5 Sicherheitsvorfälle im Zusammenhang mit DAG-Netzwerken – und wie Sie sich schützen können

Gerichtete azyklische Graphen (DAGs) haben sich als vielversprechende Alternative zur Blockchain-Technologie herausgestellt. Im Gegensatz zu Blockchains zeichnen sich DAGs durch eine einzigartige Struktur aus, bei der Transaktionen auf gerichtete, nicht-zirkuläre Weise verknüpft werden und neue Möglichkeiten bieten, einen Konsens zu erzielen. Diese Innovation verspricht schnellere Transaktionsgeschwindigkeiten und eine stärkere Dezentralisierung, was sie zu einer attraktiven Wahl für Krypto-Enthusiasten macht. Sie könnten jedoch mit eigenen Sicherheitsherausforderungen verbunden sein.

Schließlich gibt es Bug-Bounty-Programme aus gutem Grund. Bisher können wir jedoch sagen, dass keine DAG-Struktur gehackt wurde. Auf der anderen Seite sind die damit verbundenen Dienste, von sozialen Medien bis hin zu Smart Contracts, eine andere Geschichte. Cyberkriminelle zielen auf die am stärksten gefährdeten Punkte ab, und zwar normalerweise außerhalb der DAG selbst, aber auf jeden Fall auf deren Benutzer.

Wir werden uns zunächst mit einigen Angriffen befassen, an denen DAG-Plattformen beteiligt sind, und fünf Fälle aufzählen, in denen die zugehörigen Dienste Opfer von Hacking-Versuchen wurden. Außerdem werden wir Strategien und Best Practices erkunden, um sich vor solchen Bedrohungen zu schützen. Egal, ob Sie ein erfahrener Investor oder ein Neuling sind, wir haben Verständnis diese Herausforderungen ist für den Schutz Ihrer digitalen Vermögenswerte in einem immer komplexer werdenden Krypto-Ökosystem von entscheidender Bedeutung.

Nano + BitGrail

Im Jahr 2018 kam es in der Welt der Kryptowährungen zu einer großen Sicherheitslücke, die die italienische Kryptowährungsbörse BitGrail und die digitale Währung Nano (früher bekannt als Raiblocks) betraf. Diese Währung verwendet ein Hauptbuch, das wie ein DAG (genauer gesagt ein Blockgitter) strukturiert ist, und ihr Konsenssystem ist einer Proof-of-Stake (PoS)-Blockchain sehr ähnlich.

Der Vorfall begann, als BitGrail meldete, dass eine beträchtliche Menge an Nano-Tokens auf seiner Plattform fehlten. Der Gründer der Börse, Francesco Firano, behauptete, dass der Hack zum Diebstahl von etwa 17 Millionen Nano-Token geführt habe, was damals etwa 170 Millionen US-Dollar entsprach.

Die Nachwirkungen des BitGrail-Hacks waren von einem Streit zwischen dem Management der Börse und dem Nano-Entwicklungsteam geprägt. Firano vermutete zunächst, dass Nanos Code für die Sicherheitslücke verantwortlich sei, und machte die Entwickler für den Diebstahl verantwortlich. Er verlangte vom Nano-Team einen umstrittenen Fork (Update), um den Hack zu löschen, was sie ablehnten.

Weitere Untersuchungen ergaben später, dass die Sicherheitsmaßnahmen und internen Kontrollen von BitGrail unzureichend waren, was zur Kompromittierung der Benutzergelder führte. Tatsächlich geschah der Hack gerade rechtzeitig, um einen Preisanstieg bei Nano zu bewirken, und Firano verheimlichte, dass die Verstöße bereits seit 2017 stattgefunden hätten. BitGrail und Firano erhielten zumindest etwas zwei Sammelklagen , und letztendlich wurde festgestellt, dass Firano direkt für den Angriff verantwortlich war.

In diesem Fall wurde die DAG nicht angegriffen, aber die Benutzer vertrauten dem falschen Unternehmen. Bei zentralisierten Börsen haben Sie keine privaten Schlüssel zu Ihren Geldern. Stattdessen wird nur ein Konto mit einem Passwort bereitgestellt und die Gelder werden vollständig von diesem Unternehmen verwahrt (kontrolliert). Wenn sie verlieren (Hacks, Insolvenz usw.), verlieren auch Sie. Deshalb ist es wichtig, Börsen nicht als dauerhafte Geldbörsen zu nutzen.

