Diese Risiken bei Kryptowährungen müssen Anleger kennen Smart-Contract-Schwachstellen, Fake Blockchain und mehr

Ein Gastbeitrag von Daniel Almendros *

Smart Contracts lassen sich nicht brechen, ohne den Code zu brechen, in dem sie geschrieben sind. Das macht sie zur Grundlage für den Handel mit Kryptowährungen. Wie bei jedem Code bieten aber auch hier Schwachstellen Angriffspunkte für Cyberkriminelle.

Krypto-Anleger müssen zeitaufwändige und schwierige Aufgaben wie die Recherche und Risikoanalyse selbst in die Hand nehmen.
Krypto-Anleger müssen zeitaufwändige und schwierige Aufgaben wie die Recherche und Risikoanalyse selbst in die Hand nehmen.
(Bild: roger-brown-3435524 / Pexels )

Smart Contracts sind digitale Verträge, die auf der Blockchain-Technologie basieren. Ethereum ist wohl die bekannteste Blockchain-Plattform, um intelligente Verträge zu entwickeln. Dabei liegen Anweisungen und Vereinbarungen zwischen „Käufer“ und „Verkäufer“ in Codeform vor und regeln selbstausführend Transaktionen.

eBook Blockchain
eBook „Blockchain“
(Bild: Dev-Insider)

E-Book zum Thema

Unser eBook „Blockchain“ umreißt interessante Blockchain-Technologien und geht näher auf die Ethereum-Plattform ein.

Algorithmen geben beispielsweise automatisch einen bestimmten Prozentsatz der gesperrten Coins in einem Wallet frei, sobald Betrag X erreicht ist (z. B. 1 ETH = 10.000 US-Dollar). Alle Transaktionen werden validiert und erneut in der Blockchain abgespeichert – das macht Smart Contracts grundsätzlich sehr vertrauenswürdig und sicher.

Wann werden Smart Contracts angreifbar?

Wie jede Software sind auch Smart Contracts anfällig für Fehler – und damit angreifbar. Zudem bieten Krypto-Börsen und Blockchain an sich vielfache Angriffspunkte für Cyberkriminelle.

1. Schwachstellen in schlecht geschriebenem Code

Mit einigen Grundkenntnissen und dem nötigen Kapital kann jeder einen Smart Contract auf beliebten Blockchains wie Ethereum oder Binance Smart Chain schreiben. Besondere Qualifikationen oder Programmierkenntnisse sind nicht erforderlich. So kommt es immer wieder vor, dass die Verfasser unwissentlich Fehler machen und die Verträge Schwachstellen enthalten. Cyberkriminelle suchen systematisch nach solchen Schlupflöchern. Das Ziel: Die im Vertrag festgelegten Transaktionsvereinbarungen zu manipulieren, um dadurch Gelder abzugreifen. Da keine zentrale Instanz für Kryptowährungen existiert, gibt es auch keine Möglichkeit für Opfer, ihr Geld zurückzubekommen.

Cyberkrimineller Forum-Nutzer wirbt für Dienstleistungen zum Hacken von Smart Contracts.
Cyberkrimineller Forum-Nutzer wirbt für Dienstleistungen zum Hacken von Smart Contracts.
(Bild: Digital Shadows)

Allerdings sind Schwachstellen in Smart Contracts nicht ganz leicht zu identifizieren. Umso größerer Popularität erfreuen sich entsprechende Angebote und Posts auf einschlägigen Foren. Das Photon Research Team von Digital Shadows fand zum Beispiel auf einem bekannten cyberkriminellen Forum einen „Smart Contract Hacker for Hire“, der nach einem Geschäftspartner für seinen nächsten Coup Ausschau hielt (siehe Abbildung 1). Voraussetzung für einen gemeinsamen Deal sei das Wissen um angreifbare Verträge. Eine solche Arbeitsaufteilung auf unterschiedlich spezialisierte Bedrohungsakteure ist im Darknet durchaus üblich.

