Wie Wirtschaftsprüfer einen DeFi-Trug-Pull-Betrug erkennen: Können Sie es selbst tun?

Hacker haben im Jahr 2022 mehr Kryptowährung von DeFi-Plattformen (Decentralized Finance) gestohlen als je zuvor. Fast 98 % aller Token, die auf DeFis Flaggschiff DEX Uniswap eingeführt wurden, wurden als Rug Pulls identifiziert.

Die neueste, Defrost Finance, kam als Weihnachtsalptraum für Krypto-Investoren, der 12 Millionen Dollar ihres Geldes vernichtet. 

Die meisten Hacks auf DeFi-Plattformen erfolgen durch Sicherheitsverletzungen und Code-Exploits. Bei Projekten, bei denen es sich am Ende um Rug-Pull-Betrügereien handelt, gibt es schwerwiegende Sicherheitsprobleme, die unbemerkt oder vielleicht sogar absichtlich unentdeckt blieben. Um ähnliche Risiken zu verhindern, sind DeFi-Sicherheitsüberprüfungen von entscheidender Bedeutung.

Hier erfahren wir mehr über diese Audits, wie sie durchgeführt werden und ob es möglich ist, selbst ein DeFi-Audit durchzuführen. 

DeFi-Projekte werden als komplexe, selbstausführende Smart Contracts umgesetzt, oft transparent und Open Source. Sie fungieren als rechtsgültige Vereinbarungen zwischen zwei Parteien. Und da ihnen keine zentralisierte Instanz zugrunde liegt, kann selbst ein kleiner Fehler in Smart Contracts irreversible Folgen haben.

Das bedeutet, dass in Smart Contracts kein Platz für Fehler sein sollte. DeFi Smart Contract Security Audits sollen dies sicherstellen.

Sicherheitsaudits untersuchen den Code intelligenter Verträge und wie er die Vertragsbedingungen begründet. Die detaillierte Analyse sucht nach potenziellen Sicherheitslücken, Verstößen und Systemfehlern im Code, sodass dieser nicht ausgenutzt werden kann. 

Sicherheitsaudits, die in der Regel von Dritten durchgeführt werden, sind von entscheidender Bedeutung, um die Sicherheit und Glaubwürdigkeit von Projekten zu gewährleisten und ein gesundes DeFi-Ökosystem aufrechtzuerhalten.

Ein Rug Pull ist eine Art Exit-Betrug, der nach einem einfachen Modell funktioniert: Entwickler erstellen ein legitim aussehendes DeFi-Protokoll, führen es aus und bewerben es, bis das Projekt genügend Liquidität anzieht, ziehen dann die Gelder ab und verschwinden. 

Nun ja, nicht immer. Gelegentlich beschuldigen Betrüger Hacker, Liquidität gestohlen zu haben, und bleiben bis zum nächsten Mal im Geschäft.

Um einen Angriff zu implementieren, betten Betrüger bösartigen Code in die Smart Contracts ein. Sie modifizieren sie, um Investoren am Verkauf zu hindern: Legen Sie die maximale Verkaufsgebühr (100 %) fest, setzen Sie Token-Besitzer auf die schwarze Liste und sperren Sie das Geld der Benutzer in einem Vertrag.

Einige Smart Contracts beinhalten die Codierung einer böswilligen „Hintertür“, die es Entwicklern ermöglicht, die Liquidität abzuheben.  

Meistens werden modifizierte Smart Contracts nicht von Sicherheitsprüfern verifiziert und vor der Öffentlichkeit verborgen. Da die meisten On-Chain-Verträge öffentlich zugänglich sind, fehlt es an Transparenz GitHub könnte eine rote Fahne sein. 

Die Blockchain- und Smart-Contract-Branche ist noch relativ jung, ebenso wie der Smart-Contracts-Audit-Sektor. Zahlreiche Firmen spezialisieren sich auf Smart Contract Security Audits, entwickeln ihre Tools weiter und prägen ihr Know-how. 

Branchenstandards und Best Practices für Smart Contract Security entwickeln sich weiter. Trotzdem werden einige ziemlich standardmäßige Prüfungsmethoden von Akteuren der DeFi-Prüfungsbranche verwendet.

Typischerweise beginnen ihre Untersuchungen mit der Smart-Contract-Evaluierung. Der Prüfer analysiert das Whitepaper, die Geschäftslogik und die technische Spezifikation des DeFi-Protokolls, um potenzielle Risiken und Sicherheitsmerkmale abzuschätzen.

Dann lenken sie ihre Aufmerksamkeit auf den Code des Smart Contracts. Dies ist der Zeitpunkt, an dem die Überprüfung und Analyse des Codes beginnen. 

Prüfer prüfen den Code Zeile für Zeile und suchen nach Schwachstellen unterschiedlichen Ausmaßes: kritische Schwachstellen, die zu einem Liquiditätsleck führen können; mittleres Niveau, was den Smart Contract teilweise beschädigen könnte; und Probleme auf niedriger Ebene, die die Sicherheit des Vertrags am wenigsten beeinträchtigen.