IOTA + Moonpay

IOTA ist eine Kryptowährungsplattform, die die Directed Asymmetric Graph (DAG)-Technologie nutzt, um schnellere Transaktionen zu ermöglichen, und sich auf den Bereich Internet der Dinge (IoT) konzentriert. Im Gegensatz zu Blockchains ermöglicht der Tangle DAG von IOTA Benutzern die Validierung von Transaktionen durch die Bestätigung anderer, es gibt jedoch einen ultimativen Koordinatorknoten, um einen Konsens zu erzielen. Sie beabsichtigen (seit 2016), es abzuschaffen, aber inzwischen wird der Koordinator von der IOTA-Stiftung kontrolliert und das Netzwerk ist zentralisiert.

Dies wurde im Februar 2020 deutlich bewiesen, als das gesamte Netzwerk nach einem schwerwiegenden Verstoß vom Koordinator eingefroren wurde. Damals stahlen Hacker 8,5 Millionen des nativen IOTA-Tokens MIOTA direkt von Benutzern – damals etwa 2 Millionen US-Dollar. Der IOTA Trinity-Geldbörse erlitt einen Sicherheitsverstoß aufgrund der Abhängigkeit eines Drittanbieters von Moonpay (einem Krypto-Zahlungsdienst), der die Wallet-Seeds der Benutzer gefährdete, indem illegale Versionen des SDK von Moonpay von den Servern von Moonpay geladen wurden.

Der Cyberkriminelle wartete auf eine neue Trinity-Version, um zwischengespeicherte Dateien zu überschreiben und Spuren zu beseitigen. Die IOTA-Stiftung ergriff sofortige Maßnahmen, darunter die Einstellung des Koordinators und die Erstellung eines Vorfallmanagementplans mit öffentlichen Statusaktualisierungen. Der Angriff umfasste das Abfangen von DNS, Codeänderungen und den Missbrauch von API-Schlüsseln.

IOTA reagierte mit der Entwicklung von Migrationstools für betroffene Benutzer, der Verbesserung der Analysetools und der Zusammenarbeit mit Sicherheitsexperten und Strafverfolgungsbehörden. Trinity wird nicht mehr verwendet und MoonPay zusammengearbeitet mit ihnen, um das Problem zu beheben. Es handelte sich also wiederum nicht um eine verletzte DAG, sondern um einen damit verbundenen externen Dienst.

Hedera Hashgraph

Hedera Hashgraph ist ein Distributed-Ledger-System, das Directed Asymmetric Graphs (DAGs) für den Konsens nutzt. Bei Hedera Klatschprotokoll Knoten tauschen neue Informationen untereinander aus und erreichen durch mehrere Austauschrunden nach und nach einen Konsens. Dieser Verlauf der Ereignisse zum Informationsaustausch wird als Hashgraph dargestellt – eine Art DAG. Dieses System ist patentiert, aber nicht fehlerfrei.

Am 9. März 2023 wurde das Hedera Hashgraph-Netzwerk gegründet fiel zum Opfer zu einem Smart-Contract-Exploit, der zum Diebstahl verschiedener Token von dezentralen Börsen (DEXs) wie Pangolin, SaucerSwap und HeliSwap führte. Privatbenutzerkonten und Hedera-Wallets blieben davon unberührt, dem Angreifer gelang es jedoch, Token im Wert von fast 600.000 US-Dollar zu stehlen. Dazu gehörten DAI Stablecoin, Tether USD, USD Coin und Wrapped HBAR.

Es wurden rasch Maßnahmen ergriffen, um den Angriff einzudämmen. DEXs und Brücken arbeiteten zusammen, um den Token-Fluss über die Brücke innerhalb einer Stunde nach der Warnung vor dem Verstoß zu stoppen. Das Hedera-Team hat den Proxy-Zugriff auf das Hedera-Hauptnetz deaktiviert (dank der Zentralisierung des Netzwerks wie IOTA) und so einen weiteren Zugriff durch Benutzer und den Angreifer verhindert. Innerhalb von 41 Stunden nach Entdeckung der Schwachstelle wurde schnell ein Fix entwickelt, getestet und implementiert.

