coindesk.com
Jahrelang verkaufte sich die dezentrale Finanzierung mit einem einfachen Versprechen: Code ist Gesetz. Smart Contracts, unveränderlich und transparent, würden die menschlichen Schwächen beseitigen, die die traditionelle Finanzwelt belasten.
Aber der KelpDAO-Hack in Höhe von 293 Millionen US-Dollar, der letzten Monat stattfand enthüllte eine unbequeme Realität für die Entwickler der Krypto-Infrastruktur: die die größten Schwachstellen der Branche haben zunehmend wenig mit den Smart Contracts selbst zu tun.
Stattdessen liegt die Gefahr nun im weit verzweigten Netz von Brücken, Governance-Systemen, operativer Sicherheit und Drittanbieter-Abhängigkeiten, die den Code umgeben, die komplexe menschliche und infrastrukturelle Ebene die moderne DeFi unterstützend.
„Die Verträge haben in den meisten dieser Fälle genau das getan, was ihre Autoren ihnen vorgegeben hatten“, sagte Eugene Mamin, Chief Technical Master bei der Lido Labs Foundation, gegenüber CoinDesk. „Die Autoren waren in diesem Fall nur nicht die legitimen Personen.“
Der KelpDAO-Exploit, der mit einer Schwachstelle in der Bridge-Infrastruktur von LayerZero in Verbindung steht, wird zu einem entscheidenden Moment für die DeFi-Branche, die mit ihrer eigenen Reife ringt.
Für Protokollgründer und Sicherheitsforscher verstärkte der Vorfall eine breitere im Krypto-Bereich im Gange befindliche Veränderung: DeFi kämpft nicht mehr in erster Linie gegen Programmierfehler. Es kämpft gegen seine eigene Komplexität.
In den frühen Jahren von DeFi resultierten Exploits typischerweise aus Schwachstellen im Smart-Contract-Code, Reentrancy-Fehlern, Orakelmanipulationen oder fehlerhafter Logik. Heute ereignen sich viele der größten Ausfälle der Branche an ganz anderer Stelle.
„Das Risiko von Smart Contracts ist weitgehend gelöst“, sagte Sam MacPherson, CEO von Phoenix Labs, dem Entwickler der dezentralen Finanzplattform Spark. „Kürzlich resultierten alle Hacks aus mangelhafter operativer Sicherheit.“
Das bedeutet nicht, dass Smart Contracts perfekt sind. Aber Auditing-Tools, formale Verifikation, Bug-Bounty-Programme und KI-gestützte Code-Überprüfungen haben die zugrunde liegenden Verträge laut Angaben der Führungskräfte deutlich robuster gemacht als während des explosiven Wachstumszyklus von DeFi.
Das Problem besteht darin, dass sich DeFi selbst zu einer stark vernetzten Finanzmaschine entwickelt hat. Protokolle sind von Brücken abhängig. Brücken sind auf Validatoren und Nachrichtensysteme angewiesen. Governance-Systeme basieren auf Multisignaturen, Cloud-Infrastrukturen, SaaS-Anbietern und Teams, die über verschiedene Gerichtsbarkeiten verteilt sind.
Jede hinzugefügte Schicht schafft einen weiteren Fehlerpunkt. „Wenn man die Infrastruktur eines anderen wiederverwendet, übernimmt man dessen Bedrohungsmodell“, sagte Mamin von Lido.
Der KelpDAO-Exploit zeigte eindrucksvoll, wie gefährlich diese vererbten Risiken werden können. Eine Schwäche in der gemeinsamen Brückeninfrastruktur blieb nicht isoliert, sondern breitete sich auf die darauf aufbauenden Protokolle aus.
„Konzentration kann stillschweigend zu einem systemischen Risiko werden“, sagte MacPherson von Phoenix Labs. „Wenn zu viel vom Markt von derselben Infrastruktur abhängt, hören Ausfälle auf, isoliert zu sein, und beginnen sich zu verketten.“
„Langeweilig“ als attraktives Merkmal für DeFi
Der Exploit erfolgt auch zu einem Zeitpunkt, an dem Krypto-Investoren, so Mamin, eine geringere Toleranz für risikoreiche Experimente zeigen.
