Warum Smart Contract Risiko keine Floskel ist und wie du dich schützen kannst

Ich wünschte der Titel wäre weniger reißerisch, aber leider ist es die Wahrheit und ich möchte gerne, dass du dich vor so etwas schützen kannst.

Wenn du auf Twitter, Youtube, TikTok und Co. in der Krypto-Sphäre unterwegs bist, dann siehst und hörst du manchmal etwas von Risiken.

Risiko des Totalverlusts durch dies oder das. Smart Contract Risiko. Exploit-Risiko. Was bedeutet das eigentlich alles?

In der heutigen Ausgabe beleuchte ich im Detail, was Smart Contract Risiken sind und welche Maßnahmen du ergreifen kannst, um dein Risiko zu verringern.

Damit du hoffentlich kein Geld durch einen solchen Hack verlierst wie ich.

Es ist schon paar Monate her, aber es zwickt immer noch. Wahrscheinlich habe ich deshalb das Aufschreiben so lange aufgeschoben.

In diesem Sinne:

#LetsGo

Was ist genau passiert?

Am 19.12.2021 wurde die Plattform Grim.finance Opfer eines Smart Contract Exploits. Das bedeutet jemand hat eine Schwachstelle in den Smart Contracts ausgenutzt, um Coins im Wert von knapp 30 Mio $USD an die eigene Wallet abzuzweigen.

Grim ist ein Fork der beliebten Autocompounder Plattform Beefy.finance (Beefy wurde übrigens oft kopiert und noch nie gehackt).

Autocompounder übernehmen für dich die Aufgabe, deine Gewinne aus dem Liquidity Mining abzuholen und wieder zu reinvestieren.

Du sparst dabei Zeit und Transaktionskosten und das Protokoll behält einen Teil deines Gewinns als Provision. Win-win.

Leider bedeutet diese Komplexität auch ein erhöhtes Risiko von Hacker-Angriffen.

Und das wurde Grim, mir und einigen hundert anderer Menschen am 19.12.2021 zum Verhängnis.

In dem rekt.news Leaderboard ist der Grim Hack zwar aktuell nur auf Platz 23, aber immerhin.

Zur Info: Rekt.news führt Protokoll über alle bekannten Hacks, Rug Pulls und andere Schandtaten in der Kryptowelt und es ist sehr förderlich sich dort einmal durchzulesen.

Hinter dem Plattformnamen und dem Begriff “REKT” (Krypto-Lingo für “wrecked” oder “Totalschaden”) siehst du in dem Screenshot den Namen Solidity Finance.

Diese Firma hat die Smart Contracts von Grim geprüft.

Oder hätte es machen sollen.

Aber der Reihe nach.

Was sind eigentlich Smart Contracts?

Vereinfacht ist ein Smart Contract nichts anderes als ein Computerprogramm, dass auf der Blockchain ausgeführt wird. Dabei gibt es eine WENN —> DANN Beziehung, die einmal programmiert, immer genau so ausgeführt wird.

Beispiel: Du kannst dir das wie einen Getränkeautomaten vorstellen: WENN du auf den Knopf für “Capuccino” drückst UND 2 € in die Maschine einwirfst, DANN bekommst du einen Capuccino. Und zwar immer, solange die Maschine nicht leer wird.

Es ist also Code und Code wird von Computern umgesetzt, aber von Menschen geschrieben.

Und Menschen machen Fehler.

Für solche Fehler gibt es einige Audit-Firmen, die Smart Contracts, also Programme, auf Herz und Nieren prüfen.

Eine solche Firma ist auch Solidity.finance. Sie sollte sich um die Sicherheit der Smart Contracts von Grim kümmern.

Sie hat die Smart Contracts von Grim bereits im August geprüft und leider ist ihnen etwas durch die Lappen gegangen.

Den “we’re sorry Tweet” der Firma weiter unten gibt es nicht mehr, aber in Kürze sagten Sie:

• dass sie zum Zeitpunkt der Prüfung unterbesetzt waren,

• dass die Prüfung ein frischer Mitarbeiter gemacht hat und dass dessen Ergebnis nicht vom Chef geprüft werden konnte weil dieser im Urlaub war

Ich lach’ mich kaputt.

Was steckte technisch hinter dem Hack?

Ich bin kein Programmierer, aber ich versuche dir in einfachen Worten zu erklären was das Problem war:

Der Eindringling hat eine Lücke genutzt um seine Einlage auf Grim.finance künstlich in die Höhe zu schrauben.

Er bediente sich dabei sogenannter Flash Loans, bei denen du dir für die Zeitdauer eines Blocks (also ca. 1 Sekunde auf der Fantom Blockchain) eine beliebige Summe Krypto leihen kannst.

