Werdet schlau – Beendigung der Überabhängigkeit von Krypto auf Vertragsprüfungen

#TrendingTopic Das letzte Jahr war eine Achterbahnfahrt für Krypto. Es gab aggressive regulatorische Maßnahmen, hochkarätige Strafverurteilungen und schockierende Diebstähle.
Und trotzdem – die gesamte Marktkapitalisierung von Kryptowährungen stieg 2023 auf über $1,4 Billionen, was einem jährlichen Wachstum von über 70,7% entspricht.
Neue Nutzer und Institutionen sind involviert.
Im Jahr 2023 wuchs die Anzahl der Krypto #investors  um 2,8% pro Monat, und Goldman Sachs hat es als das Jahr bezeichnet, in dem Krypto institutionalisiert wurde.
Die Bullen und die Bären haben beide recht – es gibt derzeit immense Chancen im Markt, aber auch alarmierende Risiken.
Das Risiko ist nicht nur in der Marktvolatilität verwurzelt oder sogar in den dreisten kriminellen Handlungen von Börsenmanagern – es ist in die Mechanismen von Krypto #transactions  eingebettet.
Smart Contracts selbst sind ein verwundbares und verlockendes Ziel für Hacker, und unsere Methoden zu ihrer Sicherung lassen uns im Stich.
Hier ist eine schnelle Einführung. Ein Smart Contract ist ein selbstausführender Vertrag, der in Blockchain-Transaktionen verwendet wird. Die Bedingungen der Transaktion sind direkt in den Codezeilen geschrieben.
Diese Verträge sind ein lukratives Ziel für Hacker – sie werden verwendet, um große Summen und hochpreisige Tokens zu verwalten.
Wenn du den Vertrag manipulieren kannst, kannst du die Tokens nach Belieben lenken.
Blockchain-Entitäten schützen sich mit Audits von Smart Contracts, bei denen unabhängige Prüfer den Smart Contract auf Designfehler, Sicherheitsanfälligkeiten, Effizienz und andere Codierungsprobleme überprüfen.
Die Auditoren geben einen öffentlichen Bericht heraus, in dem alle gefundenen Probleme und die unternommenen Schritte zu ihrer Minderung aufgeführt sind.
Bisher, so transparent – Audits helfen Blockchain-Unternehmen sicherzustellen, dass ihre Smart Contracts sicher sind, und helfen Investoren, informierte Entscheidungen zu treffen.
Der Prozess ist jedoch alles andere als narrensicher. Es gibt keine allgemein anerkannten Standards für die Verifizierung von Smart Contracts, und kein Audit kann wirklich garantieren, dass ein Smart Contract fehlerfrei ist.
Infolgedessen rutschen viele Schwachstellen durch die Ritzen, oft mit verheerenden Folgen.
Hier sind ein paar Beispiele nur aus 2023.
LendHub – $6 Millionen Exploit – Januar 2023
LendHub hat während eines Updates eine veraltete Version des IBSV-Tokens in seinem Smart Contract hinterlassen. Sowohl die alte als auch die neue Version waren zum gleichen Preis im Vertrag aktiv.
Angreifer konnten die alte Version kaufen und #swap  für die neue, und machten sich mit $6 Millionen an zusätzlichem Wert davon.
BonqDAO – $120 Millionen Exploit – Februar 2023
Angreifer konnten die Funktion 'Update-Preis' im Smart Contract von BonqDAO manipulieren, was es ihnen ermöglichte, den Preis des ALBT-Tokens von AllianceBlock zu ändern.
Die Hacker prägten dann große Mengen an Tokens und tauschten sie, was schließlich zur breiten Abwertung und Liquidation von ALBT führte.
Euler Finance – $197 Millionen Exploit – März 2023
Ein Fehler im Smart Contract von Euler Finance ermöglichte es einem Angreifer, Sicherheiten einzuzahlen und dagegen zu leihen, ohne die anfängliche Sicherheit in Abzug zu bringen.
Sie nutzten diesen Fehler, um einen Flash Loan-Angriff durchzuführen, der es ihnen ermöglichte, fast $200 Millionen an #ETH -basierten Vermögenswerten in kürzester Zeit abzuheben.
