Der Kryptosektor wird seit Jahren von Cybersicherheitsproblemen geplagt. Böswillige Akteure, insbesondere Nordkoreas Lazarus-Gruppe, haben seit 2022 mehr als 2,2 Milliarden US-Dollar gestohlen, was die Branche dazu veranlasst hat, die Anzahl der Codeprüfungen im gleichen Zeitraum zu verdreifachen.
Doch mehr Prüfungen haben sich nicht in geringeren Verlusten niedergeschlagen. Weder die Gesamtzahl der Zwischenfälle noch die gestohlene Geldmenge nehmen signifikant ab. Unsere Untersuchung bei Oak Security erklärt dies: Die Mehrheit der erfolgreichen Angriffe zielt auf menschliche Vektoren ab. Tatsächlich umgehen die meisten der häufigsten Exploit-Ursachen vollständig die durch Audits geschützte Angriffsfläche.
Mit anderen Worten besteht eine deutliche Diskrepanz zwischen den Schwachstellen, die traditionelle Prüfungen untersuchen, und denen, die von Angreifern ausgenutzt werden. Der Kryptobereich wird voraussichtlich weiterhin unter erheblichen Verlusten leiden, bis diese Diskrepanz durch die Erweiterung der Sicherheitsmaßnahmen um menschliche und operative Vektoren beseitigt wird und die folgenden Punkte angegangen werden, um die aktuelle Prüfungsinfrastruktur zu aktualisieren.
Der Prüfungsmarkt ist gereift, doch er zeigt keine Wirkung
Es besteht kein Zweifel daran, dass die Codeprüfung in den letzten Jahren erheblich anspruchsvoller geworden ist. Sicherheitsunternehmen setzen inzwischen zunehmend komplexe Werkzeuge und Methoden ein, um Schwachstellen in Smart Contracts aufzudecken, bevor diese live geschaltet werden. Die Codequalität in der Branche hat sich tatsächlich verbessert.
Audits erfüllen genau das, wofür sie entwickelt wurden – Fehler im Code zu entdecken. Und sie funktionieren. Weniger Angriffe als zuvor nutzen fehlerhaften Code aus, um Plattformgelder zu stehlen.
Das Problem besteht jedoch darin, dass wir eine wachsende Diskrepanz zwischen dem, was Prüfungen untersuchen, und dem, was Angreifer tatsächlich ausnutzen, feststellen. Heute gehen die größten Verluste der Branche nicht von traditionellen Schwachstellen in Smart Contracts aus. Vielmehr resultieren sie aus kompromittierten privaten Schlüsseln, Governance-Manipulation, Insiderkompromittierungen, bösartigen Abhängigkeitsaktualisierungen und operativen Fehlfunktionen.
So brillant sie auch darin sind, Code-Schwachstellen zu identifizieren, können traditionelle Audits nicht verhindern, dass ein Entwickler Opfer einer Phishing-Kampagne wird. Der beste Code der Welt kann dennoch auf einer anfälligen operativen Infrastruktur laufen.
Tatsächlich zeigt unsere Forschung, dass diese operativen Exploits, gemessen am finanziellen Schaden, oft weitaus verheerender sind als die Code-Schwachstellen selbst. Die Branche hat enorme Ressourcen in die Verringerung des Smart-Contract-Risikos investiert, doch die kostspieligsten Angriffsvektoren bleiben vergleichsweise unzureichend geschützt. Es ist, als ob sich die Branche immer noch darauf konzentriert, sich gegen die letzte Angriffsgeneration zu verteidigen, während sich böswillige Akteure bereits auf andere Strategien verlagert haben.
Allein durchgeführte Prüfungen erzeugen eine gefährliche Illusion von Sicherheit
Plattformen werben häufig mit der Anzahl der durchgeführten Audits, dem Ansehen der beauftragten Firmen oder dem Umfang der während der Überprüfung festgestellten Befunde. Diese sind zu verkürzten Indikatoren dafür geworden, ob ein Projekt sicher ist.