„Die Protokolle, denen die Menschen tatsächlich mit ernsthaftem Kapital vertrauen, sind diejenigen, die dasselbe auf dieselbe Weise, vorhersehbar, seit Jahren tun“, sagte Mamin. „Langweilig ist ein Merkmal.“
DeFi-Protokolle haben typischerweise maximiertes Wachstum, Hebelwirkung und Rendite belohnt. Komplexität wurde oft als Innovation angesehen. Jetzt, nach Jahren von Exploits, Liquidationen und kaskadierenden Ausfällen, scheinen sich die Nutzer zu etwas weitaus weniger Aufregendem hingezogen zu fühlen: Vorhersehbarkeit.
MacPherson sagte, dass der Markt beginnt, Systeme zu belohnen, die auf Resilienz statt auf maximalen Gewinn ausgelegt sind.
„Lange Zeit belohnte DeFi Wachstum um jeden Preis“, sagte er. „Doch wenn sich die Bedingungen verschärfen, werden die verborgenen Kompromisse sichtbar.“
Spark hat in letzter Zeit einen Anstieg der Einlagen verzeichnet, teilweise weil Nutzer drehen sich laut MacPherson in Richtung konservativerer Kreditmärkte und einfacherer Sicherheitenstrukturen.
Eine weitere folgenreiche Lehre aus dem KelpDAO-Vorfall ist, dass viele der gefährlichsten Angriffsvektoren im DeFi-Bereich inzwischen gewöhnlichen Cybersecurity-Problemen ähneln.
Mamin wies auf Schwachstellen bei persönlichen Laptops, SaaS-Plattformen, Schlüsselverwaltungssystemen und Software-Lieferketten als einige der größten ungelösten Risiken der Branche hin.
„Die Angriffsfläche ist wieder zu den Web2-Wurzeln zurückgekehrt, anstatt sich zu verkleinern“, sagte er.
Das führt zu einem seltsamen Widerspruch im Kern von Krypto. Die Onchain-Ebene mag radikal transparent sein, doch ein großer Teil der sie unterstützenden Infrastruktur bleibt undurchsichtig und schwer extern prüfbar.
Die Schlussfolgerung wird für die Nutzer immer schwerer zu ignorieren: Die Sicherheit im DeFi-Bereich hängt zunehmend weniger davon ab, ob ein Protokoll geprüft wurde, sondern mehr davon, ob die Betreiber diszipliniert agieren. Das bedeutet geografisch verteilte Multisigs, Timelocks, geübte Notfallpläne, strenge betriebliche Sicherheitspraktiken und Governance-Systeme, die die Abhängigkeit von einzelnen Akteuren reduzieren.
Trotz der Reihe von Sicherheitslücken sind weder Mamin noch MacPherson der Ansicht, dass diese Vorfälle DeFi insgesamt für ungültig erklären. In gewisser Hinsicht argumentieren sie, dass die Branche endlich eine nachhaltigere Phase erreicht. MacPherson sieht den langfristigen Vorteil von DeFi nicht darin, Risiken zu eliminieren, sondern Risiken sichtbar zu machen.
„Kollateral, Liquidität und Exponierungen sind in Echtzeit onchain sichtbar“, sagte er. „Die Herausforderung besteht darin, diese Transparenz mit einem ausgereiften Risikomanagement zu verbinden.“
Dies könnte letztlich zur prägendsten Herausforderung des Sektors in den kommenden Jahren werden: die Umwandlung von Krypto von einer schnellen Experimentierplattform hin zu einer finanziellen Infrastruktur, die in der Lage ist, Belastungen standzuhalten.
Weiterlesen: Die $292 Millionen Kelp DAO-Exploittierung zeigt, warum Krypto-Brücken weiterhin eine der Schwachstellen der Branche sind