Back to Blog

DeFi Risikominderungsleitfaden 01: Identifizierung von Risikotypen, denen DeFi-Nutzer ausgesetzt sind

July 4, 2024

Diese Artikelreihe, aus dem von OKX Web3 und BlockSec gemeinsam kuratierten "Neuesten Fluchtstrategie" entnommen, befasst sich mit den Sicherheitsbedenken von DeFi-Nutzern und DeFi-Projektteams.

F1: Könnten Sie mehrere reale DeFi-Risikofälle nennen, auf die Wale gestoßen sind?

BlockSec-Sicherheitsteam: Die Anziehungskraft von DeFi liegt in seinen stabilen, hohen Vermögenserträgen, die bedeutende Akteure anlocken und Projekte dazu veranlassen, die Liquidität durch die Anwerbung großer Wale zu erhöhen. Wir beobachten häufig, dass Wale beträchtliche DeFi-Einlagen tätigen, wie in den Nachrichten berichtet wird. Diese "Wale" navigieren jedoch trotz stetiger Erträge durch inhärente Risiken. Halten Sie die Augen offen, während wir die öffentlich dokumentierten Szenarien von DeFi-Risiken eingehend untersuchen.

Fall Eins: Der PolyNetwork-Zwischenfall 2022 und Discus Fishs millionenschwere Herausforderung

Bei dem PolyNetwork-Sicherheitszwischenfall 2022 wurden Vermögenswerte im Wert von über 600 Millionen US-Dollar angegriffen. Es wurde gemunkelt, dass auch "Discus Fish" (Mitbegründer und CEO von Cobo) 100 Millionen US-Dollar involviert hatte. Obwohl der Angreifer schließlich die Gelder zurückgab und der Vorfall zufriedenstellend gelöst wurde und "Discus Fish" Pläne zur Errichtung eines Denkmals in der Blockchain zur Erinnerung daran ankündigte, muss der Prozess ziemlich qualvoll gewesen sein. Während einige Sicherheitsvorfälle gut ausgehen, verlaufen die meisten nicht so gut.

Fall Zwei: SushiSwap-Schock – 0x Sifus katastrophaler Verlust von 3,3 Millionen US-Dollar beim Angriff 2023

Die bekannte dezentrale Börse (DEX) SushiSwap wurde im Jahr 2023 angegriffen, was zu einem erheblichen Verlust für einen Großinhaber namens 0x Sifu führte, der über 3,3 Millionen US-Dollar verlor. Sein individueller Verlust machte etwa 90 % des gesamten verlorenen Betrags aus.

Fall Drei: Prisma-Einbruch – 80% Verlust aus vier Wallets, 4 Mio. nicht wiedererlangt

Bei dem Prisma-Sicherheitszwischenfall im März dieses Jahres belief sich der Gesamtverlust auf 14 Millionen US-Dollar. Diese Verluste stammten aus 17 Wallet-Adressen, mit einem durchschnittlichen Verlust von 820.000 US-Dollar pro Wallet. Die Verluste von vier Nutzern machten jedoch 80 % des Gesamtbetrags aus. Der größte Teil der gestohlenen Vermögenswerte wurde bisher nicht wiedererlangt.

Letztendlich sind die Gasgebühren von DeFi, insbesondere im Mainnet, nicht unerheblich, was die Rentabilität von erheblichen Anlageinvestitionen abhängig macht und Airdrop-Anreize ausschließt. Daher wird der wichtigste Total Value Locked (TVL) in DeFi-Projekten generell von "Walen" beigesteuert, und bei einigen Projekten tragen 2 % der Wale zu 80 % des TVL bei. Wenn Sicherheitsvorfälle auftreten, tragen diese Wale unweigerlich die Hauptlast der Verluste. "Man kann nicht nur zusehen, wie die Wale schlemmen; auch sie haben ihre Momente, in denen sie getroffen werden."

OKX Web3 Wallet Sicherheitsteam: Mit dem Wohlstand der On-Chain-Welt nimmt auch die Zahl der DeFi-Risikofälle zu, auf die Nutzer stoßen, und die On-Chain-Sicherheit ist stets das grundlegendste und wichtigste Bedürfnis der Nutzer.