2. Eine neue, wenig erprobte Blockchain

Auf neuen, wenig erprobten Blockchains sind Smart Contracts noch anfälliger. Aufgrund von Sicherheitsmängeln können Angreifer exponierte API-Schlüssel für Wallets stehlen, das Netzwerk mit Spamtransaktionen überschwemmen (eine Art Blockchain-DoS) und 51%-Angriffe durchführen. Letzteres bezeichnet einen Angriff, bei dem eine Person oder eine Gruppe die Kontrolle über mehr als 50% der Mining-Leistung einer Blockchain erlangt. Das kann dazu führen, dass Anleger ihre Gelder nicht abheben können, oder dass die Gelder direkt in die Wallets der Angreifer fließen.

In einem solchen Fall ist ein Smart Contract angreifbar, selbst wenn er korrekt kodiert ist – denn wenn die Blockchain angreifbar ist, gilt das auch für den Vertrag. Das ist ein ernstes und weit verbreitetes Problem, obwohl einige Blockchain-Protokolle ihr Bestes tun, um ihren Code sauber zu halten. Im Oktober zahlten die Entwickler hinter dem Ethereum-Token Polygon eine rekordverdächtige Bug Bounty in Höhe von 2 Mio. US-Dollar an einen ethischen Hacker, der eine Schwachstelle im Netzwerk entdeckte. Die hohe Belohnung war durchaus gerechtfertigt. Immerhin standen bei einem Exploit der Schwachstelle 850 Mio. US-Dollar auf dem Spiel.

3. Absichtliche integrierte Sicherheitslücken

Kryptowährungen sind volatil. Grundsätzlich können Anleger jederzeit ihr gesamtes Kapital verlieren. Trotz wachsender Compliance-Bemühungen von staatlicher Seite gleicht der Kryptomarkt in vielen Punkten noch immer dem Wilden Westen. Jeder kann eine Blockchain erstellen – vorausgesetzt, er verfügt über das Know-how und das Kapital. Cyberkriminelle haben also leichtes Spiel, absichtlich unsichere Blockchains bzw. Smart Contracts zu entwickeln, um Opfer gezielt in die Falle zu locken.

eBook Blockchain
eBook „Blockchain“
(Bild: Dev-Insider)

E-Book zum Thema

Unser eBook „Blockchain“ umreißt interessante Blockchain-Technologien und geht näher auf die Ethereum-Plattform ein.

Damit sind beispielsweise sogenannte „Rug Pull“-Angriffe möglich: Der Entwickler einer Blockchain manipuliert den Markt, indem er einen großen Teil der Coins einbehält, das Angebot niedrig hält und damit ihren Wert künstlich aufbläht. Schließlich verkauft er seine Coins zu Höchstpreisen. Im traditionellen Finanzwesen kennt man dies als Insiderhandel oder Marktmanipulation. Wie einfach es ist, neue Coins an einer Krypto-Börse notieren zu lassen, zeigt der Post eines Forum-Nutzers im Darknet. Demnach reiche es aus, die Coins als vertrauenswürdig darzustellen, um beispielsweise 300 Binance Coin (umgerechnet 167.821 US-Dollar) zum Liquiditätspool eines Smart Contracts hinzuzufügen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Zahlreiche Anleitungen verraten Betrügern des Weiteren, wie sich frisch gelistete Kryptowährungen und Airdrop-Aktionen missbrauchen lassen. Airdrops sind kostenlose Tokens, die viele Plattformen an bestehende Wallet-Inhaber als Belohnung bzw. Give-Away vergeben. Cyberkriminelle nutzen solche Werbeaktionen für ausgeklügelte Phishing-Attacken, um bösartige Tokens einzuschleusen und Anleger auf falsche und gefährliche Webseiten umzuleiten.

4. Fake Blockchain

Wenn ein Angreifer über ausreichende Social-Engineering- und Marketing-Fähigkeiten verfügt, kann er ahnungslose Anleger dazu bringen, Coins für Kryptowährungen zu kaufen, für die gar keine Blockchain existiert. Zahlreiche cyberkriminelle Foren erklären, wie interessierte Geldfälscher Fake Blockchains konstruieren und an (meist Klein-)Anleger vermarkten können.

