veröffentlichen kann, können nicht vertrauenswürdige und böswillige Eingaben leichter Websites kompromittieren, Daten preisgeben und Datenbanken infizieren. In dem Maße, in dem die Menschen beginnen, die neue Welt des Web3 zu erforschen, ist eine neue Reihe von Sicherheitslücken entstanden, von denen sie einige vielleicht noch nie zuvor gesehen haben. Eine Web3-Firewall ist ein Web3-Netzwerksicherheitsgerät, das Unternehmen bei der Bekämpfung von Cyberangriffen unterstützen soll, die häufig auf ihre Produkte und Dienstleistungen in diesem neuen Terrain abzielen.

Einige Web3-Sicherheitslücken ergeben sich aus dem Zusammenspiel von Web3- und Web 2.0-Architekturen, während andere in der Funktionsweise von Protokollen wie der Blockchain und anderen Funktionen begründet sind. Beispiele für Web3-Sicherheitsrisiken sind:

1. Fehlende Verschlüsselung
Web3 ist in der Theorie vollständig dezentralisiert, und jeder angeschlossene Knoten im Netzwerk kann direkt auf gespeicherte Daten zugreifen. In der Praxis werden die Front-Ends von Web3-Anwendungen weiterhin auf Web 2.0-Technologien angewiesen sein, mit denen die Endpunkte der Benutzer leicht interagieren können. Die meisten Web3-Anwendungs-Frontends verwenden API-Abfragen an das Web3-Backend für Geschäftslogik und Datenspeicherung.

Viele Web3-API-Abfragen sind derzeit nicht kryptografisch signiert. Dadurch sind sie On-Path-Angriffen, dem Abfangen von Daten und anderen Angriffen ausgesetzt, genauso wie die Verwendung von unverschlüsselten, unsignierten HTTP-Web 2.0-Anwendungen die Benutzer einem Datenleck und On-Path-Angriffen aussetzt.

2. Hack von intelligenten Verträgen
Intelligente Verträge können wie jeder andere Code erhebliche Sicherheitsmängel aufweisen, durch die Nutzerdaten oder in vielen Fällen auch Geldmittel angreifbar werden. Im Dezember 2021 konnten Angreifer aufgrund von Fehlern in intelligenten Verträgen rund 31 Millionen US-Dollar in digitaler Währung stehlen. Im Mai 2022 führte eine Schwachstelle im TerraUSD-Algorithmus dazu, dass die Kryptowährung rund 50 Milliarden Dollar an Wert verlor.

3. Sorge um die Privatsphäre
Im Gegensatz zu einem Web 2.0-Modell, bei dem der Zugang zu Datenbanken stark eingeschränkt werden kann, können Daten auf einer Blockchain gespeichert und von jedem angeschlossenen Knoten abgerufen werden. Je nach Art der gespeicherten Daten wirft dies zahlreiche Sicherheits- und Datenschutzbedenken auf. Selbst wenn sie während der Übertragung anonymisiert werden, zeigen Studien, dass keine Daten wirklich anonym sind.

4. Brücken- und Protokollangriff
Web3 basiert nicht vollständig auf der Blockchain. Die Blockchain besteht, wie das Internet, aus mehreren aufeinander aufbauenden Schichten. Ein Beispiel ist die weit verbreitete Verwendung von “Brücken”, d. h. Protokollen, die Übertragungen zwischen Blockchains ermöglichen. Auch diese Protokolle sind anfällig für Angriffe. Im Februar 2022 nutzten Diebe zum Beispiel die Wormhole-Brücke, um etwa 320 Millionen Dollar in Kryptowährung zu stehlen.

5. Diebstahl von Wallets und Konten
Die Medien sind voll von Berichten über Angriffe auf Kryptowährungen oder NFT-Geldbörsen. Dies geschieht meist dadurch, dass sich Angreifer Zugang zu den privaten Schlüsseln der Nutzer verschaffen oder die Nutzer durch Phishing zur Herausgabe dieser Schlüssel verleiten. Wenn diese privaten Schlüssel lokal auf dem Gerät eines Benutzers gespeichert sind, können sie physisch gestohlen werden.

Ein intelligenter Vertrag ist ein Transaktionsprotokoll, das dazu dient, rechtlich relevante Ereignisse und Aktionen gemäß den Bedingungen eines Vertrags oder einer Vereinbarung auszuführen, zu kontrollieren oder zu dokumentieren. Der intelligente Vertrag bietet viele Vorteile gegenüber dem Alt, stellt aber auch eine Chance für Angreifer dar, die von Schwachstellen profitieren wollen. Öffentliche Blockchains verschärfen das Problem der Absicherung intelligenter Verträge. Der Code der Verträge kann in der Regel nicht geändert werden, um Sicherheitslücken zu schließen. Außerdem sind die aus intelligenten Verträgen gestohlenen Vermögenswerte schwer nachzuverfolgen und in den meisten Fällen aufgrund der Unveränderlichkeit nicht einlösbar. Auch wenn die Zahlen variieren, wird geschätzt, dass der Gesamtwert, der durch Sicherheitslücken in intelligenten Verträgen gestohlen wurde oder verloren ging, 1 Milliarde US-Dollar übersteigt.

Diese Angriffe und die Anzahl der Schwachstellen, die durch das Fehlen von Sicherheits-Patches verursacht werden, haben zur Entwicklung von Sicherheitsdiensten für intelligente Verträge geführt. Diese Dienste für intelligente Verträge bieten Überwachung, Problemerkennung, Analyse von Vertragsereignissen in Echtzeit und Warnmeldungen. Wenn die Projektbeteiligten ihre Verträge aktualisieren müssen, bieten einige Smart-Contract-Sicherheitsdienste atische technische Support-Tools wie Vertrags-Upgrades und Cross-Chain-Migrationen.

