Künstliche Intelligenz und Krypto-Sicherheit
Künstliche Intelligenz (KI) hat Krypto-Angreifern die gleichen Werkzeuge an die Hand gegeben, die bisher den Verteidigern vorbehalten waren. Experten warnen, dass die daraus resultierenden Angriffe die Branche Milliarden kosten. Mitchell Amador, CEO von Immunefi, äußerte sich zu Beginn der Token2049-Woche in Singapur gegenüber Decrypt und erklärte, dass KI die Entdeckung von Schwachstellen in nahezu sofortige Ausnutzung verwandelt hat. Die fortschrittlichen Prüfwerkzeuge, die sein Unternehmen entwickelt hat, sind nicht mehr ausschließlich den „Guten“ vorbehalten.
„Wenn wir das haben, kann die nordkoreanische Lazarus-Gruppe ähnliche Werkzeuge entwickeln? Können russische und ukrainische Hackergruppen ähnliche Werkzeuge entwickeln?“ fragte Amador. „Die Antwort ist, dass sie das können.“
Der KI-Prüfagent von Immunefi übertrifft die meisten traditionellen Prüfungsfirmen, aber diese Fähigkeit ist auch für gut finanzierte Hackeroperationen erreichbar, so Amador. „Prüfungen sind großartig, aber sie sind bei weitem nicht genug, um mit der Innovationsrate und der sich kumulierenden Verbesserung der Angreifer Schritt zu halten,“ fügte er hinzu.
Sicherheitsherausforderungen in der Krypto-Branche
Mit über 3 % des insgesamt gesperrten Wertes, der im Jahr 2024 im gesamten Ökosystem gestohlen wurde, betonte Amador, dass Sicherheit nicht mehr eine nachträgliche Überlegung ist. Projekte kämpfen jedoch, um zu wissen, wie sie effektiv investieren und Ressourcen zuweisen können. Die Branche hat sich von einem „Priorisierungsproblem, was eine wunderbare Sache ist, hin zu einem Wissens- und Bildungsproblem“ entwickelt, fügte er hinzu.
KI hat auch komplexe Social-Engineering-Angriffe extrem kostengünstig gemacht, so Amador. „Wie viel denkst du, kostet dieser Anruf?“ fragte er und bezog sich auf KI-generierte Phishing-Anrufe, die Kollegen mit beunruhigender Genauigkeit nachahmen können. „Du kannst das für Cent mit einem gut durchdachten System von Eingabeaufforderungen ausführen, und du kannst das massenhaft durchführen. Das ist der beängstigende Teil von KI.“
„Das Spiel mit KI-gesteuerten Angriffen besteht darin, dass es die Geschwindigkeit erhöht, mit der etwas von der Entdeckung zur Ausnutzung übergehen kann,“ sagte Amador zu Decrypt.
Um sich dagegen zu verteidigen, ist die einzige Lösung noch schnellere Gegenmaßnahmen. Immunefi hat KI direkt in die GitHub-Repositories und CI/CD-Pipelines der Entwickler integriert, um Schwachstellen zu erfassen, bevor der Code in die Produktion gelangt. Amador sagte eine „drastische Abnahme“ von DeFi-Hacks innerhalb von ein bis zwei Jahren voraus, was möglicherweise die Vorfälle um eine weitere Größenordnung reduzieren könnte.
Die Rolle von Bug-Bounties und KI
Dmytro Matviiv, CEO der Web3-Bug-Bounty-Plattform HackenProof, erklärte zu Decrypt, dass „manuelle Prüfungen immer ihren Platz haben werden, aber ihre Rolle sich verschieben wird.“ „KI-Tools sind zunehmend effektiv darin, ’niedrig hängende Früchte‘ von Schwachstellen zu erfassen, was die Notwendigkeit für großangelegte manuelle Überprüfungen seltener macht,“ sagte er. „Was bleibt, sind die subtilen, kontextabhängigen Probleme, die tiefes menschliches Fachwissen erfordern.“
Um sich gegen KI-gestützte Angriffe zu verteidigen, hat Immunefi eine Whitelist-Only-Politik für alle Unternehmensressourcen und -infrastrukturen implementiert, die, so Amador, „tausende dieser versuchten Spear-Phishing-Techniken sehr effektiv gestoppt hat.“ Aber dieses Maß an Wachsamkeit ist für die meisten Organisationen nicht praktikabel, bemerkte er und fügte hinzu: „Wir können das bei Immunefi tun, weil wir ein Unternehmen sind, das Sicherheit und Wachsamkeit lebt und atmet. Normale Menschen können das nicht tun. Sie haben ein Leben zu leben.“
Immunefi hat über 100 Millionen Dollar an Auszahlungen an White-Hat-Hacker ermöglicht, mit stabilen monatlichen Verteilungen zwischen 1 Million und 5 Millionen Dollar. Amador erklärte jedoch, dass die Plattform „die Grenzen erreicht hat“, da es „nicht genug Augen“ gibt, um die notwendige Abdeckung in der Branche bereitzustellen.
