Cyberangriffe sind auch im Blockchain-Umfeld ein reales Risiko. Wie groß das Ausmaß sein kann, zeigt der Ronin Bridge Hack: Bei dieser 51%-Attacke wurden Crypto Assets im Wert von mehr als 600 Millionen US-Dollar gestohlen. Blockchain-Provider sind zum Handeln aufgefordert – doch wie genau lassen sich Schwachstellen und Sicherheitslücken in den digitalen Infrastrukturen identifizieren, schließen und damit Risiken minimieren? Darüber haben wir mit unserem Experten Julian Sauer, Software Developer für Blockchain/DLT bei der DGC, gesprochen.
51%-Attacke: Blockchains gelten als besonders sicher – warum sollten sie dennoch kontinuierlich überwacht werden?
Da die globalen Transferaktivitäten und Prozesse einer digitalen Blockchain auf Millionen von Computern dezentral organisiert sind und ohne Instanzen wie Banken ablaufen, gilt die Technologie tatsächlich als besonders fälschungs- und manipulationssicher. Aber selbst hier gibt es Schwachstellen und Angriffsvektoren, über die sich Cyberkriminelle Zugriff auf Finanzströme und vertrauliche Daten verschaffen. Zumal die Innovationsprojekte oft unter Druck eingeführt werden, um möglichst schnell von dem Nutzungs- und Transformationspotenzial zu profitieren und sich einen Wettbewerbsvorteil zu verschaffen. Dabei ist es enorm wichtig, das Thema Blockchain Security von Anfang an mitzudenken. Bei der Identifizierung der aktuellen Sicherheitslage und notwendigen weiteren Absicherung gilt es zwischen zwei Blockchain-Varianten zu unterscheiden: Public Blockchains und Enterprise Blockchains:
Public Blockchain
Öffentliche Blockchains wie Bitcoin oder Ethereum verfügen über eine große Teilnehmeranzahl und über bis zu 400.000 Validator Nodes, die jeweils eine hohe Anzahl von Cryptowährungen managen und aufgrund ihrer Überwachungsfunktion stets online sein müssen. Bei Ethereum beispielsweise verwaltet jede Validator Node Kryptowährung im Wert von derzeit rund 80.000 US-Dollar. Damit erweisen sich die Validierungsknoten als ideales Angriffsziel für Hacker. Public-Blockchain-Betreiber sollten bestrebt sein, für hohe Sicherheitsstandards zu sorgen: Diese gilt es aufgrund Infrastrukturgröße vor allem punktuell zu optimieren.
Enterprise Blockchain
Im Vergleich dazu bietet eine private Enterprise Blockchain durch ihren beschränkten Teilnehmerkreis per se mehr Sicherheit: Jeder Betreiber eines dazugehörigen Netzwerkknotens (Node) muss offiziell in das Netzwerk aufgenommen werden – dadurch ist die Sichtbarkeit der geteilten Daten stark eingeschränkt. Provider können das Maß an Sicherheit zudem dadurch gewährleisten, dass die Sicherheitslage mit Hilfe eines geeigneten IT-Security Tools wie cyberscan.io gezielt über die wenigen Knotenpunkte hinweg untersucht und optimiert werden kann. So wird das gesamte Netzwerk effektiv gegen äußerliche Angriffe abgesichert.
Ein Rundumschutz ist deshalb so wichtig, weil die Nodes einer Enterprise Blockchain meist direkt mit internen (Zahlungs-) Systemen ihrer Betreiber verbunden sind. Damit stellen sie einen empfindlichen Angriffspunkt für Cyberangriffe dar. Dieser realen Gefahr sollten Blockchain-Provider mit einem durchdachten Cybersicherheitskonzept begegnen.
Was genau ist eine 51%-Attacke?
Unter dem Begriff 51-Prozent-Attacke verstehen Experten eine Angriffsvariante auf die Blockchain, bei der sich die angreifende Hackergruppe die Kontrolle über die Mehrheit der dort befindlichen Validator Nodes verschafft. Das kann durch die unbemerkte Übernahme dieser Validierungsknoten geschehen, die als wichtige Sicherheitsinstanz innerhalb einer Blockchain große Mengen an Crypto Assets wahren. So gelingt es den Angreifern, den Konsensus bzw. Beschluss der gesamten Blockchain zu verändern. Sie übernehmen die Funktion der gekaperten Validator Nodes und entscheiden eigenmächtig, welche Transaktionen auf der Blockchain valide sind und welche nicht. So ist es im Zuge einer 51-Prozent-Attacke möglich, Finanztransaktionen umzuleiten und andere vertrauliche Prozesse wie Smart Contracts zu eigenen Gunsten zu manipulieren – mit massiven Folgen für betroffene Unternehmen und Blockchain-Betreiber.
Der Ronin Bridge Hack zeigt, wie kostspielig eine 51%Attacke sein kann – was ist passiert?
Im Falle des Ronin Bridge Hacks, der am 23. März 2022 stattfand und zu den bislang größten Blockchain-Attacken zählt, wurden fünf der insgesamt neun Validator Nodes der Ronin Bridge gehackt. So gelang es den Cyberkriminellen, die Mehrheit der Signaturen zu übernehmen und große Mengen von Kryptowährungen im Gesamtwert von mehr als 600 Millionen US-Dollar zu entwenden.