Fall Eins: PlayDapp-Einbruch – 32 Mio. PLA-Token durch Schlüsselverlust gestohlen

PlayDapp Private Key Breach: Zwischen dem 9. und 12. Februar 2024 wurde die Ethereum-basierte Spieleplattform PlayDapp einem Einbruch ausgesetzt, bei dem der Angreifer gestohlene private Schlüssel ausnutzte. Der Angreifer prägte und stahl unbefugt 1,79 Milliarden PLA-Token, was zu einem Verlust von etwa 32,35 Millionen US-Dollar führte. Der Angreifer fügte einen neuen Prägebetreiber zu den PLA-Token hinzu, prägte eine große Menge PLA und verteilte sie auf mehrere On-Chain-Adressen und Börsen.

Fall Zwei: Hedgey Finance Hack – 44,7 Mio. US-Dollar Verlust durch Ausnutzung von Vertragsfehlern

Hedgey Finance Angriffsfall. Am 19. April 2024 erlitt Hedgey Finance eine erhebliche Sicherheitslücke auf Ethereum und Arbitrum, was zu Verlusten von rund 44,7 Millionen US-Dollar führte. Der Angreifer nutzte einen Fehler im Vertrag aus, dem die Überprüfung von Benutzereingaben fehlte, erlangte damit die Autorisierung für den anfälligen Vertrag und stahl daraus Vermögenswerte.

F2: Ist es möglich, die Hauptarten von Risiken im aktuellen DeFi zusammenzufassen?

OKX Web3 Wallet Sicherheitsteam: Basierend auf tatsächlichen Vorfällen haben wir die vier gängigen Risikotypen im aktuellen DeFi-Bereich identifiziert.

Die erste Art: Phishing-Angriffe.

Phishing-Angriffe sind eine gängige Art von Cyberangriffen, bei denen Opfer dazu verleitet werden, sensible Informationen wie private Schlüssel, Passwörter oder andere persönliche Daten preiszugeben, indem sie sich als legitime Entitäten oder Einzelpersonen ausgeben. Im DeFi-Bereich werden Phishing-Angriffe in der Regel auf folgende Weise durchgeführt:

  • Gefälschte Websites: Angreifer erstellen Phishing-Websites, die echten DeFi-Projekten ähneln, und bringen Benutzer dazu, Autorisierungen zu unterzeichnen oder Transaktionen zu übertragen.
  • Social-Engineering-Angriffe: Auf Twitter verwenden Angreifer hochimitierte Konten oder kapern Twitter- oder Discord-Konten von Projektparteien, um gefälschte Werbeaktionen oder Airdrop-Informationen (die tatsächlich Phishing-Links sind) zu veröffentlichen, um Phishing-Angriffe auf Benutzer durchzuführen.
  • Bösartige Smart Contracts: Angreifer veröffentlichen scheinbar attraktive Smart Contracts oder DeFi-Projekte und bringen Benutzer dazu, Zugriffsrechte zu autorisieren, wodurch Gelder gestohlen werden.

Die zweite Art: Rugpull.

Rugpull ist ein einzigartiger Betrug im DeFi-Bereich, der sich auf die Situation bezieht, in der Projektentwickler nach der Anziehung erheblicher Investitionen plötzlich Gelder abziehen und verschwinden, wodurch die Gelder der Anleger vollständig verschwinden. Rugpull tritt normalerweise auf dezentralen Börsen (DEX) und in Liquiditäts-Mining-Projekten auf. Die Hauptmanifestationen umfassen:

  • Liquiditätsabzug: Entwickler stellen eine große Menge Liquidität im Liquiditätspool bereit, um Benutzerinvestitionen anzuziehen, und ziehen dann plötzlich die gesamte Liquidität ab, was zu einem Kursverfall des Tokens und erheblichen Verlusten für die Anleger führt.
  • Gefälschte Projekte: Entwickler erstellen ein DeFi-Projekt, das legal erscheint, und täuschen Benutzer mit falschen Versprechungen und hohen Renditen zur Investition, aber tatsächlich gibt es keine tatsächlichen Produkte oder Dienstleistungen.
  • Manipulation von Vertragsberechtigungen: Entwickler nutzen Hintertüren oder Berechtigungen in Smart Contracts, um die Regeln des Vertrags zu ändern oder Gelder jederzeit abzuziehen.

Die dritte Art: Schwachstellen von Smart Contracts.