Sie setzen eine Reihe von Prüfungstechniken ein, einschließlich automatisierter und manueller Analysen. Beides hat seine Vor- und Nachteile.

Bei einem automatisierten Sicherheitsaudit wird der Code mit einer automatisierten Analysesoftware gescannt, die in der Datenbank bekannter Schwachstellen nach Fehlern sucht und deren genaue Position im Code identifiziert.

Das softwarebasierte Audit wird in der Regel vor der manuellen Analyse durchgeführt, um Fehler zu erkennen, die Menschen möglicherweise übersehen. Es ist schneller und weniger zeitaufwändig, kennt aber gleichzeitig möglicherweise nicht immer den Kontext und übersieht daher bestimmte Schwachstellen. 

Die manuelle Code-Analyse ist das A und O der Smart-Contract-Prüfung und der wichtigste Teil einer umfassenden und genauen Sicherheitsprüfung für Smart-Code. Es wird von mindestens zwei separaten Experten durchgeführt, die den Code Zeile für Zeile prüfen.

Ziel ist es, zu überprüfen, ob jedes Detail in der Projektspezifikation in den Smart Contract implementiert ist und nichts gegen das ursprünglich beabsichtigte Verhalten verstößt. 

Die Prüfer untersuchen den Code auf unbeabsichtigtes, unerwartetes Verhalten, wichtige Sicherheitsprobleme und Schwachstellen wie Wiedereintritt, Datenmanipulationen, Flash-Darlehen und andere Manipulationen, die durchgeführt werden könnten, während der Smart Contract mit anderen interagiert.

Darüber hinaus werden bei manuellen Audits Simulationen durchgeführt, um zu bewerten, wie gut der Smart Contract des DeFi-Projekts auf nicht identifizierte Bedrohungen reagiert und wie gut er in der Lage ist, sich gegen diese zu verteidigen. 

Im letzten Teil der manuellen Codeanalyse vergleicht der Prüfer die Logik des Smart Contracts mit seiner Beschreibung im Whitepaper des Projekts. 

Sobald alle Schwachstellen identifiziert und behoben wurden, führen die Auditoren einen doppelten Überprüfungsprozess durch, um sicherzustellen, dass der intelligente Code wie erwartet ausgeführt wird.

Schließlich erstellen die Prüfer nach Abschluss des Sicherheitsaudits einen umfassenden Bericht. Hier geben sie detailliertes Feedback zu ihren Entdeckungen. In der Regel enthält ihr Bericht Empfehlungen, wie erkannte Codeschwächen behoben werden können, um die Sicherheit des Projekts zu verringern. 

Smart Contracts sind eine relativ neue Innovation. Ihre Sicherheitsstandards entwickeln sich entsprechend weiter. Das bedeutet, dass keine goldene Regel die vollständige Sicherheit intelligenter Verträge garantiert.

Darüber hinaus sind nicht alle Smart-Contract-Prüfungsunternehmen gleich und nicht alle Prüfungen garantieren Sicherheit. Auditoren können unterschiedliche Qualifikationsniveaus, unterschiedliche Ziele und unterschiedliche Kosten haben.

Ganz zu schweigen von der Tatsache, dass der Markt voller zwielichtiger Entwickler ist, die Audits fälschen und dennoch vom Namen eines seriösen Unternehmens profitieren. Dies geschah vor mehr als einem Jahr mit Peckshield, einem Unternehmen für Blockchain-Sicherheit und Datenanalyse.

Situationen wie diese sind im Bereich der Kryptowährungen weit verbreitet. Sie nehmen den Namen eines legitimen und respektablen Prüfers und nehmen ihn in ihr Whitepaper auf, indem sie sagen, dass ihr Protokoll geprüft wurde.

Die einzige Möglichkeit, solche Fälle zu vermeiden, besteht darin, die Bestätigung auf den ursprünglichen Kanälen des Prüfers zu prüfen. Wenn es keine gibt, besteht die Möglichkeit, dass der Name des Prüfers gestohlen wurde. 

Überprüfen Sie immer das Kundenportfolio, um zu beurteilen, ob der Prüfer solide und seriös ist. Googlen Sie die Fälle, um ihre Erfahrungsberichte zu überprüfen, und prüfen Sie, ob eines der geprüften Projekte Opfer eines Rug-Pull-Angriffs oder anderer Angriffe geworden ist.

Bei so vielen Hacks und Rug Pulls im Krypto-Bereich ist es naiv anzunehmen, dass DeFi-Projekte sicher sind, ohne sie genauer zu untersuchen. Intelligente Vertragsprüfungen bieten eine entscheidende Sicherheitsebene. 

Allerdings garantieren selbst die professionellsten nicht, dass ein DeFi-Projekt absolut fehlerfrei ist. Intelligente Verträge sind komplex. Sie erfordern eine detaillierte und umfassende Analyse, Fachwissen, Werkzeuge und vor allem mehr als ein Paar Augen.