Sicherheit

Ein Leitfaden zu Sicherheitslücken in der dezentralen Finanzierung

Dezentrale Finanzen bieten ein wirklich revolutionäres Potenzial. Angesichts der relativen Unreife des DeFi- Sektors sind Schwachstellen jedoch weit verbreitet. Die jüngsten Vorfälle mit bZx veranschaulichen deutlich, wie Angreifer diese Schwächen finden und zum persönlichen Vorteil ausnutzen.

Daher ist es für Benutzer eine lohnende Übung, sich die Zeit zu nehmen, um diese Schwachstellen zu verstehen und eine fundierte Entscheidung über die relativen Risiken zu treffen.

Konto Sicherheit

Wenn Benutzer in eine DeFi-dApp investieren, zahlen sie im Wesentlichen Geld in die Brieftasche eines anderen Benutzers ein. Intelligente Verträge können hier regeln, wie die Mittel in diesen Brieftaschen verwendet werden, aber irgendwo hat jemand die privaten Schlüssel für diese Brieftasche.

Anfang dieses Monats veröffentlichte Chris Blec auf seinem YouTube-Kanal ein Video , in dem er einen Überblick über die Betriebssicherheit der für verschiedene DeFi-dApps verwendeten Brieftaschen gab. Wie Blec im Video betont:

„Es gibt keine Möglichkeit zu beweisen, dass eine Startphrase nicht in einem auf einem iPhone gespeicherten Screenshot enthalten ist. Wir müssen [den dApp-Betreibern] vertrauen, wenn sie sagen, dass dies nicht der Fall ist. “

Um Transparenz in die Angelegenheit zu bringen, untersuchte Blec die Methoden von DeFi-Projekten, um Gelder vor Hackern zu schützen. Dazu gehören Maßnahmen wie Zeitsperren und Sicherheit mit mehreren Signaturen.

Da DeFi-Teams ihre OpSec-Praktiken verständlicherweise geheim halten, kann es für Benutzer unmöglich sein, sicher zu wissen, ob die besten angewandten Maßnahmen tatsächlich vorhanden sind. Blec erklärt beispielsweise, dass möglicherweise mehrere Signaturen vorhanden sind, es jedoch keine Möglichkeit gibt, zu überprüfen, ob eine Person nicht auf alle für eine Transaktion erforderlichen Signaturen zugreifen kann.

Die Wallet-Sicherheit ist eine allgemeine Sicherheitslücke, die in ganz DeFi und Krypto im Allgemeinen besteht. Das gleiche Risiko gilt für zentralisierte Börsen.

Mit zunehmender Reife des DeFi-Bereichs können dApp-Entwickler ähnliche Sicherheitsmaßnahmen einsetzen, die von großen Börsen und institutionellen Depotbanken verwendet werden. Dazu gehören Hardware-Sicherheitsmodule wie Ledger’s Vault oder Mehrparteienberechnungen wie Fireblocks .

Nach Blecs Forschungen sind diese Maßnahmen jedoch noch nicht in Kraft.

Bitcoin

Zentralisierung

Das Thema Brieftaschensicherheit bezieht sich auf ein breiteres Thema im DeFi-Sektor, nämlich das Risiko einer Zentralisierung. Trotz des Namens werden viele DeFi-dApps von zentral gesteuerten Einheiten betrieben.

Entwickler Ameen Soleimani hat dies letztes Jahr in einem Blogbeitrag hervorgehoben und Compound als Fallstudie verwendet, um zu veranschaulichen, wie DeFi-Benutzer in mehrfacher Hinsicht von den zentralisierten Einheiten abhängig sind, die die Kontrolle haben.

Ein Teil von Soleimanis Beitrag erklärte, was viele in der Crypto-Community bereits wissen – jeder, der Zugriff auf den zusammengesetzten Administratorschlüssel hat, hätte die Möglichkeit, alle Kreditpools der Plattform zu entleeren.

Bei Kreditvergabeprotokollen gibt es jedoch noch ein weiteres Problem

Compound verwendet eine Metrik namens „Nutzungsrate“, die den Prozentsatz der abgesteckten Mittel beschreibt, die zu einem bestimmten Zeitpunkt ausgeliehen wurden. Je höher der Prozentsatz, desto größer ist das Risiko, wenn etwas passiert, das eine Liquiditätskrise auslöst. Soleimani nennt dies das „Bank Run Risk“.

Wenn die Auslastungsrate bei 99% liegt und mehr als 1% der Kreditgeber ihren DAI abheben möchten, verfügt Compound nicht über genügend verfügbaren DAI, um die Abhebungsnachfrage zu erfüllen.

Compound begegnet diesem Risiko durch sein Zinsmodell, das sich an die Nutzungsrate anpasst. Diese Methode ist jedoch nicht unfehlbar. Im Jahr 2019 war Compound gezwungen, sein Zinsmodell zu aktualisieren, gerade weil die Auslastungsrate 99% erreicht hatte.

Wie Soleimani betont, sind Compound-Benutzer darauf angewiesen, dass die dApp-Betreiber diese Maßnahmen jedes Mal ergreifen, wenn sich die Auslastungsrate 100% nähert. Andernfalls besteht die Gefahr, dass Benutzer ihr Geld nicht abheben können.