Back to Blog

DeFi-Risikominderung Guide 04: Sicherheitspraktiken für DeFi-Projektteams

July 7, 2024
5 min read

Diese Artikelreihe, die aus der von OKX Web3 und BlockSec mitkuratierten "Security Special Edition 05" entnommen wurde, befasst sich mit den Sicherheitsbedenken von DeFi-Nutzern und DeFi-Projektteams.

F1: Welchen Arten von Risiken sind DeFi-Projekte ausgesetzt und wie können sie diese angehen?

BlockSec Sicherheitsteam: DeFi-Projekte sind verschiedenen Arten von Risiken ausgesetzt, darunter Code-Sicherheitsrisiken, operative Sicherheitsrisiken und Risiken durch externe Abhängigkeiten.

Erstens beziehen sich Code-Sicherheitsrisiken auf potenzielle Schwachstellen auf Code-Ebene von DeFi-Projekten. Für DeFi-Projekte sind Smart Contracts der Kern ihrer Geschäftslogik (Front-End- und Back-End-Verarbeitungslogik gehören zur traditionellen Softwareentwicklung und sind relativ ausgereift) und stehen im Fokus unserer Aufmerksamkeit und Diskussion, einschließlich:

    1. Aus Entwicklungsperspektive ist es notwendig, anerkannte Sicherheitspraktiken für Smart Contracts in der Branche zu befolgen, wie z. B. das Checks-Effects-Interactions-Muster, das zur Verhinderung von Reentrancy-Schwachstellen verwendet wird; außerdem sollten gängige Funktionalitäten mit zuverlässigen Drittanbieter-Bibliotheken implementiert werden, um die unbekannten Risiken der Neuerfindung des Rads zu vermeiden.
    1. Zweitens ist eine gründliche interne Prüfung unerlässlich. Tests sind ein wichtiger Teil der Softwareentwicklung, der hilft, viele Probleme aufzudecken. Für DeFi-Projekte reicht jedoch lokales Testen allein nicht aus, um Probleme aufzudecken; weitere Tests sind in einer Umgebung erforderlich, die der tatsächlichen Bereitstellung nahe kommt.
    1. Schließlich, nach Abschluss der Tests, beauftragen Sie angesehene Drittanbieter-Auditdienste. Obwohl Audits keine 100%ige Abwesenheit von Problemen garantieren können, können systematische Audits den Projektteams erheblich helfen, häufige Sicherheitsprobleme zu identifizieren, die oft Bereiche sind, mit denen Entwickler nicht vertraut sind oder die aufgrund unterschiedlicher Denkweisen schwer zu erreichen sind. Natürlich, da Prüfungsgesellschaften unterschiedliche Fachkenntnisse und Schwerpunkte haben, wird empfohlen, wenn das Budget es zulässt, in der Praxis zwei oder mehr Prüfungsgesellschaften einzubeziehen.

Zweitens entstehen operative Sicherheitsrisiken nach der Markteinführung und umfassen sowohl potenzielle, unerkannte Code-Schwachstellen – auch nach rigoroser Entwicklung, Tests und Audits – als auch Herausforderungen nach der Bereitstellung wie Lecks von privaten Schlüsseln und falsch konfigurierte Systemparameter. Diese können zu schwerwiegenden Folgen und erheblichen Verlusten führen. Empfohlene Strategien zur Minderung dieser Risiken umfassen:

    1. Einrichtung eines robusten Systems zur Verwaltung privater Schlüssel, wie z. B. zuverlässige Hardware-Wallets oder MPC-basierte Wallet-Lösungen.
    1. Überwachung des operativen Zustands in Echtzeit zur Erkennung privilegierter Operationen und des Sicherheitsstatus des Projekts.
    1. Aufbau eines automatisierten Reaktionsmechanismus für Risiken, wie z. B. die Verwendung von BlockSec Phalcon, das bei einem Angriff automatisch eine Blockierung implementieren kann, um weitere Verluste zu verhindern.
    1. Vermeidung von Single-Point-Risiken bei privilegierten Operationen, z. B. die Verwendung von Multisig-Wallets Safe{Wallet} zur Ausführung privilegierter Operationen.