Wir können diese Blutung nicht mit mehr Audits stoppen. Der Smart Contract von Euler Finance wurde 10 verschiedenen Audits von sechs verschiedenen Firmen unterzogen und fiel dennoch einem der größten Hacks des Jahres zum Opfer.
Ein Teil des Problems ist, dass Audits rückblickend sind. Sie konzentrieren sich auf bekannte Schwachstellen und übersehen neuartige Exploits.
Hacker sind hinterhältig und kreativ – wir benötigen Sicherheitsmaßnahmen, die neue Ansätze antizipieren und darauf reagieren können.
$AI  könnte nützlich sein, um die Risse im Audit-Prozess von Smart Contracts zu schließen.
In Experimenten mit OpenAI’s GPT-4 konnte OpenZeppelin KI nutzen, um Schwachstellen in 20 von 28 Herausforderungen des Ethernaut-Hacking-Spiels zu identifizieren.
Echte Smart Contracts sind jedoch viel komplexer, und die Möglichkeiten, sie auszunutzen, sind vielfältiger als in einer kontrollierten Umgebung wie einem Spiel.
Und was noch wichtiger ist – 70% der Schwachstellen zu erfassen, ist bei weitem nicht genug.
Wenn dein Netzwerk-Sicherheitsteam nur 70% der Angriffe stoppen könnte, wären sie alle gefeuert.
Wir werden mindestens eine weitere Generation warten müssen, bevor KI ernsthaft bei der Sicherheit von Smart Contracts helfen kann, und wir brauchen jetzt Lösungen.
Diese zusätzlichen Maßnahmen können auf der Wallet-Ebene durchgesetzt werden, sodass Transaktionen überprüft werden, bevor sie on-chain gesendet werden.
Solche Maßnahmen könnten beinhalten, Inspektionen durchzuführen, um zu verhindern, dass rogue Akteure Verträge ausführen, die Historie von Smart Contracts zu verfolgen, um Änderungen zu ihren Ursprüngen zurückzuverfolgen oder Front-Running, um verdächtige Transaktionen zu stoppen, bevor Tokens übertragen werden.
Viele Smart Contract-Exploits basieren auf Geschwindigkeit. Durch mehr Reibung in Transaktionen können wir sie sicherer und weniger attraktiv für böse Akteure machen.
2024 begann mit Krypto in der stärksten Position, die es seit Jahren hatte, aber Schwachstellen in Smart Contracts haben einen Schatten über diesen Fortschritt geworfen.
Dies ist ein Wendepunkt, an dem das Versprechen der Blockchain auf die Realität ihrer Risiken trifft.
Jetzt ist es an der Zeit, in jeder Phase der Blockchain-Transaktionen ernsthaft über Sicherheit nachzudenken.
Daniel Chong ist der CEO und Mitgründer von Harpie, der Krypto-Sicherheitsplattform. Während er an der Duke University einen Mathematik-Abschluss anstrebte, arbeitete Daniel als Entwicklungs- und Sicherheitsberater für verschiedene Krypto-Unternehmen und führte preisgekrönte Projekte zu Siegen bei Konferenzen wie $ETH Denver. Er hat sich der Bekämpfung der Bedrohung durch Krypto-Diebstahl verschrieben und möchte Smart Contracts sicher und für alle zugänglich machen.
Haftungsausschluss: Die Meinungen, die bei The @WISE PUMPS  geäußert werden, sind keine Anlageberatung. Investoren sollten ihre Due Diligence durchführen, bevor sie riskante Investitionen in Bitcoin, Kryptowährungen oder digitale Vermögenswerte tätigen. Bitte beachten Sie, dass Ihre Überweisungen und Trades auf eigenes Risiko erfolgen, und alle Verluste, die Sie erleiden könnten, Ihre Verantwortung sind. The @WISE PUMPS  empfiehlt nicht den Kauf oder Verkauf von Kryptowährungen oder digitalen Vermögenswerten, noch ist The @WISE PUMPS  ein Anlageberater.