Die französische Niederlassung des Wirtschaftsgiganten KPMG hat einen Bericht veröffentlicht, in dem sie die Bedeutung hervorhebt, die der Sicherheit in unserem Ökosystem beigemessen werden muss. Sie betont insbesondere die Smart Contract Audits und die Notwendigkeit, mehr Experten einzustellen, um dem Mangel in der Branche entgegenzuwirken.
KPMG betont die Bedeutung von Sicherheit
KPMG, die weltweit führende Wirtschaftsprüfungs- und Beratungsgesellschaft, legt einen Bericht vor, in dem sie die Bedeutung hervorhebt, die der Sicherheit von Web 3.0-Anwendungen beigemessen werden muss. Während die wichtigsten öffentlichen Blockchains so konstruiert sind, dass ein Frontalangriff schwierig ist, ist dies bei den Anwendungen, die auf sie aufgesetzt werden, nicht der Fall.
Diese Feststellung spiegelt übrigens eine Überlegung wider, die der Gründer von Ethereum (ETH), Vitalik Buterin, im vergangenen Monat auf Twitter geteilt hat. Er sagte, er wünsche sich, dass Ethereum selbst bei den schlimmsten Bedrohungen belastbar sei, während die darauf aufgebauten Anwendungen Schwachstellen aufweisen, die weit von den Standards entfernt sind, die er sich erhofft:
Contradiction between my desire to become Ethereum become an L1 that can survive truly extreme circumstances and my realization that many key apps on Ethereum already rely on far more fragile security assumptions than anything we consider acceptable in Ethereum protocol design.
– vitalik.eth (@VitalikButerin) May 17, 2022
Die Verwundbarkeit von Smart Contracts ist in der Tat ein lukrativer Angriffswinkel für Hacker. Dies gilt umso mehr, als theoretisch jeder seine eigene dApp in Blockchains wie Ethereum einsetzen kann. Mit all den möglichen Problemen, die das mit sich bringt.
KPMG weist vor allem auf diese Sicherheitslücken in Smart Contracts hin. Das Unternehmen weist darauf hin, dass im Vergleich zum Vorjahr im ersten Quartal 2022 die aus dezentralen Finanzprotokollen (DeFi) gestohlenen Gelder um 692 % gestiegen sind und Verluste in Höhe von 1,2 Milliarden US-Dollar verursacht haben.
Vor einigen Wochen hatten wir aufgrund eines Berichts von Chainalysis ebenfalls ähnliche Beträge aufgedeckt. Diese Zahlen sind hauptsächlich auf die Hacks von Ronin und Wormhole zurückzuführen.
Ein Mangel an Prüfungsexperten
Die Feststellung von KPMG ist eindeutig: Von den fünf größten Hacks der DeFi betrafen vier ungeprüfte Smart Contracts.
Weltweit schätzt das Unternehmen die Zahl der Experten, die sich auf die Sicherheit von Web3-Anwendungen spezialisiert haben, auf 1.000 bis 1.500. Parallel dazu werden in dem Bericht 18.000 aktive Entwickler pro Monat angeführt. Auch wenn es schwierig ist, sich auf genaue Zahlen festzulegen, so ist doch klar, dass auf zehn Entwickler weniger als eine Person kommt, die ein Audit durchführen kann.
Laut Immunify waren Anfang 2022 jedoch 10,6 % der gesamten Kryptowährungskapitalisierung in DeFi-Protokollen hinterlegt. Wenn man sich heute auf Defi Llama bezieht, findet man eine relativ ähnliche Zahl, nämlich rund 8 %. Diese beachtliche Zahl verdeutlicht die Bedeutung, die der Sicherheit beigemessen werden muss.
Anzahl der Sicherheitsexperten weltweit laut KPMG
Die obige Tabelle zeigt die geografische Verteilung der Web3-Sicherheitsexperten. Wir sehen, dass die USA und China den Markt dominieren, sowie in geringerem Maße Indien.
Diese Zahlen sind angesichts der Ambitionen unseres Ökosystems noch zu gering. Außerdem ist die Mehrheit der spezialisierten Unternehmen noch jung, da diese erst ab 2017 gegründet wurden.
Laut Trail of Bits könnten 78 % der kritischsten Schwachstellen mit einem automatisierten Tool gefunden werden. Auch wenn das Unternehmen gleichzeitig darauf hinweist, dass 50 % aller dieser Schwachstellen mit demselben Tool unbemerkt bleiben könnten. Die Notwendigkeit, Talente zu finden und auszubilden, ist daher verständlich.
Die anderen von KPMG festgestellten wichtigen Sicherheitsaspekte
Experte zu werden braucht Zeit, und selbst dann gibt es keine Garantie dafür, dass alle Schwachstellen einer Anwendung gefunden werden können. Dennoch sollten Audits zu einem Standard in der Branche werden, und es ist davon auszugehen, dass Sicherheit in Zukunft ein Wachstumssektor sein wird.
Neben den Smart Contracts betont KPMG auch alle Elemente, die über eine Layer-1-Blockchain gelegt werden. Auch Sidechains und Layer-2-Blocks wie ZK und Optimistic Rollups können Angriffsvektoren darstellen. Ebenso wie Phishing-Angriffe im Allgemeinen.
Sicherheit ist also eine der größten Herausforderungen für unser Ökosystem, wenn es darum geht, es weiter zu demokratisieren. Dies ist ein normaler Prozess bei jeder neuen Technologie. Aber wie in allen Bereichen zieht Geld manchmal Menschen mit schlechten Absichten an, was dann die besondere Aufmerksamkeit aller Akteure in diesem Bereich erfordert.