Im Gegensatz zu früheren Angriffen in anderen DAGs war dieses Mal tatsächlich das native System gefährdet, insbesondere seine Smart-Contract-Schicht. Das Team handelte schnell, um das Problem zu beheben.

Sui Network + Discord

Sui Network ist ein Distributed Ledger, das im Mai 2023 eingeführt wurde. Es unterteilt Transaktionen in einfache (wie das Senden von Geld) und komplexe (wie Online-Auktionen). Einfache Transaktionen erfordern keinen Konsens, aber komplexe Transaktionen Verwenden Sie Proof-of-Stake (PoS)-Validatoren und ein DAG-basiertes Konsensprotokoll mit hohem Durchsatz namens Bullshark.

Dieses Netzwerk hat bewiesen, dass Prävention gerade bei neuen Technologien wichtig ist. Kurz vor der Veröffentlichung im Mainnet entdeckte die Sicherheitsfirma CertiK einen kritischen Fehler im System. Der Fehler war ein Endlosschleifenfehler im Sui-Code, der durch einen böswilligen Smart Contract ausgelöst werden konnte. Diese Art von Angriff, bekannt als „HamsterWheel-Angriff“, führt nicht zum Absturz von Knoten, sondern hält sie endlos am Laufen, ohne neue Transaktionen zu verarbeiten, wodurch das Netzwerk funktionsunfähig wird.

Einmal der Fehler wurde identifiziert Die Sui-Entwickler implementierten schnell Korrekturen, um die Auswirkungen abzumildern, und CertiK bestätigte, dass diese Korrekturen bereits bereitgestellt wurden. Die Sui Foundation gewährte CertiK 500.000 US-Dollar als Bug-Bounty. Dies war jedoch nicht die einzige Bedrohung, der diese Plattform ausgesetzt war.

Noch vor dem potenziellen Fehler wurde im August 2022 der Discord-Server von Mysten Labs (Sui-Ersteller) gehackt. Die Ankündigung wurde geteilt auf Twitter , wo sich mehrere Benutzer darüber beschwerten, dass sie aufgrund der Veranstaltung Geld verloren hatten. Bei dem Vorfall teilten Hacker einen Link zu einem angeblichen Luftabwurf auf dem Ankündigungskanal des Servers. Seitdem haben sie ihre Sicherheits- und Verifizierungsprozesse im Chat verstärkt.

Lawine + DeFi

Avalanche ist ein weiteres Kryptoprotokoll, das DAG-Strukturen anstelle von Blockchains verwendet. Es umfaßt verschiedene Ketten : die Vertragskette (C-Chain) für Smart Contracts, die Exchange Chain (X-Chain) für schnelle Geldtransfers mit niedrigen Gebühren und die Plattformkette (P-Chain) für Einsätze und Belohnungen. Insbesondere die X-Chain nutzt die DAG-Technologie, um einen hohen Durchsatz und eine schnelle Transaktionsendgültigkeit zu erreichen.

Mehrere auf Avalanche basierende DeFi-Protokolle waren im Laufe der Jahre schweren Angriffen ausgesetzt. Der erste aufsehenerregende Hack richtete sich gegen die Kreditplattform Vee Finance im September 2021. Der Angriff erfolgte, weil sie sich für ihre Preisinformationen auf eine einzige Quelle (Oracle) verließen und diese Quelle Dezimalstellen nicht richtig verarbeitete. Dies ermöglichte es dem Angreifer, Preise zu manipulieren und Geschäfte mit Paaren auszuführen, die eigentlich nicht gehandelt werden sollten.

Dies führte zur unbefugten Abhebung von 8804,7 ETH und 213,93 BTC (damals etwa 36 Millionen US-Dollar). Die Token wurden anschließend auf Ethereum übertragen und verbleiben im Besitz des Angreifers. Vee Finance hat Plattformverträge und damit verbundene Funktionen ausgesetzt (was zeigte, dass die Plattform nicht so dezentralisiert war, wie der Begriff DeFi vermuten lässt) und verfolgt aktiv Bemühungen zur Wiederherstellung von Vermögenswerten. Dies war jedoch noch nicht alles für Avalanche. Weitere Angriffe würden mit der Zeit kommen.

