Adam Back weist darauf hin, dass EVM-Fehler nicht nur für den Bybit-Hack, sondern für alle Schwachstellen im Ethereum-Ökosystem maßgeblich verantwortlich sind.
Adam Back, ein bekannter Bitcoin-Entwickler und Mitbegründer von Blockstream, hat direkt auf sein X-Konto verwiesen, das Design der Ethereum Virtual Machine (EVM) als Hauptschuldiger hinter dem Bybit-Hack und anderen ähnlichen Schwachstellen im Ethereum-Ökosystem.
Back, eine prominente Figur im Bitcoin-Ökosystem, hat die Schwächen des EVM und seiner Programmiersprache Solidity lautstark kritisiert. Ihm zufolge weist das Design des EVM, das für die Ausführung von Smart Contracts auf Ethereum und anderen kompatiblen Blockchains unerlässlich ist, strukturelle Mängel auf, die diese Art von Angriff erleichtern.
Aber hat Adam Back recht? Sind die Probleme der EVM wirklich so gravierend wie behauptet? In diesem Artikel werden wir ihre Argumente untersuchen, historische EVM-Schwachstellen diskutieren und darüber nachdenken, warum diese Probleme in der Branche weiterhin bestehen.
Wer ist Adam Back und warum ist seine Meinung wichtig?
Adam Back ist eine Kultfigur im Bereich der Kryptowährungen. Als Mitbegründer von Blockstream, einem führenden Unternehmen der Blockchain-Technologie, und einer der Pioniere in der Entwicklung von Bitcoin hat seine Meinung in der Community Gewicht. Back ist ein lautstarker Verfechter von Sicherheit und Einfachheit im Blockchain-Design, obwohl dieser Aspekt seiner Meinung nach in der EVM-Architektur fehlt.
Und hier kommt der Bybit-Hack ins Spiel, bei dem über 1.400 Milliarden Dollar verloren gingen, denn dieses Ereignis war für Back der Auslöser, seine Kritik zu äußern. Ihm zufolge sind solche Vorfälle nicht nur das Ergebnis von Bedienungsfehlern, sondern haben ihre Wurzeln in einem unsicheren EVM-Design.
«Das EVM ist ein Brand, der die Glaubwürdigkeit des Ökosystems beeinträchtigt», erklärte er in einem aktuellen Post. Für Back sind die Komplexität des EVM und seiner Sprache Solidity ein Nährboden für Schwachstellen, die Benutzer und Plattformen gefährden.
Aber was genau ist EVM? Die Ethereum Virtual Machine ist die Ausführungsumgebung, die Smart Contracts im Ethereum-Netzwerk verarbeitet. Es wurde als Turing-vollständiges System konzipiert, das heißt, es kann jeden erdenklichen Algorithmus ausführen. Dies bietet zwar Flexibilität, führt aber auch Komplexität ein, was laut Back ein ernstes Problem darstellt.
Bitcoin kaufenAdam Backs Ansicht: Was sind die strukturellen Mängel des EVM?
Adam Back hat mehrere Schlüsselprobleme im Design des EVM und seiner Programmiersprache Solidity identifiziert, die seiner Meinung nach Angriffe wie den Bybit-Hack erleichtern. Zu seinen wichtigsten Kritikpunkten zählen:
- EVM-KomplexitätBack behauptet, dass das EVM übermäßig komplex und daher fehleranfällig und anfällig sei. „Das EVM ist ein Feuer, das nicht kontrolliert werden kann“, erklärte er in einem aktuellen Post. Ihm zufolge beeinträchtigt diese Komplexität nicht nur die Sicherheit, sondern erschwert auch die Überprüfung und Wartung von Smart Contracts.
- Probleme mit Smart Contracts:Smart Contracts, die das Herzstück der EVM bilden, waren Gegenstand starker Kritik. Back weist darauf hin, dass diese in Solidity verfassten Verträge häufig Fehler enthalten, da geeignete Tools zum Überprüfen ihrer Sicherheit fehlen. Darüber hinaus öffnet die Fähigkeit des EVM, komplexen Code auszuführen, Tür und Tor für Angriffsmethoden, die nur schwer zu verhindern sind.
- Reentrancy und andere Arten von Angriffen: Eines der deutlichsten Beispiele für EVM-Schwachstellen ist der Reentrance-Angriff. Zu dieser Art von Angriff kommt es, wenn ein Vertrag einen externen Vertrag aufruft, der wiederum den ursprünglichen Vertrag aufruft, bevor die ursprüngliche Ausführung abgeschlossen ist. Diese Art von Angriffen war für einige der größten Verluste in der Geschichte der Kryptowährungen verantwortlich, darunter auch der Bybit-Hack. In diesem Zusammenhang hat Back darauf hingewiesen, dass diese Angriffe möglich sind, da es an robusten Mechanismen zur Verhinderung eines erneuten Eindringens mangelt. „EVM ermöglicht es Verträgen, auf unsichere Weise zu kommunizieren, was die Tür für diese Art von Angriffen öffnet“, er erklärte.
