DeFi Risikominderungsleitfaden 01: Identifizierung von Risikotypen, denen DeFi-Nutzer ausgesetzt sind

Dieser Teil zielt darauf ab, das Sicherheitsbewusstsein von DeFi-Nutzern durch reale Fälle zu verbessern und Nutzern dabei zu helfen, ihre privaten Schlüssel und Wallet-Vermögen zu schützen.

DeFi Risikominderungsleitfaden 01: Identifizierung von Risikotypen, denen DeFi-Nutzer ausgesetzt sind

Diese Artikelreihe, aus dem von OKX Web3 und BlockSec gemeinsam kuratierten "Neuesten Fluchtstrategie" entnommen, befasst sich mit den Sicherheitsbedenken von DeFi-Nutzern und DeFi-Projektteams.

F1: Könnten Sie mehrere reale DeFi-Risikofälle nennen, auf die Wale gestoßen sind?

BlockSec-Sicherheitsteam: Die Anziehungskraft von DeFi liegt in seinen stabilen, hohen Vermögenserträgen, die bedeutende Akteure anlocken und Projekte dazu veranlassen, die Liquidität durch die Anwerbung großer Wale zu erhöhen. Wir beobachten häufig, dass Wale beträchtliche DeFi-Einlagen tätigen, wie in den Nachrichten berichtet wird. Diese "Wale" navigieren jedoch trotz stetiger Erträge durch inhärente Risiken. Halten Sie die Augen offen, während wir die öffentlich dokumentierten Szenarien von DeFi-Risiken eingehend untersuchen.

Fall Eins: Der PolyNetwork-Zwischenfall 2022 und Discus Fishs millionenschwere Herausforderung

Bei dem PolyNetwork-Sicherheitszwischenfall 2022 wurden Vermögenswerte im Wert von über 600 Millionen US-Dollar angegriffen. Es wurde gemunkelt, dass auch "Discus Fish" (Mitbegründer und CEO von Cobo) 100 Millionen US-Dollar involviert hatte. Obwohl der Angreifer schließlich die Gelder zurückgab und der Vorfall zufriedenstellend gelöst wurde und "Discus Fish" Pläne zur Errichtung eines Denkmals in der Blockchain zur Erinnerung daran ankündigte, muss der Prozess ziemlich qualvoll gewesen sein. Während einige Sicherheitsvorfälle gut ausgehen, verlaufen die meisten nicht so gut.

Fall Zwei: SushiSwap-Schock – 0x Sifus katastrophaler Verlust von 3,3 Millionen US-Dollar beim Angriff 2023

Die bekannte dezentrale Börse (DEX) SushiSwap wurde im Jahr 2023 angegriffen, was zu einem erheblichen Verlust für einen Großinhaber namens 0x Sifu führte, der über 3,3 Millionen US-Dollar verlor. Sein individueller Verlust machte etwa 90 % des gesamten verlorenen Betrags aus.

Fall Drei: Prisma-Einbruch – 80% Verlust aus vier Wallets, 4 Mio. nicht wiedererlangt

Bei dem Prisma-Sicherheitszwischenfall im März dieses Jahres belief sich der Gesamtverlust auf 14 Millionen US-Dollar. Diese Verluste stammten aus 17 Wallet-Adressen, mit einem durchschnittlichen Verlust von 820.000 US-Dollar pro Wallet. Die Verluste von vier Nutzern machten jedoch 80 % des Gesamtbetrags aus. Der größte Teil der gestohlenen Vermögenswerte wurde bisher nicht wiedererlangt.

Letztendlich sind die Gasgebühren von DeFi, insbesondere im Mainnet, nicht unerheblich, was die Rentabilität von erheblichen Anlageinvestitionen abhängig macht und Airdrop-Anreize ausschließt. Daher wird der wichtigste Total Value Locked (TVL) in DeFi-Projekten generell von "Walen" beigesteuert, und bei einigen Projekten tragen 2 % der Wale zu 80 % des TVL bei. Wenn Sicherheitsvorfälle auftreten, tragen diese Wale unweigerlich die Hauptlast der Verluste. "Man kann nicht nur zusehen, wie die Wale schlemmen; auch sie haben ihre Momente, in denen sie getroffen werden."

