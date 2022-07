Angreifer und Betrüger haben dezentrale Handelsplattformen für Kryptowährungen (auch unter dem Schlagwort Web3 zusammengefasst) im laufenden Jahr um Rekordsummen erleichtert: Im ersten Halbjahr 2022 verloren die Plattformen insgesamt mehr als zwei Milliarden US-Dollar – das ist schon jetzt mehr als die Gesamtsumme des Vorjahres 2021. Durch einen bestimmten Angriff, der den sogenannten Flash-Kredit (flash loan) ausnutzt, erbeuteten Betrüger im zweiten Quartal des laufenden Jahres 308 Millionen Dollar – eine gewaltige Zunahme gegenüber dem vorherigen Quartal mit 'nur' 14 Millionen Dollar Verlust bei dieser Angriffsart. Das geht aus dem vierteljährlich erscheinenden 'Web3 Security Report' des Security-Spezialunternehmens CertiK hervor, über den The Verge berichtet.

Kurzzeit-Kredite als Hebel für Angriff

Web3-Kryptoplattformen ermöglichen dezentralen Handel mit Kryptowährungen und sichern die Transaktionen per Blockchain ab. Sie sind vermehrt Opfer von Cyberattacken, die Sicherheitslücken ausnutzen oder Nutzer per Scam oder Phishing überlisten. Immer mehr Angriffe nutzen den 'flash loan' und erzielen dabei hohe Schadenssummen, schreibt The Verge über den Sicherheitsbericht. Die 308 Millionen Dollar Verlust im zweiten Quartal entstanden laut dem Bericht von CertiK durch insgesamt 27 Flash-Loan-Angriffe. Die Zahl der Phishing-Attacken stieg im Vergleich dazu von 106 im ersten Quartal auf 290 im zweiten.

Bei einem 'flash loan' wird eine Geldsumme in einer einzigen Transaktion für einen extrem kurzen Zeitraum (wenige Sekunden) ausgeliehen und umgehend zurückerstattet; erzielt der Auftraggeber bei diesem 'smarten' Vertrag durch seinen Handel einen Gewinn, erhält der Verleiher (die Handelsplattform) üblicherweise eine Provision daran. Die Kryptogeldplattform Beanstalk wurde im April Opfer eines viel beachteten Angriffs per 'flash loan': Dabei machten sich die Angreifer zunutze, dass Beanstalk seinen Nutzern Stimmrechte für Änderungen am Code der Plattform zugesteht – und zwar proportional zum Anteil an der hauseigenen Kryptowährung Bean, den Beanstalk-Nutzer besitzen. Die Angreifer erwarben kurzzeitig genug Kryptogeld, um eine Codeänderung durchzusetzen, mit der sie sich selbst sämtliches bei Beanstalk vorhandenes Kryptogeld übertrugen.

Und Anfang dieses Jahres nutzten Angreifer eine Sicherheitslücke im Code der Finanzplattform Qbit Finance aus. Die dezentrale Handelsplattform von Qbit Finance erlaubt etwa das Umtauschen von einer Kryptowährung in eine andere; die Angreifer nutzten die Lücke und erhielten dadurch bei Einzahlung von null Ether im Gegenzug Binance-Münzen im Gegenwert von 80 Millionen US-Dollar.

Solche neueren Kryptogeld-Projekte mit dezentraler Struktur und Nutzung von Blockchain (auch DeFi genannt, "Decentralised Finance", also dezentrales Finanzwesen) werden auch unter der Bezeichnung Web3 (oder Web 3.0 – in Abgrenzung zum Web 2.0) geführt; sie verbinden Dezentralität, automatisierte Transaktionen mit Blockchain-Absicherung und 'smarte' Verträge.

(tiw)