Web3-Firewalls und Smart-Contract-Sicherheitsdienste mildern Krypto-Sicherheitslücken auf vielerlei Weise. Einige dieser Möglichkeiten sind:

1. Ein Schutzschild zwischen Web3-Anwendungen und dem Internet:
Wenn eine Web3-Firewall eingesetzt wird, schafft sie eine Barriere zwischen der Web3-Anwendung und dem Internet. Während ein Proxy-Server die Identität eines Client-Rechners durch einen Vermittler schützt, ist eine Web3-Firewall eine Art Reverse-Proxy, der den Server vor der Enttarnung schützt, indem Clients die Firewall passieren müssen, bevor sie den Server erreichen.

2. Herausfiltern von bösartigem Datenverkehr:
Eine Web3-Firewall arbeitet nach einer Reihe von Regeln, die als Richtlinien bezeichnet werden. Diese Richtlinien sollen vor Anwendungsschwachstellen schützen, indem sie bösartigen Datenverkehr herausfiltern.

3. Alarmierung und Warnung vor Risiken:
Web3-Firewalls unterstützen Web3-Firmen bei der Bekämpfung von Cyberangriffen, indem sie es Wallet-Anbietern und Verwahrern ermöglichen, den Nutzern Echtzeit-Warnungen und Transaktionskontext zu liefern.

4. Sicherheitsaudit für intelligente Verträge
Wie andere Softwareanwendungen benötigen auch Smart Contracts spezielle Audits, um Sicherheitslücken zu schließen. Smart-Contract-Sicherheitsdienste führen dieses Audit durch, um regelmäßige Sicherheitsbewertungen durchzuführen, kostspielige Fehler zu vermeiden und sicherzustellen, dass die Verträge optimal funktionieren.
Ein Smart-Contract-Audit ist eine gründliche, zeilenweise Prüfung des zugrunde liegenden Codes eines Vertrags. Ziel des Audits ist es, alle potenziellen Schwachstellen zu erkennen und zu beseitigen und zuverlässige Vertragsinteraktionen zu bestätigen.

1. Blowfish
Blowfish ist ein Anbieter von web3-Firewalls und Sicherheitsdiensten, der sich mit den Cybersicherheitsrisiken befasst, die mit der Interaktion von Endnutzern mit Blockchains verbunden sind. Aufgrund der Undurchsichtigkeit von Blockchain-Transaktionen haben bösartige Transaktionen an Raum gewonnen. Blowfish entwickelt einen Dienst, der vorgeschlagene Transaktionen im Namen von Wallets, Verwahrern und einzelnen Nutzern auf böswillige Absichten prüft, bevor sie signiert und an das Netzwerk gesendet werden, wodurch eine zusätzliche Sicherheitsebene hinzugefügt wird, die Nutzer vor Phishing-Angriffen und böswilligen oder gekaperten dApps schützen kann.

2. Hacken
Hacken ist ein Cybersicherheitsunternehmen, das 2017 gegründet wurde, um das Web3 sicherer zu machen. Es bietet eine wettbewerbsfähige Suite professioneller Cybersicherheitsdienste für Technologieunternehmen und Krypto-Communities weltweit.

3. Certik
CertiK ist ein 2018 gegründeter Web3- und Smart-Contract-Sicherheitsdienstleister. Es nutzt erstklassige formale Verifizierung und KI-Technologie, um Smart Contracts, Blockchains und Web3-Apps zu sichern und zu überwachen.

4. OpenZeppelin
OpenZeppelin bietet Sicherheitsprodukte für die Entwicklung, Automatisierung und den Betrieb von dezentralen Anwendungen. Es ist einer der führenden Anbieter von Krypto-Cybersicherheitstechnologie und -dienstleistungen und genießt das Vertrauen der beliebtesten DeFi- und NFT-Projekte. OpenZeppelin, das 2015 zum Schutz der offenen Wirtschaft gegründet wurde, schützt Gelder in Höhe von mehreren Milliarden Dollar für führende Krypto-Organisationen wie Coinbase, Ethereum Foundation, Compound, Aave, the graph und viele andere.


Fazit

Die ständig wachsende Zahl von Web3-, Smart Contracts- und DeFi-Projekten, die riesige Summen kontrollieren, macht Sicherheitsmaßnahmen unerlässlich. So praktisch und zuverlässig diese intelligenten Verträge auch sind, sie können schwerwiegende Sicherheitsmängel aufweisen, wenn sie nicht gründlich untersucht, geprüft und überwacht werden. Ebenso sind viele Web3-API-Abfragen derzeit nicht kryptografisch signiert, was sie angreifbar macht. Web3-Firewalls und Smart-Contract-Sicherheitsdienste mildern diese Schwachstellen, indem sie bösartigen Datenverkehr filtern, Smart Contracts prüfen und Warnungen ausgeben.

Autor： M. Olatunji, Gate.io Researcher, übersetzt von Cedric.P
Dieser Artikel gibt nur die Meinung des Forschers wieder und stellt keine Investitionsempfehlungen dar. Gate.io behält sich alle Rechte an diesem Artikel vor. Die Wiederveröffentlichung des Artikels ist erlaubt, sofern Gate.io genannt wird. In allen anderen Fällen werden rechtliche Schritte aufgrund von Urheberrechtsverletzungen eingeleitet.