OKX Web3 Wallet Sicherheitsteam: Mit dem Wohlstand der On-Chain-Welt nimmt auch die Zahl der DeFi-Risikofälle zu, auf die Nutzer stoßen, und die On-Chain-Sicherheit ist stets das grundlegendste und wichtigste Bedürfnis der Nutzer.

Fall Eins: PlayDapp-Einbruch – 32 Mio. PLA-Token durch Schlüsselverlust gestohlen

PlayDapp Private Key Breach: Zwischen dem 9. und 12. Februar 2024 wurde die Ethereum-basierte Spieleplattform PlayDapp einem Einbruch ausgesetzt, bei dem der Angreifer gestohlene private Schlüssel ausnutzte. Der Angreifer prägte und stahl unbefugt 1,79 Milliarden PLA-Token, was zu einem Verlust von etwa 32,35 Millionen US-Dollar führte. Der Angreifer fügte einen neuen Prägebetreiber zu den PLA-Token hinzu, prägte eine große Menge PLA und verteilte sie auf mehrere On-Chain-Adressen und Börsen.

Fall Zwei: Hedgey Finance Hack – 44,7 Mio. US-Dollar Verlust durch Ausnutzung von Vertragsfehlern

Hedgey Finance Angriffsfall. Am 19. April 2024 erlitt Hedgey Finance eine erhebliche Sicherheitslücke auf Ethereum und Arbitrum, was zu Verlusten von rund 44,7 Millionen US-Dollar führte. Der Angreifer nutzte einen Fehler im Vertrag aus, dem die Überprüfung von Benutzereingaben fehlte, erlangte damit die Autorisierung für den anfälligen Vertrag und stahl daraus Vermögenswerte.

F2: Ist es möglich, die Hauptarten von Risiken im aktuellen DeFi zusammenzufassen?

OKX Web3 Wallet Sicherheitsteam: Basierend auf tatsächlichen Vorfällen haben wir die vier gängigen Risikotypen im aktuellen DeFi-Bereich identifiziert.

Die erste Art: Phishing-Angriffe.

Phishing-Angriffe sind eine gängige Art von Cyberangriffen, bei denen Opfer dazu verleitet werden, sensible Informationen wie private Schlüssel, Passwörter oder andere persönliche Daten preiszugeben, indem sie sich als legitime Entitäten oder Einzelpersonen ausgeben. Im DeFi-Bereich werden Phishing-Angriffe in der Regel auf folgende Weise durchgeführt:

  • Gefälschte Websites: Angreifer erstellen Phishing-Websites, die echten DeFi-Projekten ähneln, und bringen Benutzer dazu, Autorisierungen zu unterzeichnen oder Transaktionen zu übertragen.
  • Social-Engineering-Angriffe: Auf Twitter verwenden Angreifer hochimitierte Konten oder kapern Twitter- oder Discord-Konten von Projektparteien, um gefälschte Werbeaktionen oder Airdrop-Informationen (die tatsächlich Phishing-Links sind) zu veröffentlichen, um Phishing-Angriffe auf Benutzer durchzuführen.
  • Bösartige Smart Contracts: Angreifer veröffentlichen scheinbar attraktive Smart Contracts oder DeFi-Projekte und bringen Benutzer dazu, Zugriffsrechte zu autorisieren, wodurch Gelder gestohlen werden.

Die zweite Art: Rugpull.

Rugpull ist ein einzigartiger Betrug im DeFi-Bereich, der sich auf die Situation bezieht, in der Projektentwickler nach der Anziehung erheblicher Investitionen plötzlich Gelder abziehen und verschwinden, wodurch die Gelder der Anleger vollständig verschwinden. Rugpull tritt normalerweise auf dezentralen Börsen (DEX) und in Liquiditäts-Mining-Projekten auf. Die Hauptmanifestationen umfassen:

  • Liquiditätsabzug: Entwickler stellen eine große Menge Liquidität im Liquiditätspool bereit, um Benutzerinvestitionen anzuziehen, und ziehen dann plötzlich die gesamte Liquidität ab, was zu einem Kursverfall des Tokens und erheblichen Verlusten für die Anleger führt.
  • Gefälschte Projekte: Entwickler erstellen ein DeFi-Projekt, das legal erscheint, und täuschen Benutzer mit falschen Versprechungen und hohen Renditen zur Investition, aber tatsächlich gibt es keine tatsächlichen Produkte oder Dienstleistungen.
  • Manipulation von Vertragsberechtigungen: Entwickler nutzen Hintertüren oder Berechtigungen in Smart Contracts, um die Regeln des Vertrags zu ändern oder Gelder jederzeit abzuziehen.