Im Februar 2023 wurden erneut zwei weitere DeFi-Protokolle gehackt: der Multi-Chain-Aggregator Dexible und der DEX Platypus. Im ersten Fall Der Angreifer nutzte die SelfSwap-Funktion der App, um Kryptowährungen im Wert von über 2 Millionen US-Dollar von Benutzern zu übertragen, die der App den Zugriff auf ihre Token gestattet hatten. Dexible pausierte seine Verträge und empfahl den Benutzern, Token-Autorisierungen zu widerrufen.

Im zweiten Fall Platypus verloren 8,5 Millionen US-Dollar bei einem Blitzkreditangriff. Der Hacker nutzte die Asset-Verträge des Protokolls aus, indem er einen bösartigen Smart Contract mit ungeprüftem Quellcode nutzte. Zu den drei Fällen können wir nun sagen, dass den DeFi-Entwicklern von Anfang an einige Fehler entgangen sind, was zum Verlust von Geldern geführt hat.

Schützen Sie sich vor DAG-Risiken

Für durchschnittliche Benutzer von Directed Asymmetric Graph (DAG)-Plattformen können mehrere wichtige Sicherheitsmaßnahmen und Schutzmaßnahmen angewendet werden, um Risiken zu mindern:

• Nutzen Sie seriöse Dienste: Bevor Sie Dienste Dritter wie Wallets oder Börsen nutzen, recherchieren Sie, um sicherzustellen, dass diese einen guten Ruf in puncto Sicherheit haben. Vermeiden Sie es außerdem, große Mengen an Kryptowährungen über einen längeren Zeitraum an Börsen zu belassen.
• Sichern Sie Ihre privaten Schlüssel: Wenn Sie Wallets haben, die Ihnen die Kontrolle über Ihre privaten Schlüssel geben, verwenden Sie diese. Das bedeutet, dass Sie die direkte Kontrolle über Ihr Geld haben. Cold Wallets bieten eine zusätzliche Sicherheitsebene.

• Verwenden Sie starke Passwörter und aktivieren Sie 2FA: Verwenden Sie beim Umgang mit Konten im Zusammenhang mit Kryptowährungen starke, eindeutige Passwörter. Erwägen Sie die Verwendung eines seriösen Passwort-Managers, um sie zu schützen. Aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung (2FA) für Ihre Konten.

  
  

• Bleiben Sie auf dem Laufenden: Bleiben Sie über die neuesten Nachrichten und Entwicklungen bezüglich der von Ihnen verwendeten DAG-Plattform auf dem Laufenden. Das Verständnis potenzieller Schwachstellen kann Ihnen dabei helfen, vorbeugende Maßnahmen zu ergreifen.
• Vorsicht vor Phishing-Betrug: Seien Sie vorsichtig bei Phishing-E-Mails, -Nachrichten oder -Websites, die darauf abzielen, Ihre Anmeldeinformationen oder privaten Schlüssel zu stehlen. Überprüfen Sie URLs und Quellen immer noch einmal.

• Überprüfen Sie regelmäßig Berechtigungen: Überprüfen Sie bei Anwendungen oder Diensten, die eine Berechtigung zum Zugriff auf Ihr Wallet oder Ihre Token anfordern, diese Berechtigungen und widerrufen Sie sie, wenn sie nicht mehr benötigt werden.

• Diversifizieren Sie Ihre Investitionen: Vermeiden Sie es, alle Ihre Vermögenswerte in einer einzigen Kryptowährung oder Plattform anzulegen. Diversifikation kann zur Risikostreuung beitragen.

  
  

Bisher hat Obyte (ebenfalls eine Krypto-DAG-Plattform) keinen aufsehenerregenden Hack auf sein System oder zugehörige Dienste erlitten. Das bedeutet jedoch nicht, dass sie gegen Angriffe immun sind. Ein Bug-Bounty-Programm ist auf Immunefi aktiv und bietet hohe Belohnungen für erfahrene Entwickler. Es ist jedoch immer wichtig, das anzuwenden beste Sicherheitsmaßnahmen auf Ihrem eigenen Wallet und recherchieren Sie für jede Plattform selbst!

Ausgewähltes Vektorbild von Freepik