- Fehler bei der Staatsverwaltung:Auch die staatliche Verwaltung im EVM ist Gegenstand von Kritik. Back sagt, dass die Art und Weise, wie das EVM mit Zuständen umgeht, insbesondere in komplexen Umgebungen zu Inkonsistenzen und unerwartetem Verhalten führen kann.
- Solidität: eine unsichere SpracheAuch die Programmiersprache Solidity, die zum Schreiben von Smart Contracts auf der EVM verwendet wird, wurde wegen ihrer Unsicherheit kritisiert. Back behauptet, dass Solidity die notwendigen Tools und Mechanismen fehlen, um häufige Fehler wie Ganzzahlüberläufe, Reentrancy und andere Arten von Schwachstellen zu verhindern.
Beispielsweise nutzten Angreifer beim Bybit-Hack eine Schwachstelle im Signaturmanagement von Multisig-Wallets aus. Obwohl diese Art von Angriffen nicht nur auf EVM beschränkt ist, argumentiert Back, dass die Komplexität von EVM und Solidity es schwieriger macht, diese Probleme zu identifizieren und zu beheben.
EVM-Probleme sind nichts Neues
Doch überraschenderweise ist Adam Back nicht der Einzige, der auf die Schwächen des EVM hinweist. Tatsächlich sind viele der von ihm identifizierten Probleme der Öffentlichkeit seit Jahren bekannt. Beispielsweise wurde der Angriff auf The DAO im Jahr 2016, einer der berüchtigtsten Hacks in der Geschichte von Ethereum, durch eine Schwachstelle in der Logik eines Smart Contracts ermöglicht. Ein Angriff, vor dem Tage zuvor gewarnt wurde, Warnungen, die nicht gehört wurden und der letztlich mit einem Rollback von Ethereum endete. Es war dieses Ereignis, das Ethereum in zwei Teile spaltete: Ethereum Classic (die ursprüngliche Kette) und Ethereum (mit dem DAO-Rollback zur Wiederherstellung der Gelder und unterstützt von Vitalik Buterin).
Der DAO-Hack: ein historischer Präzedenzfall
Die DAO (Decentralized Autonomous Organization) war eines der ehrgeizigsten Projekte in der Geschichte von Ethereum. Die DAO wurde 2016 gegründet und als dezentralisierte, autonome Organisation konzipiert, die es Investoren ermöglicht, Projekte durch Abstimmung zu unterstützen. Es galt als Meilenstein bei der Implementierung intelligenter Verträge und als Demonstration des Potenzials des EVM.
Allerdings wurde die DAO auch zu einem Paradebeispiel dafür, welche katastrophalen Folgen Schwachstellen in Smart Contracts haben können. Im Juni 2016 nutzte ein Angreifer eine Schwachstelle in der Smart-Contract-Logik der DAO aus und ermöglichte so die unbefugte Übertragung von über 3.6 Millionen Ether im damaligen Wert von über 70 Millionen US-Dollar.
Dieser Angriff wurde durch eine Kombination von Faktoren ermöglicht, darunter:
- Wiedereintritt: Der DAO-Vertrag ermöglichte es einem Angreifer, eine Funktion wiederholt aufzurufen, bevor die erste Ausführung abgeschlossen war, wodurch Gelder auf unbefugte Weise abgezogen werden konnten.
- Fehlende ordnungsgemäße Validierung: Der Vertrag sah nicht die notwendigen Mechanismen vor, um derartige Angriffe zu verhindern, obwohl Experten bereits Tage vor dem Vorfall auf die Möglichkeit eines erneuten Eindringens hingewiesen hatten.
- Designkomplexität: Der Vertrag der DAO war äußerst komplex und daher vor der Umsetzung schwer zu prüfen und zu analysieren.
Der Hack der DAO war also ein entscheidender Moment in der Geschichte von Ethereum. Dabei wurden nicht nur die Schwächen des EVM und seiner Programmiersprache Solidity aufgezeigt, sondern auch die Notwendigkeit hervorgehoben, bei der Entwicklung intelligenter Verträge stärker auf die Sicherheit zu achten.
bescheinigt
Kurs zur technischen Analyse von Kryptowährungen
Durchschnittliches NiveauIn dieser Schulung haben wir Iván González, einen professionellen Experten für Investitionen und Kryptowährungen, zu Gast, der Ihnen beibringt, wie der Markt funktioniert und wie sich Preise auf das Verhalten von Anlegern auswirken.