Die dritte Art: Schwachstellen von Smart Contracts.

Smart Contracts sind selbstausführende Codes, die auf der Blockchain laufen und nach der Bereitstellung unveränderlich sind. Wenn Smart Contracts Schwachstellen aufweisen, kann dies zu ernsthaften Sicherheitsproblemen führen. Häufige Schwachstellen von Smart Contracts umfassen:

  • Reentrancy-Schwachstellen: Angreifer rufen den anfälligen Vertrag wiederholt auf, bevor der vorherige Aufruf abgeschlossen ist, was zu Problemen mit dem internen Zustand des Vertrags führt.
  • Logische Fehler: Logische Fehler im Design oder in der Implementierung des Vertrags, die zu unerwartetem Verhalten oder Schwachstellen führen.
  • Integer-Überläufe: Verträge behandeln Integer-Operationen nicht korrekt, was zu Überläufen oder Unterläufen führt.
  • Preismanipulation: Angreifer manipulieren die Preise von Orakeln, um Angriffe durchzuführen.
  • Präzisionsverlust: Berechnungsfehler aufgrund von Problemen mit der Präzision von Fließkomma- oder Ganzzahlen.
  • Fehlende Eingabevalidierung: Unzureichende Überprüfung von Benutzereingaben, was zu potenziellen Sicherheitsproblemen führt.

Die vierte Art: Governance-Risiken.

Governance-Risiken beziehen sich auf die zentralen Entscheidungs- und Kontrollmechanismen eines Projekts. Wenn sie böswillig ausgenutzt werden, könnten sie dazu führen, dass das Projekt von seinen beabsichtigten Zielen abweicht und sogar zu schweren wirtschaftlichen Verlusten und Vertrauenskrisen führt. Häufige Risikotypen umfassen:

  • Verlust von privaten Schlüsseln
    • Die privilegierten Konten einiger DeFi-Projekte werden von EOA (Externally Owned Accounts) oder Multi-Signatur-Wallets gesteuert. Wenn diese privaten Schlüssel verloren gehen oder gestohlen werden, können Angreifer Verträge oder Gelder nach Belieben manipulieren.
  • Governance-Angriffe
    • Obwohl einige DeFi-Projekte dezentrale Governance-Schemata anwenden, sind sie immer noch folgenden Risiken ausgesetzt:
    • Token-Manipulation: Angreifer manipulieren Abstimmungsergebnisse, indem sie eine große Anzahl von Governance-Token über einen kurzen Zeitraum ausleihen.
    • Machtkonsolidierung: Wenn Governance-Token stark in den Händen weniger konzentriert sind, können diese Personen die gesamte Entscheidungsfindung des Projekts kontrollieren, indem sie die Stimmkraft konzentrieren.
Sign up for the latest updates
Web3 Smart Contract & EVM Chain Audits | BlockSec

Web3 Smart Contract & EVM Chain Audits | BlockSec

BlockSec secures Web3 with attacker-driven audits, chain reviews, and zero-day detection - battle-tested, blocking 20+ hacks and $20M+ losses.

BlockSec Web3 Security: Smart Contract & EVM Chain Audits

BlockSec Web3 Security: Smart Contract & EVM Chain Audits

BlockSec delivers advanced smart contract audits and EVM chain audits, combining deep research with real attack insights to secure Web3 systems.

Agent-Native Crypto Compliance: Build KYA/KYT with X402

Agent-Native Crypto Compliance: Build KYA/KYT with X402

Discover how BlockSec enables AI agents to run KYA/KYT checks with X402—a stateless, pay-per-call crypto compliance protocol.