Back to Blog

Leitfaden zur DeFi-Risikominderung 01: Identifizierung von Risiken für DeFi-Nutzer

July 4, 2024
5 min read

Diese Artikelreihe, die Auszüge aus der von OKX Web3 und BlockSec gemeinsam kuratierten "Neuesten Fluchtstrategie" enthält, befasst sich mit den Sicherheitsbedenken von DeFi-Nutzern und DeFi-Projektteams.

Frage 1: Könnten Sie mehrere reale DeFi-Risikofälle von Walen teilen?

BlockSec Sicherheitsteam: Die Anziehungskraft von DeFi liegt in seinen stabilen, hohen Kapitalrenditen, die wichtige Akteure anziehen und Projekte dazu veranlassen, die Liquidität durch die Anwerbung großer Wale zu erhöhen. Wir beobachten häufig, wie Wale erhebliche DeFi-Einlagen tätigen, wie in den Nachrichten berichtet wird. Diese „Wale“ navigieren jedoch trotz stabiler Renditen in inhärenten Risiken. Achten Sie auf die eingehende Untersuchung der öffentlich dokumentierten Szenarien von DeFi-Risiken.

Fall Eins: Der PolyNetwork-Zwischenfall 2022 und Discus Fishs Million-Dollar-Herausforderung

Beim PolyNetwork-Sicherheitsvorfall 2022 wurden Vermögenswerte im Wert von über 600 Millionen US-Dollar angegriffen. Es wurde gerüchteweise verbreitet, dass auch „Discus Fish“ (Mitbegründer und CEO von Cobo) 100 Millionen US-Dollar beteiligt hatte. Obwohl der Angreifer schließlich die Gelder zurückgab und der Vorfall zufriedenstellend gelöst wurde, und „Discus Fish“ Pläne ankündigte, ein Denkmal auf der Blockchain zu errichten, um dies zu würdigen, muss der Prozess sehr quälend gewesen sein. Während einige Sicherheitsvorfälle gut enden, laufen die meisten nicht so gut.

Fall Zwei: SushiSwap-Schock – 0x Sifus katastrophaler Verlust von 3,3 Millionen US-Dollar beim Angriff 2023

Die bekannte dezentrale Börse (DEX) SushiSwap wurde 2023 angegriffen, was zu einem erheblichen Verlust für einen Großaktionär namens 0x Sifu führte, der über 3,3 Millionen US-Dollar verlor. Sein individueller Verlust machte etwa 90 % des gesamten verlorenen Betrags aus.

Fall Drei: Prisma-Einbruch – 80% Verlust von vier Wallets, 4 Mio. nicht wiedererlangt

Beim Prisma-Sicherheitsvorfall im März dieses Jahres belief sich der Gesamtverlust auf 14 Millionen US-Dollar. Diese Verluste stammten aus 17 Wallet-Adressen mit einem durchschnittlichen Verlust von 820.000 US-Dollar pro Wallet. Die Verluste von vier Nutzern machten jedoch 80 % des Gesamtbetrags aus. Die meisten gestohlenen Vermögenswerte wurden noch nicht wiedererlangt.

Letztendlich sind bei DeFi, insbesondere im Mainnet, die Gasgebühren nicht zu vernachlässigen, was die Rentabilität von erheblichen Vermögensanlagen abhängig macht, ausgenommen Airdrop-Anreize. Daher wird der Hauptteil des Total Value Locked (TVL) in DeFi-Projekten im Allgemeinen von „Walen“ beigesteuert, und bei einigen Projekten tragen 2 % der Wale zu 80 % des TVL bei. Wenn Sicherheitsvorfälle auftreten, tragen diese Wale zwangsläufig die Hauptlast der Verluste. „Man kann nicht nur sehen, wie die Wale schlemmen; auch sie haben ihre Momente, in denen sie getroffen werden.“

OKX Web3 Wallet Sicherheitsteam: Mit dem Aufschwung der On-Chain-Welt nehmen auch die DeFi-Risikofälle, auf die Nutzer stoßen, zu, und die On-Chain-Sicherheit ist immer das grundlegendste und wichtigste Bedürfnis der Nutzer.

