Poly Network Hack: Der Silberstreifen am Horizont
![](https://www.wisdomtree.eu/-/media/eu-media-files/blog/refresh-images/technology/cybersecurity/cryptocurrencies_18_1151x564.jpg?h=564&iar=0&w=1151&sc_lang=de-lu&hash=9C9C338591BF0CDAAB7AB8AA13FA9963)
Am 10. August stellte das relativ junge Poly Network fest, dass viele „gesperrte“ Geldmittel verschwunden waren. Durch Ausnutzung einer Schwachstelle in den Smart Contracts, die zur Verwaltung von Poly Network verwendet werden, gelang es dem Täter, Kryptowährungen im Gegenwert von 600 Millionen US-Dollar umzuleiten. Doch dann zahlte er oder sie das Geld zurück....
Diese Wendung der Ereignisse entsprach charakteristischerweise dem oft surrealen Geschehen, das man erwartet, wenn man lange genug im Bereich der digitalen Assets arbeitet. Etwas kontraintuitiv hatten die Ereignisse auch etwas Gutes: Sie weisen auf ein wachsendes Sicherheitsniveau im breiteren digitalen Asset-Ökosystem hin, das Wirkung auf Vermögensverwalter hat, die bereits in diesem Bereich tätig sind oder in diesem tätig sein möchten.
Das Poly Network ist eine der neueren „de-fi“-Plattformen (dezentralisierte Finanzen), die in diesem Jahr auf den Markt gekommen sind. Die junge Plattform veröffentlichte ihren ersten Code Ende 2020 auf Github und schaffte es, bis zu 1 Milliarde US-Dollar an „gesperrten“ Fonds anzuziehen, um ihre übergreifende Plattform zu betreiben.
Als die Betreiber von Poly Network im August den Diebstahl eines großen Geldbetrags entdeckten, forderten sie in den sozialen Medien zur Rückgabe der digitalen Assets mit Hinweis auf die Folgen des Diebstahls durch die Strafverfolgungsbehörden auf. Kurz darauf änderten die Betreiber ihren Ton und forderten „Mr White Hat“ erneut öffentlich auf, die Vermögenswerte zurückzugeben und boten ihm oder ihr eine Stelle als „Chief Security Advisor“ sowie die Zahlung einer als „Bug Bounty“ bezeichneten Belohnung in Höhe von 50.000 USD an. Etwa einen Tag später wurde der Geldbetrag zurückgegeben.
Warum würde jemand solche Summen wieder zurückgeben?
In einem Q&A, das kurz nach der Rückgabe der Vermögenswerte veröffentlicht wurde, erklärte der Täter, dass er / sie Poly Network „zum Spaß“ gehackt habe und nicht die Absicht hatte, die gestohlenen Vermögenswerte zu behalten. Kann dies der Wahrheit entsprechen?
Historisch gesehen bestand der bevorzugte Weg für Diebe digitaler Vermögenswerte darin, diese über Vermittlungsinstanzen wie Börsen zu waschen. Dies ist nicht mehr der Fall. Seit vielen Jahren implementieren die meisten großen Börsen KYC/AML-ID-Anforderungen1 für Benutzer, die große Mengen an Vermögenswerten handeln wollen. In letzter Zeit hat sich diese Position geändert – ein Beispiel ist Binance2, die jetzt von allen Benutzern verlangt, die ID-Prüfungen zu durchlaufen. Es ist nicht mehr so einfach, den Weg digitaler Assets über Börsen zu verschleiern, was deren Diebstahl von vornherein unwahrscheinlicher macht.
Die schiere Menge der gestohlenen Vermögenswerte war viel zu auffällig, um im Verborgenen zu bleiben oder der Aufmerksamkeit zu entgehen. Darüber hinaus hat sich die Verfolgung des Weges digitaler Assets zu einem eigenen Handwerk entwickelt.. Die Empfängeradressen wurden in den Poly-Hack hartcodiert, was bedeutet, dass die Gelder verfolgt werden konnten, bis sie schließlich eine Fiat-Off-Rampe oder eine Börse erreichten. Warum sollte man die Vermögenswerte behalten, wenn es keine Möglichkeit gibt, sie umzuwandeln?
Eine letzte Erkenntnis: Der Bereich der digitalen Assets gehört zu den feindlichsten aller Softwareumgebungen. Jeder Fehler, der in geschäftskritischer Software, die eine Betriebszeit von 100 % impliziert, vorhanden ist, wird schließlich entdeckt, wenn der Preis für diese Entdeckung so hoch ist. Es ist nicht ungewöhnlich, dass auf einer relativ jungen Plattform, die sich noch nicht wie andere Plattformen jahrelang bewährt hat, ein kritischer Fehler gefunden wird. Erwartungsgemäß schlagen Angreifer aufgrund dieser fehlenden Erprobtheit eher auf einer jüngeren Plattform als auf den größeren und älteren De-Fi-Plattformen zu. Dies hat Auswirkungen darauf, wie man ein Portfolio digitaler Assets risikoadjustiert zuordnen kann – indem man sich für die Zuordnung zu den älteren und sichereren Plattformen entscheidet, auf denen solche Angriffe weniger wahrscheinlich sind.
Vielversprechende Anzeichen für ein reiferes, sichereres Ökosystem
Hacks für den Austausch digitaler Vermögenswerte, Protokolle und „intelligente Verträge“ sind nicht neu. Neu sind die entstandenen Gegenmaßnahmen, um die potenziell entstehenden Verluste aus den Cybersicherheitsvorfällen zu bewältigen und zu begrenzen. Dieser Raum reift und wird im Laufe der Zeit immer sicherer, insbesondere da bestimmte Akteure einer stärkeren regulatorischen Kontrolle unterliegen. All das sind gute Nachrichten – ein Silberstreif am Horizont – da der Raum weniger dem „Willden Westen“ entspricht und die Art und das Ausmaß der Risiken, die mit einer Anlage in diese Anlageklasse verbunden sind, abnehmen.
Quelle
1 Anti money laundering (AML); Know your client (KYC)
2 Binance is a cryptocurrency exchange which is currently the largest exchange in the world in terms of daily trading volume of cryptocurrencies
Zudem könnte Sie folgende Lektüre interessieren...
+ Bitcoin & Krypto: Betrug oder die Zukunft?