Im sich entwickelnden Web3-Landschaft bleibt Sicherheit ein vorrangiges Anliegen für Kryptounternehmen. Die meisten dieser Unternehmen verlassen sich stark auf Pre-Deployment-Smart-Contract-Audits, in der Überzeugung, dass solche Audits ihre Projekte und Kundengelder vor Hacks schützen. Jüngste Daten offenbaren jedoch eine ernüchternde Wahrheit: 90% der gehackten Smart Contracts wurden vor der Bereitstellung geprüft. Diese Statistik hebt eine kritische Lücke im aktuellen Ansatz zur Web3-Sicherheit hervor.
Der folgende Meinungsartikel wurde von Michael Pearl, VP Go-To-Market, Cyvers.ai, verfasst.
Die Rolle von Smart Contract Audits
Smart Contract Audits sind zweifellos ein wesentliches Element in der Sicherheitsarchitektur jedes Kryptoprojekts. Diese Audits helfen dabei, typische Schwachstellen und sicherheitsbezogene Fehler vor der Bereitstellung des Contracts zu identifizieren. Die Durchführung mehrerer Audits durch verschiedene Firmen ist eine gängige Praxis, um sicherzustellen, dass potenzielle Probleme erkannt und behoben werden.
Audits reduzieren jedoch lediglich die Endpunkte und die Wahrscheinlichkeit eines Hacks, machen ein System jedoch nicht narrensicher. Audits sind nur ein Teil des größeren Bildes. Sie können häufige Schwachstellen finden, aber sie können nicht für neue, ausgeklügelte Angriffsvektoren, die nach der Bereitstellung auftreten können, verantwortlich sein. Daher bedeutet das Vertrauen allein auf Audits nicht, dass alles Mögliche getan wurde, um ein System zu sichern.
Fallstudien: Auditiert und dann gehackt
Die Liste der Projekte, die gehackt wurden, obwohl ihre Smart Contracts auditiert wurden – oft mehr als einmal und von mehr als einem Prüfungsanbieter – ist leider sehr lang. Mehrere jüngste Beispiele zeigen die Diskrepanz zwischen Erwartungen und tatsächlichen Ergebnissen auf.
- Dough Finance wurde am 12. Juli dieses Jahres gehackt und verlor 1,8 Millionen US-Dollar. Die Verträge des Projekts wurden im November 2023 von mindestens einem Prüfungsunternehmen überprüft und vom Prüfer sogar als “geringes Risiko” eingestuft.
- UwU Lend wurde zweimal gehackt, am 10. und 13. Juni dieses Jahres, und verlor 19,3 Millionen US-Dollar. Die Smart Contracts des Unternehmens wurden von mindestens einem Prüfungsunternehmen überprüft.
- Radiant Capital wurde am 3. Januar dieses Jahres gehackt und verlor 4,5 Millionen US-Dollar. Das Unternehmen behauptete, dass seine Verträge von vier verschiedenen Prüfungsunternehmen, die in der Dokumentation des Unternehmens als „weltbeste” beschrieben wurden, auditiert wurden.
- Die Smart Contracts von Euler Finance wurden am 13. Mai letzten Jahres ausgenutzt, was zu einem Verlust von 197 Millionen US-Dollar führte. Laut dem Unternehmen wurden ihre Verträge von vier führenden Prüfungsunternehmen überprüft.
- Das DeFi-Protokoll LI.FI wurde am 16. Juli dieses Jahres ausgenutzt und verlor etwa 11 Millionen US-Dollar. Zwei Jahre vor dem Hack veröffentlichte das Unternehmen einen Blogbeitrag, in dem es stolz darauf hinwies, dass es von zwei Prüfungsanbietern auditiert wurde.
Das fehlende Element: Echtzeitüberwachung und Pre-Transaction Screening
Viele Unternehmen übersehen die Bedeutung der Echtzeitüberwachung und des Pre-Transaction Screenings zur Risikobewertung. Diese Komponenten sind für eine umfassende Sicherheitsstrategie von wesentlicher Bedeutung.
Echtzeitüberwachung bietet eine kontinuierliche Überwachung der bereitgestellten Smart Contracts und erkennt und reagiert auf Sicherheitsprobleme, Betrug und andere böswillige Vorfälle in dem Moment, in dem sie auftreten. Dieser proaktive Ansatz reduziert das Zeitfenster für Hacker erheblich und ermöglicht sofortige Maßnahmen zur Schadensminderung.
Das Pre-Transaction Screening bewertet das Risiko von Transaktionen, bevor sie durchgeführt werden, und hilft, böswillige Akteure zu blockieren und betrügerische Aktivitäten zu verhindern. Durch die Integration dieses Screening-Prozesses können Unternehmen sicherstellen, dass nur legitime Transaktionen durchgeführt werden, was die Sicherheitslage weiter verbessert.
Die Notwendigkeit von Krisenmanagementmechanismen
Zusätzlich zur Echtzeitüberwachung und zum Pre-Transaction Screening ist es entscheidend, Krisenmanagementmechanismen wie Pausenfunktionen und andere Sicherungen zu implementieren. Diese können automatisiert oder manuell sein und sind unerlässlich, um in Echtzeit auf Warnungen von Überwachungs- und Erkennungssystemen zu reagieren.
Schlussfolgerung
Smart Contract Audits sind ein wesentlicher Bestandteil der Web3-Sicherheit, aber sie sind allein nicht ausreichend. Um Kryptoprojekte wirklich zu sichern, müssen Unternehmen einen ganzheitlichen Ansatz verfolgen, der Echtzeitüberwachung, Pre-Transaction Screening und robuste Krisenmanagementmechanismen umfasst. Durch die Integration dieser fortschrittlichen Sicherheitsmaßnahmen können Kryptowährungsunternehmen ihre Sicherheitslage erheblich verbessern und ihre Projekte sowie Kundengelder vor den sich ständig weiterentwickelnden Bedrohungen im Web3-Bereich schützen.