Fall Eins: PlayDapp-Einbruch – 32 Mio. PLA-Token durch Schlüsselverlust gestohlen

PlayDapp Private Key Breach: Zwischen dem 9. und 12. Februar 2024 erlitt die Ethereum-basierte Spieleplattform PlayDapp einen Einbruch, bei dem der Angreifer kompromittierte private Schlüssel ausnutzte. Der Angreifer prägte und stahl unbefugt 1,79 Milliarden PLA-Token, was zu einem Verlust von rund 32,35 Millionen US-Dollar führte. Der Angreifer fügte einen neuen Prägeoperator zu den PLA-Token hinzu, prägte eine große Menge PLA und verteilte sie auf mehrere On-Chain-Adressen und Börsen.

Fall Zwei: Hedgey Finance Hack – 44,7 Mio. US-Dollar durch Ausnutzung eines Vertragsfehlers verloren

Hedgey Finance Angriffsvorfall. Am 19. April 2024 erlitt Hedgey Finance eine erhebliche Sicherheitslücke auf Ethereum und Arbitrum, was zu Verlusten von rund 44,7 Millionen US-Dollar führte. Der Angreifer nutzte eine Schwachstelle im Vertrag aus, die keine Überprüfung der Benutzereingaben aufwies, verschaffte sich dadurch Zugriff auf den anfälligen Vertrag und stahl daraus Vermögenswerte.

Frage 2: Können die Hauptarten von Risiken im aktuellen DeFi zusammengefasst werden?

OKX Web3 Wallet Sicherheitsteam: Basierend auf tatsächlichen Vorfällen haben wir die vier häufigsten Risikotypen im aktuellen DeFi-Bereich identifiziert.

Der erste Typ: Phishing-Angriffe.

Phishing-Angriffe sind eine häufige Art von Cyberangriffen, bei denen Opfer getäuscht werden, sensible Informationen wie private Schlüssel, Passwörter oder andere persönliche Daten preiszugeben, indem sie sich als legitime Entitäten oder Einzelpersonen ausgeben. Im DeFi-Bereich werden Phishing-Angriffe normalerweise wie folgt durchgeführt:

  • Gefälschte Websites: Angreifer erstellen Phishing-Websites, die echten DeFi-Projekten ähneln, und locken Nutzer dazu, Autorisierungen zu unterzeichnen oder Transaktionen zu übertragen.
  • Social-Engineering-Angriffe: Auf Twitter nutzen Angreifer hochgradig nachgeahmte Konten oder kapern Twitter- oder Discord-Konten von Projektparteien, um gefälschte Werbeaktionen oder Airdrop-Informationen (die tatsächlich Phishing-Links sind) zu veröffentlichen, um Phishing-Angriffe auf Nutzer durchzuführen.
  • Bösartige Smart Contracts: Angreifer stellen scheinbar attraktive Smart Contracts oder DeFi-Projekte bereit und locken Nutzer dazu, Zugriffsrechte zu autorisieren, wodurch Gelder gestohlen werden.

Der zweite Typ: Rugpull.

Rugpull ist ein einzigartiger Betrug im DeFi-Bereich, der sich auf die Situation bezieht, in der Projektentwickler nach einer erheblichen Investition plötzlich Gelder abziehen und verschwinden, wodurch die Gelder der Anleger vollständig verloren gehen. Rugpull tritt normalerweise an dezentralen Börsen (DEX) und bei Liquiditäts-Mining-Projekten auf. Die Hauptmanifestationen sind:

  • Liquiditätsentzug: Entwickler stellen eine große Menge Liquidität im Liquiditätspool bereit, um Nutzerinvestitionen anzulocken, und ziehen dann plötzlich die gesamte Liquidität ab, was zu einem Absturz des Token-Preises und erheblichen Verlusten für die Anleger führt.
  • Gefälschte Projekte: Entwickler erstellen ein DeFi-Projekt, das legal erscheint und Nutzer mit falschen Versprechungen und hohen Renditen zur Investition verleitet, aber tatsächlich gibt es keine tatsächlichen Produkte oder Dienstleistungen.
  • Manipulation von Vertragsberechtigungen: Entwickler nutzen Backdoors oder Berechtigungen in Smart Contracts, um die Regeln des Vertrags zu ändern oder Gelder jederzeit abzuziehen.

