Digitale Finanzprodukte rücken immer stärker ins Visier von Cyberangriffen. Wie groß das Ausmaß tatsächlich ist, war bis dato nicht bekannt. Forschende des Complexity Science Hub und der Universität Montreal zeigen nun erstmals, dass sich der Schaden global auf mindestens 30 Milliarden Dollar beläuft, Tendenz steigend. Ein Preprint der Studie wurde kürzlich auf ArXiv veröffentlicht.
Decentralized Finance (DeFi) repräsentiert ein neues Finanzparadigma, bei dem Finanzdienstleistungen (z.B. Kreditvergabe) durch dezentrale Computerprogramme angeboten werden, die auf sogenannten Blockchains laufen. Dass es hier zu zahlreichen kriminellen Angriffen kommt, ist bekannt. „Da es aber keine zentrale Anlaufstelle für Betrugsfälle gibt, konnten bislang keine evidenzbasierten Aussagen über den Gesamtschaden getroffen werden“, erklärt Bernhard Haslhofer, Leiter der Forschungsgruppe Cryptofinance am Complexity Science Hub.
MINDESTENS 1.155 KRIMINELLE VORFÄLLE
Deshalb haben die Forschenden nun erstmals dokumentierte kriminelle Vorfälle im Kryptobereich aus verschiedenen Datenbanken zusammengetragen. Dabei stießen sie von 2017 bis 2022 auf insgesamt 1.155 kriminelle Ereignisse. „Das bedeutet aber nicht, dass es nicht noch mehr Fälle geben kann. Dementsprechend sind alle unsere Ergebnisse Mindestwerte,“ betont Haslhofer. Der dabei entstandene Gesamtschaden: 30 Milliarden US-Dollar. Das entspricht in etwa den Staatseinnahmen Luxemburgs im Jahr 2022.
„Diese 1.155 Fälle repräsentieren definitiv nicht das gesamte Ausmaß, aber sie stellen einen der umfangreichsten Datensätze bislang und damit einen ersten Schritt dar, um die Größe und den Umfang der DeFi-Kriminalität zu beurteilen“, so Catherine Carpentier-Desjardins von der Universität Montreal.
IMMER MEHR KRIMINELLE AKTIVITÄTEN
Während im Jahr 2017 nur 16 Fälle dokumentiert wurden, kam es 2021 bereits zu 308 und 2022 schließlich zu 435 dokumentierten Straftaten. „Dieses gesamte Ökosystem steckt noch in den Kinderschuhen. Es ist hochkomplex und derzeit wird kaum verstanden, wie es funktioniert. Deshalb ist die Sicherheit in diesem Bereich nach wie vor ein Problem“, erklärt Haslhofer.
GRÖßTER VERLUST: 3,6 MILLIARDEN US-DOLLAR
Bei der Hälfte der Angriffe betrug der Schaden mehr als 356.000 Dollar, wobei sich der kleinste „Hack“ auf nur 158 US-Dollar belief, während beim größten 3,6 Milliarden US-Dollar verschwanden. Dieser enorme Verlust stand im Zusammenhang mit Africrypt, einer zentralisierten Finanzplattform (CeFi) aus Südafrika.
CeFi: 20 MILLIARDEN VERLUSTE
CeFi stellt die Verbindung zwischen dem traditionellen Finanzwesen und dezentralisierten Finanzsystemen (DeFi) dar. Es handelt sich um Kryptohandelsbörsen, wo der Handel sowohl mit Fiat- als auch mit Kryptowährungen über ein zentralisiertes Verwaltungssystem erfolgt.
„Ob Africrypt gehackt wurde oder die Administrator:innen mit dem Geld verschwunden sind, spielt gar keine große Rolle: Was zählt, ist, dass jemand mit den Investitionen der Kund:innen verschwinden konnte, weil das Geld zentral verwaltet wurde, selbst wenn es sich dabei um Kryptowährungen handelte“, erklärt Masarah-Cynthia Paquet-Clouston von der Universität Montreal. Diese Art von Ereignissen komme im CeFi-Sektor häufig vor.