Drittens beziehen sich Risiken durch externe Abhängigkeiten auf die Risiken, die sich aus den externen Abhängigkeiten des Projekts ergeben, wie z. B. die Abhängigkeit von Preis-Orakeln, die von anderen DeFi-Protokollen bereitgestellt werden. Wenn das Orakel jedoch Probleme hat, führt dies zu fehlerhaften Preisberechnungen. Empfehlungen zur Bewältigung von Risiken durch externe Abhängigkeiten umfassen:

    1. Auswahl zuverlässiger externer Partner, wie z. B. anerkannter Top-Tier-Protokolle in der Branche.
    1. Überwachung des operativen Zustands, ähnlich wie bei operativen Sicherheitsrisiken, aber das Überwachungsziel hier sind externe Abhängigkeiten.
    1. Aufbau eines automatisierten Reaktionsmechanismus für Risiken, ähnlich wie bei operativen Sicherheitsrisiken, aber die Reaktionsmethoden können unterschiedlich sein, z. B. der Wechsel zu Backup-Abhängigkeiten anstatt der direkten Unterbrechung des gesamten Protokolls.

Darüber hinaus bieten wir für Projektparteien, die Überwachungsfähigkeiten aufbauen möchten, einige Überwachungshinweise:

    1. Genaue Festlegung von Überwachungspunkten: Festlegung, welche Schlüsselzustände (Variablen) des Protokolls überwacht werden müssen und wo sie überwacht werden sollen, ist der erste Schritt beim Aufbau von Überwachungsfähigkeiten. Es ist jedoch schwierig, alle Überwachungspunkte umfassend abzudecken, insbesondere bei der Angriffserkennung wird empfohlen, eine externe professionelle externe Angriffs-Erkennungs-Engine zu verwenden, die in der Praxis getestet wurde

BlockSec Phalcon ist die weltweit einzige Plattform zur Überwachung und Blockierung von Angriffen mit einer nachgewiesenen Erfolgsbilanz. Sie hat über 20 Millionen Dollar an Vermögenswerten bei mehr als 20 Whitehat-Hacker-Rettungen gesichert. Erfahren Sie mehr unter 👇

https://blocksec.com/blog/lead-in-phalcon-s-hack-blocking-saga

    1. Sicherstellung der Präzision und Aktualität der Überwachung: Die Präzision der Überwachung bedeutet minimale Fehlalarme (FP) und falsch negative Ergebnisse (FN). Ein Überwachungssystem, dem es an Genauigkeit mangelt, ist im Wesentlichen unbrauchbar; Aktualität ist eine Voraussetzung für die Reaktion (z. B. ob es einen verdächtigen Vertrag vor der Bereitstellung oder eine Angriffstransaktion vor der Aufnahme in die Blockchain erkennen kann), andernfalls kann es nur zur Analyse nach dem Ereignis verwendet werden, was hohe Leistung und Stabilität vom Überwachungssystem erfordert.
    1. Eine automatisierte Reaktionsfähigkeit ist erforderlich: Basierend auf einer genauen und Echtzeit-Überwachung kann eine automatisierte Reaktion aufgebaut werden, einschließlich der Unterbrechung des Protokolls zur Blockierung von Angriffen usw. Ein anpassungsfähiger und zuverlässiger automatisierter Reaktionsrahmen ist hier erforderlich, um die flexible Anpassung von Reaktionsstrategien entsprechend den Bedürfnissen der Projektpartei zu unterstützen und die Ausführung automatisch auszulösen.

Im Allgemeinen erfordert der Aufbau von Überwachungsfähigkeiten die Beteiligung professioneller externer Sicherheitsanbieter.

OKX Web3 Wallet Sicherheitsteam: DeFi-Projektteams sind mit einer Vielzahl von Risiken konfrontiert, hauptsächlich einschließlich der folgenden Kategorien:

    1. Technische Risiken: Hauptsächlich einschließlich Schwachstellen in Smart Contracts und Cyberangriffe. Schutzmaßnahmen umfassen die Einführung sicherer Entwicklungspraktiken, die Beauftragung professioneller Drittanbieter-Audit-Unternehmen für umfassende Smart-Contract-Audits, die Einrichtung von Bug-Bounty-Programmen zur Ermutigung von Whitehat-Hackern zur Entdeckung von Schwachstellen und die Isolierung von Vermögenswerten zur Verbesserung der Sicherheit von Geldern.
    1. Marktrisiken: Hauptsächlich einschließlich Preisschwankungen, Liquiditätsrisiken, Marktmanipulationen und Kompositionsrisiken. Schutzmaßnahmen umfassen die Verwendung von Stablecoins und Risikohypotheken zur Absicherung gegen Preisschwankungen; die Nutzung von Liquiditäts-Mining und dynamischen Gebührenmechanismen zur Bewältigung von Liquiditätsrisiken; die strenge Überprüfung der vom DeFi-Protokoll unterstützten Asset-Typen und die Verwendung dezentraler Orakel zur Verhinderung von Marktmanipulationen; und die kontinuierliche Innovation und Optimierung von Protokollfunktionen zur Bewältigung von Wettbewerbsrisiken.
    1. Operative Risiken: Hauptsächlich einschließlich menschlicher Fehler und Risiken von Governance-Mechanismen. Schutzmaßnahmen umfassen die Einführung strenger interner Kontrollen und operativer Prozesse zur Reduzierung menschlicher Fehler; die Verwendung automatisierter Tools zur Verbesserung der operativen Effizienz; und die Gestaltung robuster Governance-Mechanismen zur Balance zwischen Dezentralisierung und Sicherheit, wie z. B. die Einführung von Abstimmungsverzögerungen und Multi-Signatur-Mechanismen. Überwachen Sie auch die Projekte, die live geschaltet wurden, und haben Sie Notfallpläne, um im Falle von Anomalien sofort Maßnahmen zu ergreifen und Verluste zu minimieren.
    1. Regulatorische Risiken: Hauptsächlich einschließlich rechtlicher Compliance-Anforderungen und Verpflichtungen zur Bekämpfung von Geldwäsche (AML) / Kundenidentifizierung (KYC). Schutzmaßnahmen umfassen die Beauftragung von Rechtsberatern, um sicherzustellen, dass das Projekt den gesetzlichen und regulatorischen Anforderungen entspricht, die Festlegung transparenter Compliance-Richtlinien und die aktive Umsetzung von AML- und KYC-Maßnahmen, um das Vertrauen der Nutzer und Aufsichtsbehörden zu stärken.

F2: Wie sollten DeFi-Projekte einen seriösen Audit-Partner bewerten und auswählen?

BlockSec Sicherheitsteam: Hier sind einige einfache Standards zum Nachschlagen:

    1. Haben sie bekannte Projekte geprüft: Dies deutet darauf hin, dass das Prüfungsunternehmen von diesen bekannten Projekten anerkannt wird.
    1. Wurden die geprüften Projekte angegriffen: Obwohl theoretisch eine Prüfung keine 100%ige Sicherheit garantieren kann, zeigt die praktische Erfahrung, dass die meisten von renommierten Prüfungsunternehmen geprüften Projekte nicht angegriffen wurden.
    1. Bewertung der Prüfungsqualität anhand historischer Berichte: Der Prüfungsbericht ist ein wichtiges Zeichen für die Professionalität des Prüfungsunternehmens, insbesondere wenn dasselbe Prüfprojekt und derselbe Prüfumfang verglichen werden können. Der Fokus sollte auf der Qualität (Schweregrad) und Quantität der gefundenen Schwachstellen liegen und ob die Ergebnisse vom Projektteam in der Regel akzeptiert werden.
    1. Fachpersonal: Die Zusammensetzung des Personals des Prüfungsunternehmens, einschließlich ihrer Ausbildung und ihres beruflichen Hintergrunds, ihrer systematischen Ausbildung und ihrer Erfahrung in der Branche, sind sehr hilfreich, um die Qualität der Prüfung zu gewährleisten.
Sign up for the latest updates
The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026

This BlockSec weekly security report covers four DeFi attack incidents detected between April 6 and April 12, 2026, across Linea, BNB Chain, Arbitrum, Optimism, Avalanche, and Base, with total estimated losses of approximately $928.6K. Notable incidents include a $517K approval-related exploit where a user mistakenly approved a permissionless SquidMulticall contract enabling arbitrary external calls, a $193K business logic flaw in the HB token's reward-settlement logic that allowed direct AMM reserve manipulation, a $165.6K exploit in Denaria's perpetual DEX caused by a rounding asymmetry compounded with an unsafe cast, and a $53K access control issue in XBITVault caused by an initialization-dependent check that failed open. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.