Vorausgesetzt du zahlst sie innerhalb des Blocks wieder zurück, denn dann hat sich ja nichts geändert auf der Blockchain.

Diese hohe Einzahlung blieb aber bei Grim in den Büchern stehen obwohl sie nicht mehr da war und so konnte der Dieb Geld herausziehen, dass er eigentlich gar nicht wirklich eingezahlt hatte.

Insgesamt etwa 30 Millionen $USD. Davon waren zum Zeitpunkt der Tat ca. 7.762 $USD von mir.

Damit war mein gesamtes Investment in TOMB und FTM ausgelöscht.

Sehr traurig. Nicht nur wegen des Geldes, sondern weil solche Vorfälle immer einen Schatten auf die DeFi- und die Kryptowelt werfen und Menschen (zu Recht) davon abhalten teilzunehmen.

Was habe ich gelernt?

Wie kannst du dich jetzt vor solchen Vorfällen schützen?

Die ehrliche Antwort ist: Gar nicht.

Leider.

Auch die best getestete Plattform wird Lücken haben, die früher oder später entdeckt werden könnten.

Aber: Du kannst dein Risiko verringern, indem du:

1. auf bewährte, möglichst erprobte Projekte setzt —> In diesem Fall wäre ich mit Beefy.finance (dem Original) besser beraten gewesen, auch wenn sie etwas höhere Gebühren verlangen

2. dein Kapital auf zwei oder mehr Autocompounder aufsplittest.

   • Zum Zeitpunkt dieses Artikels gibt es drei Autocompounder, die das Pärchen TOMB-FTM, in das ich investiert habe, anbieten.

   • Das weiseste ist es, das Kapital auf alle drei in gleichen Teilen zu splitten.

   • Oder einen Teil, z.B. 25% gänzlich aus Autocompoundern weg zu lassen um das Risiko noch weiter zu verringern.

3. auf möglichst mehrere qualitativ hochwertige Audit-Reports achtest. Lies sie dir durch und achte auf Twitter oder im Discord auf Reaktionen des Teams darauf. Scheue dich im Zweifel nicht auf diesen Plattformen nachzufragen. Die Teams sind meist sehr offen und teilen Informationen solcher Art sehr gerne mit dir. Wenn nicht = Finger weg.

4. deine Positionsgröße für solch riskante Projekte so wählst, dass es deinem Portfolio nicht allzu weh tut. Also vielleicht 1% oder sogar 0.5% deines Kryptoportfolios—> Ich habe zwischendurch sogar noch nachgelegt, weil ich die Position zum Jahresende sowieso auflösen wollte. 11 Tage haben gefehlt :(

Ist das Geld für immer weg?

Wahrscheinlich ja. Es wurde zwar eine Hetzjagd auf den Hacker eröffnet und verschiedene Spuren gesichtet, aber wer das nicht zum ersten Mal macht, weiß, wie man seine Spuren verwischt und bisher ist dabei nichts herumgekommen.

Aber auch hier zeigt sich die Stärke der Krypto-Community:

1. In der gleichen Woche hat die Pod Town Metaverse Community angekündigt NFTs an die Opfer zu spenden. Ich habe zwei NFTs erhalten im Wert von insgesamt ca. 200$, die aber noch wertvoller werden könnten, weil in Zukunft weitere Vorteile damit verbunden sein werden.

2. Das Team von Grim hat einen Kompensationsplan aufgestellt und einen neuen Token an die Betroffenen verteilt (GRIM EVO). Der Token berechtigt zu 50% der Einnahmen der Plattform und durch das Halten und Staken der Token soll jeder der Betroffenen möglichst vollständig kompensiert werden. Ich habe den Token sofort verkauft, weil ich aus Erfahrung gelernt habe, dass Autocompounder generell sehr wenig Umsatz machen und dass es wahrscheinlich seeeehr lange dauern würde bis ich kompensiert bin. Meine Token waren zum Zeitpunkt des Verkaufs ca. 300$ wert. Also weniger als 5% der verlorenen Summe.

3. Harry Yeh von Tomb.finance, hat angekündigt, dass alle Betroffenen Airdrops, der bald startenden Projekte LIFE und Felix bekommen sollen und damit nach seiner Aussage die Verluste mehr als nur kompensiert werden.

Ist dir etwas Ähnliches auch passiert? (ich hoffe nicht!)

Falls ja, melde dich gerne und teile deine Erfahrungen. Vielleicht gibt es ja auch für dein Projekt eine Kompensation, von der du eventuell noch nichts mitbekommen hast und ich könnte dir dabei helfen diese Info zu bekommen.

Wenn du herausfinden möchtest, wie ich das letzte Mal, wegen eines Hacks 20.000€ verloren habe, lies den Artikel. 

So oder so, ich wünsche dir stets gute Entscheidungen!

#staySafeOutThere

Dima