Obwohl die Forschenden im DeFi-Bereich mit 1.050 Straftaten deutlich mehr erfolgreiche Angriffe beobachten können, sind die Schäden im CeFi-Bereich wesentlich höher. „Bei nur 105 dokumentierten Straftaten beliefen sich die Schäden hier auf 20 Milliarden Dollar, also zwei Drittel des Gesamtschadens“, erklärt Haslhofer. Im Vergleich dazu werden im traditionellen Finanzsektor alle Plattformen von Regulierungsbehörden streng überwacht, was solche Vorfälle dort weniger wahrscheinlich mache.
HÄUFIGSTE URSACHE: TECHNISCHE SCHWÄCHEN
Neben dem Ausmaß untersuchten die Forschenden welche Arten von Angriffen stattfinden und auf welchen technischen Ebenen.
In 52,4% der Fälle wurden DeFi-Services attackiert. Gelungen ist das fast immer durch technische Schwächen auf Protokollebene. „Daher sollten Akteure die Sicherung ihrer Verträge und Protokolldesigns priorisieren, um externe Bedrohungen zu minimieren“, so CSH-Forscher Stefan Kitzler.
In 40,7% der Fälle wurde DeFi verwendet, um Benutzer:innen anzugreifen. „Wenn das geschieht werden bei über 70% der Straftaten manipulierte Kryptowährungen verwendet, die eine Art Seitentür eingebaut haben, durch die Täter:innen Gelder abziehen können“, erklärt Kitzler.
SICHERHEITSLÜCKEN UND MARKTMANIPULATION
Zu wissen, wo ein Angriff am wahrscheinlichsten stattfindet, ist laut den Forscher:innen essenziell, um effektive Gegenmaßnahmen setzen zu können. „Es besteht kein Zweifel, dass sich die Sicherheit im DeFi-Sektor verbessert. Dennoch bleibt dieser Sektor aufgrund zahlreicher Möglichkeiten ein bevorzugtes Ziel für motivierte Täter:innen“, erklärt Paquet-Clouston.
Diese ergeben sich auch aus dem Potenzial für Marktmanipulation. Zudem seien gestohlene Gelder unwiederbringlich verloren. Daher wird der DeFi-Sektor auch mit robusten Sicherheitsmaßnahmen weiterhin ein Ziel bleiben, sind sich die Forschenden sicher. „Es ist wichtig, die asymmetrische Position zwischen Angreifer:innen und Verteidiger:innen zu verstehen: Während die Verteidiger:innen jede potenzielle Schwachstelle absichern müssen, brauchen die Angreifer:innen nur eine zu finden“, betont Paquet-Clouston.
WOHIN GEHT DAS GELD?
Diese Studie zeigt, wo Angriffe am wahrscheinlichsten stattfinden und in welchem Ausmaß. Der Spur des Geldes zu folgen, ist im DeFi-Bereich aber derzeit noch außerordentlich schwierig. Deshalb startet aktuell das Projekt „DeFi Trace“ am Complexity Science Hub unter der Leitung von Bernhard Haslhofer. „Im Laufe von zwei Jahren wollen wir Methoden entwickeln, um möglichst automatisiert illegale Zahlungsströme im DeFi-Bereich nachvollziehen und dadurch kriminelle Aktivitäten eindämmen zu können“, so Haslhofer.
Projektpartner:innen sind das Bundesministerium für Finanzen, das Bundesministerium für Justiz, das Bundesministerium für Inneres, das AIT, die Universität Innsbruck, die FMA, die OeNB, sowie die Zentralstelle Cybercrime Bayern (ZCB). Gefördert wird dieses Projekt von der Österreichischen Forschungsförderungsgesellschaft (FFG).
ÜBER DIE STUDIE
Die Studie "Mapping the DeFi Crime Landscape: An Evidence-based Picture" wurde kürzlich am Preprint-Server ArXiv veröffentlicht.
ÜBER DEN COMPLEXITY SCIENCE HUB
Der Complexity Science Hub (kurz: CSH Vienna) wurde mit dem Ziel gegründet, Big Data zum Nutzen der Gesellschaft einzusetzen. Der CSH Vienna bereitet unter anderem große Datensätze systematisch und strategisch so auf, dass Auswirkungen von Entscheidungen in komplexen Situationen vorab getestet und systematisch bewertet werden können. Damit liefert der Complexity Science Hub die Grundlagen für eine evidenzbasierte Politik. https://www.csh.ac.at