Smart Contracts sind selbstausführende Codes, die auf der Blockchain laufen und nach der Bereitstellung unveränderlich sind. Wenn Smart Contracts Schwachstellen aufweisen, kann dies zu ernsthaften Sicherheitsproblemen führen. Häufige Schwachstellen von Smart Contracts umfassen:

  • Reentrancy-Schwachstellen: Angreifer rufen den anfälligen Vertrag wiederholt auf, bevor der vorherige Aufruf abgeschlossen ist, was zu Problemen mit dem internen Zustand des Vertrags führt.
  • Logische Fehler: Logische Fehler im Design oder in der Implementierung des Vertrags, die zu unerwartetem Verhalten oder Schwachstellen führen.
  • Integer-Überläufe: Verträge behandeln Integer-Operationen nicht korrekt, was zu Überläufen oder Unterläufen führt.
  • Preismanipulation: Angreifer manipulieren die Preise von Orakeln, um Angriffe durchzuführen.
  • Präzisionsverlust: Berechnungsfehler aufgrund von Problemen mit der Präzision von Fließkomma- oder Ganzzahlen.
  • Fehlende Eingabevalidierung: Unzureichende Überprüfung von Benutzereingaben, was zu potenziellen Sicherheitsproblemen führt.

Die vierte Art: Governance-Risiken.

Governance-Risiken beziehen sich auf die zentralen Entscheidungs- und Kontrollmechanismen eines Projekts. Wenn sie böswillig ausgenutzt werden, könnten sie dazu führen, dass das Projekt von seinen beabsichtigten Zielen abweicht und sogar zu schweren wirtschaftlichen Verlusten und Vertrauenskrisen führt. Häufige Risikotypen umfassen:

  • Verlust von privaten Schlüsseln
    • Die privilegierten Konten einiger DeFi-Projekte werden von EOA (Externally Owned Accounts) oder Multi-Signatur-Wallets gesteuert. Wenn diese privaten Schlüssel verloren gehen oder gestohlen werden, können Angreifer Verträge oder Gelder nach Belieben manipulieren.
  • Governance-Angriffe
    • Obwohl einige DeFi-Projekte dezentrale Governance-Schemata anwenden, sind sie immer noch folgenden Risiken ausgesetzt:
    • Token-Manipulation: Angreifer manipulieren Abstimmungsergebnisse, indem sie eine große Anzahl von Governance-Token über einen kurzen Zeitraum ausleihen.
    • Machtkonsolidierung: Wenn Governance-Token stark in den Händen weniger konzentriert sind, können diese Personen die gesamte Entscheidungsfindung des Projekts kontrollieren, indem sie die Stimmkraft konzentrieren.
Sign up for the latest updates
Tether Freezes $6.76M USDT Linked to Iran's IRGC & Houthi Forces: Why On-Chain Compliance is Now a Geopolitical Battlefield
Security Insights

Tether Freezes $6.76M USDT Linked to Iran's IRGC & Houthi Forces: Why On-Chain Compliance is Now a Geopolitical Battlefield

Looking ahead, targeted freezing events like this $6.76M USDT action will only become more common. On-chain data analysis is improving. Stablecoin issuers are also working closely with regulators. As a result, hidden illicit financial networks will be exposed.

Weekly Web3 Security Incident Roundup | Mar 2 – Mar 8, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Mar 2 – Mar 8, 2026

During the week of March 2 to March 8, 2026, seven blockchain security incidents were reported with total losses of ~$3.25M. The incidents occurred across Base, BNB Chain, and Ethereum, exposing critical vulnerabilities in smart contract business logic, token deflationary mechanics, and asset price manipulation. The primary causes included a double-minting logic flaw during full token deposits that allowed an attacker to exponentially inflate their balances through repeated burn-and-mint cycles, a price manipulation vulnerability in an AMM-based lending market where artificially inflated vault shares created divergent price anchors to incorrectly force healthy positions into liquidation, and a flawed access control implementation relying on trivially spoofed contract interfaces that enabled attackers to bypass authorization to batch-mint and dump arbitrary tokens.

Weekly Web3 Security Incident Roundup | Feb 23 – Mar 1, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Feb 23 – Mar 1, 2026

During the week of February 23 to March 1, 2026, seven blockchain security incidents were reported with total losses of ~$13M. The incidents affected multiple protocols, exposing critical weaknesses in oracle design/configuration, cryptographic verification, and core business logic. The primary drivers included oracle manipulation/misconfiguration that led to the largest loss at YieldBloxDAO (~$10M), a crypto-proof verification flaw that enabled the FOOMCASH (~$2.26M) exploit, and additional token design and logic errors impacting Ploutos, LAXO, STO, HedgePay, and an unknown contract, underscoring the need for rigorous audits and continuous monitoring across all protocol layers.