Die Zukunft der Sicherheit in der Krypto-Branche
In der Zwischenzeit äußerte Matviiv zu Decrypt, dass er nicht denkt, „dass wir auch nur annähernd den globalen Pool an Sicherheitstalenten erschöpfen,“ und bemerkte, dass jährlich neue Forscher zu Plattformen kommen und schnell von „einfachen Funden zu hochkomplexen Schwachstellen“ übergehen. „Die Herausforderung besteht darin, den Raum in Bezug auf Anreize und Gemeinschaft attraktiv genug zu gestalten, damit diese neuen Gesichter bleiben.“
Bug-Bounties haben wahrscheinlich ihren „Zenit der Effizienz“ erreicht, abgesehen von neuartigen Innovationen, die in traditionellen Bug-Bounty-Programmen nicht einmal existieren, fügte Amador hinzu. Das Unternehmen untersucht hybride KI-Lösungen, um einzelnen Forschern mehr Einfluss zu geben, um mehr Protokolle in großem Maßstab zu prüfen, aber diese befinden sich noch in der Forschung und Entwicklung.
Bug-Bounties bleiben unerlässlich, da „eine vielfältige, externe Gemeinschaft immer am besten positioniert ist, um Randfälle zu entdecken, die automatisierte Systeme oder interne Teams übersehen,“ bemerkte Matviiv, aber sie werden zunehmend neben KI-gestütztem Scannen, Monitoring und Prüfungen in „hybriden Modellen“ arbeiten.
„Das wäre nicht etwas gewesen, das mit einer Prüfung oder einem Bug-Bounty entdeckt worden wäre,“ sagte Amador über den 1,4 Milliarden Dollar schweren Bybit-Hack. „Das war ein kompromittiertes internes Infrastruktursystem.“
Trotz der Sicherheitsverbesserungen in traditionellen Bereichen wie Prüfungen, CI/CD-Pipelines und Bug-Bounties bemerkte Amador, dass die Branche „nicht so gut abschneidet“ bei Multi-Sig-Sicherheit, Spear-Phishing, Anti-Betrugsmaßnahmen und dem Schutz der Gemeinschaft. Immunefi hat ein Multi-Sig-Sicherheitsprodukt eingeführt, das Elite-White-Hat-Hacker zuweist, um jede bedeutende Transaktion vor der Ausführung manuell zu überprüfen, was, so sagte das Unternehmen, den Bybit-Angriff aufgehalten hätte. Aber er räumte ein, dass es eine reaktive Maßnahme und keine präventive ist.
Schlussfolgerung
Dieser ungleiche Fortschritt erklärt, warum 2024 das schlimmste Jahr für Hacks wurde, trotz Verbesserungen in der Codesicherheit, da Hackmuster einer vorhersehbaren mathematischen Verteilung folgen, was große Einzelvorfälle unvermeidlich macht, anstatt anomale Ereignisse, sagte Amador. „Es wird immer einen großen Ausreißer geben,“ sagte er. „Und es ist kein Ausreißer, es ist das Muster. Es gibt immer einen großen Hack pro Jahr.“
Die Sicherheit von Smart Contracts hat sich erheblich weiterentwickelt, sagte Matviiv, aber „die nächste Grenze liegt definitiv im weiteren Angriffsbereich: Multi-Sig-Wallet-Konfigurationen, Schlüsselmanagement, Phishing, Governance-Angriffe und Exploits auf Ökosystemebene.“ Effektive Sicherheit erfordert, Schwachstellen so früh wie möglich im Entwicklungsprozess zu erfassen, sagte Amador zu Decrypt. „Bug-Bounty ist das zweitteuerste, das teuerste ist der Hack,“ sagte er und beschrieb eine Hierarchie der Kosten, die sich in jeder Phase dramatisch erhöht. „Wir erfassen Bugs, bevor sie in die Produktion gelangen, bevor sie überhaupt in eine Prüfung gelangen,“ fügte Amador hinzu. „Sie würden niemals sogar in eine Prüfung einbezogen werden. Sie würden ihre Zeit nicht damit verschwenden.“
Während die Schwere der Hacks hoch bleibt, sagte Amador, dass „die Inzidenzrate sinkt und das Schweregradniveau der meisten Bugs sinkt, und wir erfassen immer mehr von diesen Dingen in den früheren Phasen des Zyklus.“ Als er gefragt wurde, welche einzelne Sicherheitsmaßnahme jedes Projekt bei Token2049 übernehmen sollte, forderte Amador eine „Vereinte Sicherheitsplattform“, die mehrere Angriffsvektoren anspricht. Das ist entscheidend, da fragmentierte Sicherheit die Projekte im Wesentlichen zwingt, „die Forschung selbst zu betreiben“ zu Produkten, Einschränkungen und Arbeitsabläufen, sagte er. „Wir sind noch nicht an dem Punkt, an dem wir Billionen und Billionen von Vermögenswerten verwalten können. Wir sind einfach noch nicht ganz bereit für die Hauptzeit.“
