Eine neue Malware-Kampagne zielt auf Krypto-Entwickler noch vor der Bereitstellung ab und entwendet GitHub-Tokens, SSH-Schlüssel, Cloud-Zugangsdaten, Wallets und Umgebungsvariablen, damit Angreifer ein Protokoll kompromittieren können, bevor dessen Code überhaupt ausgeliefert wird. Die von Gino Matos gemeldete Kampagne rückt den üblichen DeFi-Hack in ein neues Licht: Statt einen bereitgestellten Vertrag auszunutzen, übernimmt der Angreifer den Entwickler, das Repository und die komplette Build-Pipeline.
Warum das wichtig ist
Ein Großteil der DeFi-Security-Ausgaben fließt in Audits, Bug-Bounties und On-Chain-Monitoring, die alle davon ausgehen, dass der bereitgestellte Bytecode die Vertrauensgrenze ist. Ein Supply-Chain-Angriff räumt mit dieser Annahme auf. Ist der Laptop eines Entwicklers kompromittiert, kann ein Angreifer einen einzigen bösartigen Commit pushen, ein Deploy-Skript austauschen oder eine Transaktion mit einem gestohlenen Schlüssel signieren, und der Audit-Bericht beschreibt nicht mehr den Code, der tatsächlich in Produktion läuft.
Die wirtschaftliche Folge ist identisch mit einem klassischen Exploit: leergeräumte Pools, eingefrorene Governance und eine Liquiditätssteuer für jeden Nutzer, der dem Protokoll vertraut hat. Der Unterschied: Kein On-Chain-Monitoring-Tool hätte das erkannt, und das Audit wurde an Code durchgeführt, der nie der Code war, der lief.
Marktauswirkung
Die Kampagne verwandelt eine Renditezahl in eine versteckte Kostenkomponente. Jeder Basispunkt APY, den ein DeFi-Protokoll bewirbt, ist implizit gegen die Annahme bepreist, dass der zugrundeliegende Code auditiert wurde und tatsächlich läuft. Wandert die Vertrauensgrenze zum Entwickler, bricht diese Annahme, und die Risikoprämie, die Investoren verlangen, sollte steigen, selbst wenn noch kein einzelnes Protokoll leergeräumt wurde.
Häufig gestellte Fragen
-
Was hat die Malware-Kampagne tatsächlich gestohlen?
GitHub-Tokens, SSH-Schlüssel, Cloud-Zugangsdaten, Krypto-Wallets und Umgebungsvariablen von Krypto-Entwicklern, sodass Angreifer bereits vor der Bereitstellung jedes Protokollcodes die Kontrolle übernehmen.
-
Wie unterscheidet sich das von einem normalen DeFi-Exploit?
Ein normaler Exploit zielt auf bereitgestellten Bytecode, den Audits und Monitore einsehen können. Diese Kampagne kompromittiert den Entwickler und die Build-Pipeline, sodass der Code, der in Produktion läuft, nie der auditiert Code war.
-
Können On-Chain-Monitoring-Tools einen Supply-Chain-Angriff erkennen?
Nein. On-Chain-Tools sehen nur die finalen Transaktionen; geht ein bösartiger Commit über einen legitimen Entwickler-Account und Signaturpfad live, wirkt der On-Chain-Fußabdruck wie eine normale Admin-Handlung.
-
Was bedeutet das für DeFi-Renditen?
Hohe APYs sind implizit gegen die Annahme bepreist, dass auditiert Code läuft. Eine glaubwürdige Supply-Chain-Bedrohung lässt diese Annahme scheitern, und die Risikoprämie, die Nutzer und LPs verlangen sollten, steigt entsprechend.
-
Wie können sich Nutzer vor dieser Angriffsklasse schützen?
Protokolle mit öffentlichen Teams, seriösen Audit-Firmen, überprüfbaren Deployments und erprobtem Code bevorzugen und ungewöhnlich hohe Renditen als Anlass nehmen, Team und Deployment-Prozess genauer zu prüfen, nicht nur die Verträge.
CoinDesk
Crypto News
WuBlockchain
TheBlock
CoinTelegraph