Der dritte Typ: Schwachstellen in Smart Contracts.

Smart Contracts sind selbstausführende Codes, die auf der Blockchain laufen und nach der Bereitstellung unveränderlich sind. Wenn Smart Contracts Schwachstellen aufweisen, können diese zu ernsthaften Sicherheitsproblemen führen. Häufige Schwachstellen in Smart Contracts sind:

  • Reentrancy-Schwachstellen: Angreifer rufen den anfälligen Vertrag wiederholt auf, bevor der vorherige Aufruf abgeschlossen ist, was zu Problemen mit dem internen Zustand des Vertrags führt.
  • Logische Fehler: Logische Fehler im Design oder in der Implementierung des Vertrags, die zu unerwartetem Verhalten oder Schwachstellen führen.
  • Integer-Überläufe: Verträge behandeln Integer-Operationen nicht korrekt, was zu Überläufen oder Unterläufen führt.
  • Preismanipulation: Angreifer manipulieren Preise von Orakeln, um Angriffe durchzuführen.
  • Präzisionsverlust: Berechnungsfehler aufgrund von Problemen mit der Präzision von Gleitkomma- oder Ganzzahlen.
  • Versäumnis bei der Eingabevalidierung: Unzureichende Überprüfung der Benutzereingaben, was zu potenziellen Sicherheitsproblemen führt.

Der vierte Typ: Governance-Risiken.

Governance-Risiken beziehen sich auf die Kernentscheidungs- und Kontrollmechanismen eines Projekts. Wenn sie böswillig ausgenutzt werden, könnten sie dazu führen, dass das Projekt von seinen beabsichtigten Zielen abweicht und sogar zu schweren wirtschaftlichen Verlusten und Vertrauenskrisen führt. Häufige Risikotypen sind:

  • Leckage privater Schlüssel

    • Die privilegierten Konten einiger DeFi-Projekte werden von EOA (Externally Owned Accounts) oder Multi-Signatur-Wallets gesteuert. Wenn diese privaten Schlüssel kompromittiert oder gestohlen werden, können Angreifer nach Belieben Verträge oder Gelder manipulieren.

  • Governance-Angriffe

    • Obwohl einige DeFi-Projekte dezentrale Governance-Schemata nutzen, sind sie dennoch folgenden Risiken ausgesetzt:
    • Token-Manipulation: Angreifer manipulieren Abstimmungsergebnisse, indem sie eine große Anzahl von Governance-Token über einen kurzen Zeitraum leihen.
    • Machtkonsolidierung: Wenn Governance-Token stark auf wenige Hände konzentriert sind, können diese Personen die Entscheidungsfindung des gesamten Projekts kontrollieren, indem sie die Stimmkraft bündeln.
Sign up for the latest updates
The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026

This BlockSec weekly security report covers four DeFi attack incidents detected between April 6 and April 12, 2026, across Linea, BNB Chain, Arbitrum, Optimism, Avalanche, and Base, with total estimated losses of approximately $928.6K. Notable incidents include a $517K approval-related exploit where a user mistakenly approved a permissionless SquidMulticall contract enabling arbitrary external calls, a $193K business logic flaw in the HB token's reward-settlement logic that allowed direct AMM reserve manipulation, a $165.6K exploit in Denaria's perpetual DEX caused by a rounding asymmetry compounded with an unsafe cast, and a $53K access control issue in XBITVault caused by an initialization-dependent check that failed open. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.