Ein Nutzer eines Cybercrime-Forums teilt seine Anleitung zur Erstellung einer gefälschten Blockchain-API.
Ein Nutzer eines Cybercrime-Forums teilt seine Anleitung zur Erstellung einer gefälschten Blockchain-API.
(Bild: Digital Shadows)

Das vielleicht berühmteste Beispiel für einen solchen Betrug ist OneCoin. Das als Kryptowährung vermarktete Finanztransfersystem wurde von Sicherheitsexperten schon früh als Schneeballsystem eingestuft. Bis heute ist die Existenz der OneCoin Blockchain nicht bewiesen. Gegen die Hintermänner der bulgarischen Offshore-Unternehmen wird jedoch ermittelt. Sie sollen Anleger von 2014 bis 2016 um Milliardenbeträge gebracht haben. In Deutschland hat die BaFin die Verbreitung von OneCoin mittlerweile sogar gänzlich untersagt.

5. Angriffe auf Krypto-Börsen

Auch Krypto-Börsen sind gefährdet. Je mehr Geld gehandelt wird, desto stärker rücken sie ins Visier von Cyberkriminellen. Im März 2014 meldete Mt. Gox, ehemals einer der weltweit größten Handelsplätze für Bitcoins, Insolvenz an. Händler unterstellten den Betreibern der Börse betrügerisches Handeln bzw. Marktmanipulationen, nachdem Bitcoins im Wert von rund 460 Mio. US-Dollar verschwanden. Mt. Gox machte für den Verlust externe Hackerangriffe sowie einen unbekannten Insider verantwortlich. 2015 schließlich nahmen japanische Behörden den Geschäftsführer fest und klagten ihn des Betrugs und der Veruntreuung an. Wie sich nämlich herausstellte, wurden lediglich 7.000 Bitcoins tatsächlich bei einem Hackerangriff gestohlen.

Für Cyberkriminelle bieten Krypto-Börsen auch ohne kriminelles Zutun der Bertreiber genug Angriffspunkte. So spürte Digital Shadows zum Beispiel ein Proof-of-Concept Exploit auf, welches die Zwei-Faktor-Authentifizierung einer Krypto-Handelsplattform umging.

Best Practices für Investoren

Grundsätzlich ist es unerlässlich, dass sich Investoren über potenzielle Gefahren vorab und kontinuierlich informieren. Es lohnt sich, Krypto-Börsen, Blockchains und Smart Contracts zu überprüfen und kritisch zu hinterfragen.

  • Due Diligence gilt auch für Smart Contracts. Prüfen Sie den Code, in dem der Vertrag geschrieben ist, auf Fehler oder Auffälligkeiten. Dazu gehören Rechtschreib- oder Rechenfehler. Wie bei „nicht-smarten“ legalen Verträgen kann auch hier ein kleiner Tippfehler im Code massive Auswirkungen haben.
  • Bei fehlender Expertise empfiehlt es sich, vertrauenswürdige und qualifizierte Person mit der Überprüfung zu beauftragen. Die Einsicht in den Vertrag sollte immer möglich sein: Smart Contracts im Bereich Decentralized Finance (DeFi) sind quelloffen und damit frei einsehbar. Lässt sich der Code nicht prüfen, ist das ein deutliches Warnsignal.
  • Ein Blick auf die Geschichte und die Entwickler einer Blockchain ist ebenfalls aufschlussreich für Anleger. Hatte die Blockchain in der Vergangenheit mit zweifelhaften Geschäften zu tun? Gibt es ein solides Bug-Bounty-Programm? Liegen Warnungen seitens von Behörden und Finanzinstitutionen vor? Wer sich diese Fragen vorab stellt, kann Risiken besser einschätzen und minimieren.

Krypto-Anleger sollten sich einer Sache immer bewusst sein: Sie übernehmen bei Smart Contracts die Rolle einer Bank. Das heißt auch, dass sie zeitaufwändige und schwierige Aufgaben wie die Recherche und Risikoanalyse selbst in die Hand nehmen müssen. Sie stehen in der Verantwortung, ohne Netz und doppelten Boden. Wissen ist hier – mehr denn je – Macht.

E-Book zum Thema

Blockchain

eBook Blockchain
eBook „Blockchain“
(Bild: Dev-Insider)

Um die Möglichkeiten von Blockchains einschätzen zu können, muss man verstehen, was eine solche Kette von Blöcken überhaupt im Stande ist zu leisten, und wie sie das realisiert.

Dieses eBook umfasst die folgenden Themen:

  • Blockchain: Definition, Funktionen und Visionen
  • Ethereum: Schlaue Verträge und Standardisierung
  • Die spannendsten Projekte rund um Blockchain

(ID:47920353)