Die neue Generation des Internets, das Web3 bietet viele spannende Möglichkeiten. Doch angesichts wiederholter Hacks in Millionenhöhe ist klar, dass Web3 ein Sicherheitsproblem hat. Welche aktuellen Sicherheitsfehler bei Web3-Projekten gemacht werden, weiß Shahar Madar, Head of Security bei Fireblocks, und zeigt nachfolgend Lösungsansätze auf, um solche Fehler künftig besser zu vermeiden.
Angesichts wiederholter Hacks in Millionenhöhe ist klar, dass Web3 ein Sicherheitsproblem hat. Im Web2 können Hacker Daten oder Informationen stehlen. Im Web3 haben es Angreifer ausschließlich aufs Geld abgesehen. Sicherlich hat der hohe Wert bestimmter Kryptowährungen zeitweise weitere Hacker angezogen — beim berüchtigten Ronin-Bridge-Hack erbeuteten die Täter bei nur zwei Transaktionen über 600 Millionen US-Dollar. Eine robuste Sicherheitspolitik sollte dies automatisch blockieren, doch schlechte Sicherheitspraktiken sind der Kern dieses Problems.
Die Exponiertheit von Web3 führt dazu, dass viele Projekte zu schnell wachsen und Sicherheitsmaßnahmen in den Hintergrund geraten. Projektmanager denken nicht über Cybersicherheit nach, wenn sie mit einem Team von nur ein paar Personen beginnen, aber dann zu schnell zu groß werden und es zu spät und kompliziert ist, im Nachhinein über Sicherheit nachzudenken.
Welche aktuellen Sicherheitsfehler bei Web3-Projekten gemacht werden, weiß Shahar Madar. Der Head of Security bei Fireblocks, einem Technologie- und Infrastrukturanbieter im Bereich von Digital Assets, zeigt nachfolgend Lösungsansätze auf, um solche Fehler zu vermeiden oder zu beheben:
- Den Zugang einschränken – Es liegt in der Natur von Startups, dass jeder innerhalb eines Teams Zugang zu allen Aspekten des Geschäfts hat. Das bedeutet jedoch, dass Personen, die man eventuell noch nicht lange kennt, leicht in der Lage sind, große Geldsummen zu stehlen. Als erste Sicherheitsmaßnahme sollten daher individuelle Zugangsberechtigungen erteilt werden. Beispielsweise kann nur das Finanzteam Abhebungen vornehmen, nur das Ingenieurteam Codes ändern, nur das Sicherheitsteam kann Verträge und Vorgänge unterbrechen, wenn etwas auftaucht.
- Bewährte Praktiken für das Screening einsetzen – Einige Nationalstaaten, darunter Nordkorea und der Iran, schleusen Personen in bestimmte Projekte ein, um gezielt Angriffe zu verüben. Daher sollten die Projekte damit beginnen, bewährte Praktiken für das Screening und die Überprüfung von Mitarbeitern einzusetzen, und man sollte sich bewusst machen, dass die Mitarbeiter Zugang zu vielen Kontrollen haben. In der Kryptowirtschaft ist dies jedoch schwieriger, da manche Leute beispielsweise anonym arbeiten. Auch gründlichere Vorstellungsgespräche und das Einholen von Referenzen können helfen.
- Cybersicherheitsexperten einbeziehen – Web3-Projekte müssen auch frühzeitig jemanden mit Erfahrung im Bereich Cybersicherheit an Bord holen – idealerweise jemand, der in der Lage ist, wie ein Hacker zu denken. Denn wenn man die Motive, Erwartungen, Verhaltensweisen und Ziele böswilliger Akteure versteht, kann man sich besser vor potenziellen Cyberangriffen schützen.
- Die Sicherheit als einen mehrschichtigen Verteidigungsansatz betrachten – Die Kryptosicherheit konzentriert sich oft zu sehr auf private Schlüssel, aber es geht um viel mehr als das. Viele Angriffe werden als Diebstahl von privaten Schlüsseln bezeichnet, sind es aber nicht – Hacker können leicht auf die Plattform selbst zugreifen. Folgende drei Grundsätze bieten eine durchgängige Sicherheit:
- Es für böswillige Akteure nahezu unmöglich machen, an private Schlüssel zu gelangen.
- Vom Kunden angepasste Checkpoints, die unter anderm Richtlinien, Arbeitsabläufe, Genehmigungsverfahren, Mehrfaktoren-Authentifizierung und -Genehmigungen, Zero Trust umfassen. All dies hängt von den Schwellenwerten, dem Risiko und der Höhe des zu sichernden Geldbetrags ab.
- Garantie, dass der Hacker das System nicht selbst manipulieren und die vom Kunden eingerichteten Checkpoints aushebeln kann.
In einer Zeit, in der DeFi-Hacks in noch nie dagewesenen Ausmaß auftreten, ist eine robuste Cybersicherheitsstruktur entscheidend, um den Übergang vom Web2 zum Web3 fortzusetzen und Sicherheitsverletzungen in Web3-Projekten vorzubeugen. Bei der Schaffung einer robusten Cyber-Sicherheitspolitik sollten klare Richtlinien definiert werden, sowie Themen wie Mitarbeiterschulung, Cybersicherheitsprioritäten und Fokussierung, Überwachung und Aktualisierung bedacht werden.