Genauer gesagt, erfolgte der Angriff auf jene Validierungsknotenpunkte, die eine Brücke (Bridge) zwischen dem Ronin-Netzwerk und dem Ethereum-Netzwerk bilden, um Crypto Assets sicher umzuwandeln und valide auf die andere Blockchain zu übertragen. An dieser Stelle leitete die Hackergruppe in zwei Transaktionen 173.600 Ether und 25,5 Millionen USDC-Token um, die umgerechnet die genannte Summe in US-Dollar ergeben.
Der Verlust fiel erst sechs Tage später auf – was verdeutlicht, dass zum Angriffszeitpunkt keinerlei Cyber Security wie ein Schwachstellen-Monitoring zum Tragen kam, das Auffälligkeiten frühzeitig gemeldet hätte. Der Netzwerkbetreiber reagierte im Nachgang mit der Veröffentlichung einer Sicherheits-Roadmap, in der die Schritte zur Erhöhung der Cybersicherheit dargelegt wurden. Dennoch wird der Imageschaden groß sein – ganz zu schweigen von der reinen Schadenssumme.
Wie genau läuft ein Cyberangriff auf der Blockchain ab?
Ob Blockchain oder unternehmensinterne IT-Infrastruktur: Cyberangriffe laufen generell in vier Phasen ab. Im ersten Schritt, der Exploration Phase , sammelt der Angreifer Informationen und betrachtet Systeme und Infrastrukturen von außen– mit dem Ziel, vorhandene Schwachstellen und Sicherheitslücken auszumachen. Wurde ein vielversprechendes Angriffsziel identifiziert, versucht der Hacker in der folgenden Penetration Phase die Schwachstellen unter Verwendung technischer Tools auszunutzen und in das Netzwerk vorzudringen. Ist dieser Versuch erfolgreich, wird in der dritten Breakthrough Phase nach Werten – wie Crypto Assets oder sensiblen Unternehmensdaten– gesucht. In der finalen Execution Phase führt der Hacker dann ein Skript aus, das Daten verschlüsselt oder im Falle eines Blockchain-Angriffes Kryptowährungen entwendet und auf ein anderes Wallet transferiert. Dabei werden die gestohlenen Crypto Assets meist umgehend durch ein Protokoll „gewaschen“, um die Transaktionswege zu verschleiern. Das ist auch der Grund, weshalb sich Cyberangriffe nur schwer nachvollziehen lassen.
Wie vermeidet die DGC einen Cyberangriff wie eine 51%-Attacke in vier Schritten?
Unternehmen agieren idealerweise analog zu dem vierphasigen Vorgehen der Cyberkriminellen, um Sicherheitslücken proaktiv zu schließen und damit die Gefahr von Sicherheitsvorfällen wie eine 51%-Attacke zu minimieren. Wir bei der DGC unterstützen dabei von Anfang an: Zunächst scannen wir mithilfe unseres IT-Security Tools cybercan.io Systeme und Infrastrukturen auf Schwachstellen, um zu identifizieren, wo mögliche Angriffspunkte liegen. Hierbei ermitteln wir auch die Kritikalität der Sicherheitslücken, um ein priorisiertes Vorgehen bei der Behebung festzulegen. Im zweiten Schritt schützen wir die Daten unserer Kunden – im Hinblick auf Blockchains insbesondere Crypto Assets und vertrauliche Daten – und unterstützen dabei, Schwachstellen schnell und umfassend zu schließen.
Weiterhin verschaffen sich unsere IT-Sicherheitsexperten im Cyber Defense Operation Center (CDOC) durch ein kontinuierliches Monitoring der gesamten Infrastruktur einen Überblick über die Sicherheitslage. So fallen ungewöhnliche Aktivitäten, wie sie etwa in der Penetrationsphase des angreifenden Hackers auftreten, umgehend auf. Diese Informationen geben wir rund um die Uhr weiter, damit unsere Kunden Schritte zur Schadenseindämmung oder -vermeidung einleiten können. Bei Blockchain-Infrastrukturen ist es beispielweise möglich, Smart Contracts zu pausieren, um jegliche Transaktionen zu verhindern, bis die Sicherheitslücke geschlossen wurde.
Ergänzend dazu zahlt es sich für Blockchain-Provider aus, gängige Angriffsszenarien wie DDoS-Attacken im Rahmen von Pentests zu simulieren. Hierbei überflutet der Angreifer ein Netzwerk mit Anfragen und Datenverkehr, um es lahmzulegen und Lösegeld von dem Betreiber zu erpressen oder die Reputation der Blockchain zu schaden. Unsere Pentester spielen diese Angriffe gemeinsam mit den Kunden durch, um systemstabilisierende Maßnahmen zu etablieren.
Ob Public oder Enterprise Blockchain: Provider sind bei der Optimierung bestehender Sicherheitsstandards nicht auf sich allein gestellt, sondern können auf das Know-how und die Tools von erfahrenen IT-Security-Dienstleistern wie der DGC zurückgreifen.
Sie möchten mehr darüber erfahren, wie Sie die Sicherheitsstandards Ihrer Blockchain-Infrastruktur erhöhen? Unsere Experten beraten Sie gerne – kontaktieren Sie uns gleich.