Andere Warnungen ignoriert
Aber der DAO-Hack war kein Einzelfall. Im Laufe der Jahre gab es zahlreiche Warnungen vor den Schwächen von EVM und Solidity. Zum Beispiel:
- Das Problem des „Wiedereintritts“: Der Wiedereintritt ist einer der häufigsten Angriffsvektoren bei Ethereum-Smart Contracts. Obwohl Muster und Bibliotheken entwickelt wurden, um diese Art von Angriffen abzuschwächen, wie etwa das Checks-Effects-Interactions-Muster, implementieren viele Entwickler sie aufgrund der Komplexität und der damit verbundenen Kosten nicht.
- Der Front-Running-Angriff: Diese Art von Angriff, bei dem ein Miner oder böswilliger Akteur eine Transaktion abfängt und ändert, bevor sie in der Blockchain bestätigt wird, ist aufgrund der Transparenz der Transaktionsspeicher im EVM möglich. Zwar gibt es Lösungen, um dies zu verhindern, wie etwa die Verwendung von Statuskanälen oder Datenschutzebenen, doch diese Methoden werden nicht häufig eingesetzt.
- Fehlende statische Analysetools: Lange Zeit fehlten den Ethereum-Entwicklern robuste Tools zum Analysieren und Erkennen von Schwachstellen in Smart Contracts. Zwar haben Tools wie Etherscan, Mythril und Slither die Situation verbessert, doch bestehen weiterhin Einschränkungen bei der Erkennung komplexer Fehler.
- Das Problem der „verwaisten“ und „feststeckenden“ Transaktionen: Einige schlecht gestaltete Verträge können zu „verwaisten“ oder „steckengebliebenen“ Transaktionen führen, die nicht ausgeführt oder rückgängig gemacht werden können. Dies kann zu Skalierbarkeitsproblemen und Netzwerküberlastungen führen.
EVM-Sicherheitsherausforderungen: Kann man etwas dagegen tun?
Auch wenn die Probleme der EVM gravierend sind, sind sie dennoch nicht unüberwindbar. Es gibt mehrere Maßnahmen, die wir ergreifen können, um die Sicherheit von Smart Contracts zu verbessern und das Risiko von Angriffen wie dem auf Bybit zu verringern.
- Verbesserte Prüfung und Tests: Eine der effektivsten Möglichkeiten, Schwachstellen zu vermeiden, besteht darin, vor der Implementierung eines Smart Contracts gründliche Prüfungen und strenge Tests durchzuführen. Hierzu gehören der Einsatz automatisierter Tools und manuelle Überprüfungen durch Sicherheitsexperten.
- Bewährte Methoden anwenden: Entwickler sollten Best Practices übernehmen, um sicherere Smart Contracts zu schreiben. Hierzu gehört die Verwendung von Mustern wie Checks-Effects-Interactions, um einen erneuten Eintritt zu verhindern, und die Implementierung robuster Zugriffskontrollmechanismen.
- Schaffung eines regulatorischen Rahmens: Während Dezentralisierung ein Kernprinzip von Kryptowährungen ist, könnte die Schaffung eines regulatorischen Rahmens, der Sicherheitsstandards festlegt, dazu beitragen, das Angriffsrisiko zu verringern. Hierzu könnte beispielsweise die Anforderung von Sicherheitsüberprüfungen vor der Einführung eines Smart Contracts gehören.
- Investitionen in Forschung und Entwicklung: EVM-Sicherheit erfordert kontinuierliche Investitionen in Forschung und Entwicklung. Hierzu gehören die Entwicklung neuer, sichererer Programmiersprachen und die Verbesserung vorhandener Tools zum Erkennen und Beheben von Schwachstellen.
Hat Adam Back recht?
Auf jeden Fall hat Adam Back berechtigte und notwendige Kritik am Design des EVM und dessen Auswirkungen auf die Sicherheit von Kryptowährungen geäußert. Die von ihm identifizierten Probleme sind nicht neu, aber schwerwiegend. Die Komplexität des EVM und die Schwächen von Solidity haben eine Umgebung geschaffen, in der Angriffe wie der auf Bybit stattfinden können.
Es ist jedoch wichtig zu beachten, dass die EVM-Sicherheit kein unlösbares Problem ist. Mit einer Kombination aus Best Practices, Investitionen in Forschung und Entwicklung sowie einer robusteren Sicherheitskultur können viele dieser Risiken gemindert werden.
In der Zwischenzeit muss die Community die Warnungen von Experten wie Adam Back beachten und proaktive Schritte zum Schutz der Benutzerressourcen unternehmen. Nur so können wir ein sichereres und zuverlässigeres Ökosystem erreichen.
Die Investition in Kryptoassets unterliegt keinen umfassenden Regulierungen und ist aufgrund der hohen Volatilität möglicherweise nicht für Privatanleger geeignet. Zudem besteht das Risiko, den gesamten investierten Betrag zu verlieren.
