"Programme auf Solana sind grundsätzlich sicherer" - OtterSec-Gründer weist auf die niedrige Exploit-Rate von Solana hin

Trotz der sorgfältigen Arbeit von Prüfern in der gesamten Branche sind Blockchain-Hacks und -Exploits immer noch an der Tagesordnung. 

Die Daten deuten jedoch darauf hin, dass bestimmte Netzwerke und virtuelle Maschinen einem weitaus größeren Risiko ausgesetzt sind als andere, wobei Solana im Vergleich zu seinen Konkurrenten eine deutlich geringere Anzahl von Hacks verzeichnet.

Ist Solana und die SVM von Natur aus sicherer als ihre Konkurrenten? Im Gespräch mit SolanaFloor räumte der OtterSec-Gründer Robert Chen mit einigen Mythen rund um die Blockchain-Sicherheit auf.

Ist der EVM ein beliebteres Jagdrevier für Hacker?

Nach DefiLlama-Daten haben EVM-Netzwerke im Jahr 2024 mehr als 792 Millionen Dollar an Hacks und Exploits erlitten. Im Vergleich dazu hat Solana insgesamt nur 33,5 Mio. $ erlitten, wobei 14,8 Mio. $ auf den Rain-Kryptobörsen-Exploit zurückzuführen sind, der auch Bitcoin-, Ethereum- und XRP-Wallets angriff.

In der Mehrzahl der aufgezeichneten Fälle stehlen Hacker Geldmittel, indem sie Schwachstellen in der Protokolllogik finden. Basierend auf den Aufzeichnungen von DefiLlama’fallen Protokolle in EVM-Netzwerken häufiger Angriffen auf fehlerhafte Logik zum Opfer als ihre Solana-Gegenstücke, trotz des dramatischen Zuflusses von Kapital und Nutzern in das Solana-Ökosystem im Jahr 2024.

Robert Chen, Gründer von OtterSec, einem der renommiertesten Smart-Contract-Prüfer der Branche, ist der Meinung, dass viele Faktoren zu dieser Diskrepanz beitragen. Chen räumt zwar ein, dass es schwer ist, das mit Sicherheit zu sagen, behauptet aber, dass eine Theorie besagt, dass Programme auf Solana aufgrund des Programmiermodells grundsätzlich sicherer sind.

“Das ist wahrscheinlich zum Teil wahr, da sie bei der Entwicklung der VM den Vorteil der Rückschau hatten, richtig? Ein großes Beispiel dafür ist, dass es bei Solana keine Reentrancy gibt, was eine ziemlich große Angriffsfläche darstellt.

Chen räumt ein, dass das vielleicht nicht “die ganze Geschichte” ist. Der Gründer wies darauf hin, dass Solana in den Jahren 2022 und 2023 selbst Opfer mehrerer groß angelegter Hacks und Exploits wurde. Außerdem bestätigte Chen, dass einige Schwachstellen grundsätzlich VM-unabhängig sind. Zum Beispiel ist jede Art von wirtschaftlichem Exploit VM-unabhängig."

Während Solana eine vergleichsweise geringe Anzahl von Hacks und Exploits aufgrund fehlerhafter Protokolllogik erlitten hat, berücksichtigt dies nicht die Mittel, die durch systematische Onchain-Rugpulls gewonnen wurden. In der Meme-Economy von Solana gibt es Dutzende von ruchlosen Akteuren, die Betrügereien mit Schleifen durchführen und unvorsichtige Händler ausnutzen.

Wer prüft die Prüfer?

Im Laufe der Jahre hat sich Ottersec einen Ruf als einer der vertrauenswürdigsten Prüfer der Branche erworben. Die Hacker werden jedoch immer raffinierter und arbeiten unermüdlich daran, neue Angriffsmöglichkeiten zu entdecken.

Der beste Weg, neuen Angriffsstrategien einen Schritt voraus zu sein, besteht laut Chen darin, neue Erkenntnisse rückwirkend anzuwenden und tiefer in den Stack zu schauen.

“Wenn man erst einmal eine große Anzahl von Protokollen erstellt hat, kann man die Erkenntnisse aus einem Protokoll auf die anderen übertragen. Wenn Ihnen in einem Protokoll etwas auffällt, können Sie es in allen anderen Protokollen wiederfinden.

“Ich denke, wir versuchen auch, sehr tief in den Stack zu schauen. Wir führen zum Beispiel Audits des Validator-Clients durch, aber auch Audits von Frameworks wie Anchor. Ich denke, mit dieser Art von Fachwissen oder zumindest mit dieser Art von Erfahrung können wir etwas tiefer blicken als andere Leute.

Chen argumentiert, dass es bei der Wirtschaftsprüfung um Vertrauen und maßgeschneiderte Beziehungen geht. Die öffentliche und private Meinung ist der Hauptindikator für die Fähigkeit einer Firma, effektiv zu prüfen.

“Ich denke, es gibt immer eine implizite Prüfung in dem Sinne, dass, wenn man Mist baut, nicht nur einmal, sondern wenn man oft Mist baut, sich das herumspricht, nicht wahr?

Wenn es um den Ruf von Wirtschaftsprüfungsgesellschaften geht, gibt es derzeit keine höhere Macht oder Instanz, die sicherstellt, dass die Prüfer einen bestimmten Standard einhalten. Chen argumentiert jedoch, dass eine höhere Instanz nicht unbedingt erforderlich ist.

“Ich denke, dass die Wirtschaftsprüfung sehr individuell ist, da es sich im Grunde um ein Geschäft des Vertrauens handelt. Es gibt keine zentrale Stelle, an die sich die Leute gerne wenden, oder, ich meine, in meinem Fall, wenden wollen, um dieses Vertrauen in die Prüfungsstandards zu bekommen. Die Leute haben ihre bevorzugten Prüfer, sie wissen, mit wem sie arbeiten wollen. Diese Art von maßgeschneiderten Beziehungen lassen sich nur schwer durch eine zentrale Stelle ersetzen”

Ein erfolgreiches Audit ist kein Garant dafür, dass ein Protokoll völlig frei von Sicherheitslücken ist. Wie Chen jedoch treffend formuliert: “es ist ein Spiel der Wahrscheinlichkeiten”. Geprüfte Protokolle haben wahrscheinlich weniger Fehler als ungeprüfte Protokolle.

Krypto-Nutzer sollten immer sicher sein, dass sie eine gründliche Due Diligence durchführen, bevor sie mit Onchain-Protokollen interagieren und strenge Sicherheitsstandards einhalten.

Lesen Sie mehr über SolanaFloor

Krypto macht mutige Schritte in Richtung TradFi

Wie legitimiert NYSE Arca’s neueste Einreichung Solana ETFs?

Auffrischung Ihrer Krypto-Sicherheitsgrundlagen