Wieder 200 Millionen US-Dollar gestohlen Das Milliarden-Dollar-Sicherheitsproblem der Blockchain-Brücken

Erst Wormhole und Axie Infinity, nun Nomad: Hacker stehlen Milliarden durch Angriffe auf Blockchain-Brücken. Deshalb sind sie so verwundbar.

Giacomo Maihofer
Teilen
Zerbrochene Brücke

Beitragsbild: Shutterstock

| Lukrativ und verwundbar. Blockchain-Brücken sind gegenwärtig die Sicherheitslücke Nummer 1.

Fast 200 Millionen US-Dollar stehlen Hacker am Montag, den 1. August 2022, vom Projekt Nomad. Und wieder war das Ziel der Cyberkriminellen: die Brücke der Blockchain. Der Fall wirft ein Schlaglicht auf ein gravierendes Sicherheitsproblem der Branche. Denn sogenannte Brücken sind die perfekten Ziele für Hacker – und immer verbreiteter im DeFi-Sektor. Seit Monaten warnen Experten vor der Gefahr, auch gegenüber BTC-ECHO. Dieses Jahr wurden laut Chainalysis bereits über zwei Milliarde US-Dollar auf diese Weise entwendet.

Der bekannteste Fall traf die Branche im März 2022: Axie Infinity. 625 Millionen US-Dollar stahlen Hacker, in dem sie die Brücke des beliebten Play-To-Earn-Games angriffen. Zuvor traf es im Februar 2022 Wormhole – für 320 Millionen US-Dollar. Über 70 Brücken im DeFi-Bereich existieren laut dem Sicherheitsexperten Sebastian Banescu, CEO von Quantstamp Deutschland, einer führenden Blockchain-Sicherheitsfirma. Der Grund für ihre Popularität: Brücken lösen ein fundamentales Problem von Blockchains. Doch das zu einem hohen Preis.

Ein lukratives Ziel für Cyberkriminelle

Beliebte Kryptowährungen wie Bitcoin (BTC) oder Ethereum (ETH) basieren auf eigenständigen Blockchains mit unterschiedlichen Regeln und Programmiersprachen. Eigentlich können sie nicht direkt miteinander interagieren. Genau hier kommen Brücken ins Spiel. Sie erlauben eine Kommunikation zwischen nativen Blockchains, mithilfe unterschiedlicher Tricks.

Wenn jemand beispielsweise Solana braucht, um sich für einen Dienst anzumelden, aber nur Ethereum besitzt, kann er dieses in eine Brücke geben, Solana bekommen und am Ende einfach wieder zurücktauschen. Nutzer sperren dabei ihre Kryptowährung auf einer Blockchain in einen Smart Contract. Anschließend werden diese Token in einem anderen Netzwerk neu herausgegeben (gemintet).

Gleichzeitig bieten Brücken besonders viele Angriffsflächen im Vergleich zu klassischen Smart Contracts auf einer Blockchain. “Die Komplexität der Interaktion zwischen den Blockchains kreiert ein sehr fragiles System, das extrem schwer zu schützen ist”, so Sebastian Banescu von Quantstamp. “Ein Hacker muss nur eine kleine Lücke finden, um Geld zu stehlen.”

“Brücken sind für Cyberkriminelle ein besonders lukratives Ziel geworden, weil durch sie so enorme Geldsummen fließen”, erklärt Adrian Hetman von Immunefi, einer führenden Blockchain-Sicherheitsfirma. Er ist sicher: “Wir werden mehr dieser Attacken sehen.”

Am drastischsten warnte Vitalik Buterin, der Gründer von Ethereum, im Januar 2022 in einem Blogpost vor dem Sicherheitsrisiko, das von Brücken ausgeht. Langfristig könnten sie aus seiner Sicht das gesamte Krypto-Ökosystem gefährden:

Wenn hundert Blockchains mit eigenen dApps existieren und diese durch Brücken voneinander abhängig werden, dann reicht eine Attacke auf eine dieser Chains, um das ganze System zu infizieren.

Vitalik Buterin

Ein erster Durchbruch zur Lösung dieses Problems gelang zuletzt Polkadot (DOT), dem Projekt von Ethereum-Mitgründer Gavin Wood. Im Mai 2022 veröffentlichte die Plattform ein Update namens XMC, das den sicheren und schnellen Austausch unter Blockchains ermöglicht – ganz ohne Brücken, über sogenannte Parachains. Alle Informationen dazu findet ihr hier.

(Anmerkung: In einer älteren Version dieses Artikels war von einem Gesamtschaden von über einer Milliarde US-Dollar die Rede. Die Studie von Chainalysis erschien einen Tag nach Veröffentlichung. Wir haben die Zahlen ergänzt.)