STUDIEN & UMFRAGEN19. Oktober 2023

DeFi-Studie weist erstmals nach: Kriminelle verursachen Verluste von 30 Milliarden US-Dollar im Kryptobereich

DeFi-Übersicht
Forschungsgruppe Cryptofinance am Complexity Science Hub

Für Kriminelle sind digitale Finanzprodukte hoch-attraktiv. Wie groß das Ausmaß der Cyberangriffe tatsächlich ist, war bis dato nicht bekannt. Forschende des Complexity Science Hub und der Universität Montreal zeigen nun erstmals, dass sich der Schaden global auf mindestens 30 Milliarden Dollar beläuft, Tendenz steigend. Die Studie steht hier zum Download bereit.

Decentralized Finance (DeFi) repräsentiert ein neues Finanzparadigma, bei dem Finanzdienstleistungen (z.B. Kreditvergabe) durch dezentrale Computerprogramme angeboten werden, die auf sogenannten Blockchains laufen. Dass es hier zu zahlreichen kriminellen Angriffen kommt, ist bekannt. Da es aber keine zentrale Anlaufstelle für Betrugsfälle gibt, konnten bislang keine evidenzbasierten Aussagen über den Gesamtschaden getroffen werden.

Summary
  • Von 2017 bis 2022 kam es zu mindestens 1.155 Straftaten im Kryptobereich.
  • Dabei entstand ein Schaden von mindestens 30 Mrd. US-Dollar.
  • 2017 wurden noch 16 Fälle, 2022 bereits 435 Fälle dokumentiert.
  • Technische Schwächen und manipulierte Kryptowährungen zählen zu den Hauptursachen.
  • Derzeit startet das neue Projekt “DeFi Trace” am Complexity Science Hub, um künftig illegale Finanzflüsse verfolgen zu können.

Mindestens 1.155 kriminelle Vorfälle

Deshalb haben die Forscher nun erstmals dokumentierte kriminelle Vorfälle im Kryptobereich aus verschiedenen Datenbanken zusammengetragen. Dabei stießen sie von 2017 bis 2022 auf insgesamt 1.155 kriminelle Ereignisse. „Das bedeutet aber nicht, dass es nicht noch mehr Fälle geben kann. Dementsprechend sind alle unsere Ergebnisse Mindestwerte,“ betont Haslhofer. Der dabei entstandene Gesamtschaden: 30 Milliarden US-Dollar. Das entspricht in etwa den Staatseinnahmen Luxemburgs im Jahr 2022.

Diese 1.155 Fälle repräsentieren definitiv nicht das gesamte Ausmaß, aber sie stellen einen der umfangreichsten Datensätze bislang und damit einen ersten Schritt dar, um die Größe und den Umfang der DeFi-Kriminalität zu beurteilen.“

Catherine Carpentier-Desjardins, Universität Montreal

Während im Jahr 2017 nur 16 Fälle dokumentiert wurden, kam es 2021 bereits zu 308 und 2022 schließlich zu 435 dokumentierten Straftaten.

Bernhard HaslhoferAnja-Böck/CSH

Dieses gesamte Ökosystem steckt noch in den Kinderschuhen. Es ist hochkomplex und derzeit wird kaum verstanden, wie es funktioniert. Deshalb ist die Sicherheit in diesem Bereich nach wie vor ein Problem.“

Bernhard Haslhofer, Leiter der Forschungsgruppe Cryptofinance am Complexity Science Hub

Größter Einzelverlust: 3,6 Milliarden US-Dollar

Bei der Hälfte der Angriffe betrug der Schaden mehr als 356.000 Dollar, wobei sich der kleinste „Hack“ auf nur 158 US-Dollar belief, während beim größten 3,6 Milliarden US-Dollar verschwanden. Dieser enorme Verlust stand im Zusammenhang mit Africrypt, einer zentralisierten Finanzplattform (CeFi) aus Südafrika.

CeFi stellt die Verbindung zwischen dem traditionellen Finanzwesen und dezentralisierten Finanzsystemen (DeFi) dar. Es handelt sich um Kryptohandelsbörsen, wo der Handel sowohl mit Fiat- als auch mit Kryptowährungen über ein zentralisiertes Verwaltungssystem erfolgt.

Ob Africrypt gehackt wurde oder die Administratoren mit dem Geld verschwunden sind, spielt gar keine große Rolle: Was zählt, ist, dass jemand mit den Investitionen der Kunden verschwinden konnte, weil das Geld zentral verwaltet wurde, selbst wenn es sich dabei um Kryptowährungen handelte.“

Masarah-Cynthia Paquet-Clouston. Universität Montreal

Forschungsgruppe Cryptofinance am Complexity Science Hub

Diese Art von Ereignissen komme im CeFi-Sektor häufig vor. Obwohl die Forscher im DeFi-Bereich mit 1.050 Straftaten deutlich mehr erfolgreiche Angriffe beobachten können, sind die Schäden im CeFi-Bereich wesentlich höher. „Bei nur 105 dokumentierten Straftaten beliefen sich die Schäden hier auf 20 Milliarden Dollar, also zwei Drittel des Gesamtschadens“, erklärt Haslhofer. Im Vergleich dazu werden im traditionellen Finanzsektor alle Plattformen von Regulierungsbehörden streng überwacht, was solche Vorfälle dort weniger wahrscheinlich mache.

Häufigste Ursache: Technische Schwächen

Neben dem Ausmaß untersuchten die Forscher, welche Arten von Angriffen stattfinden und auf welchen technischen Ebenen. In 52,4% der Fälle wurden DeFi-Services attackiert. Gelungen ist das fast immer durch technische Schwächen auf Protokollebene. „Daher sollten Akteure die Sicherung ihrer Verträge und Protokolldesigns priorisieren, um externe Bedrohungen zu minimieren“, so CSH-Forscher Stefan Kitzler.

In 40,7% der Fälle wurde DeFi verwendet, um Benutzer anzugreifen. „Wenn das geschieht, werden bei über 70% der Straftaten manipulierte Kryptowährungen verwendet, die eine Art Seitentür eingebaut haben, durch die Täter Gelder abziehen können“, erklärt Kitzler.

Sicherheitslücken und Marktmanipulation

Zu wissen, wo ein Angriff am wahrscheinlichsten stattfindet, ist laut den Forschern essenziell, um effektive Gegenmaßnahmen setzen zu können.

Es besteht kein Zweifel, dass sich die Sicherheit im DeFi-Sektor verbessert. Dennoch bleibt dieser Sektor aufgrund zahlreicher Möglichkeiten ein bevorzugtes Ziel für motivierte Täter.“

Masarah-Cynthia Paquet-Clouston. Universität Montreal

Diese ergeben sich auch aus dem Potenzial für Marktmanipulation. Zudem seien gestohlene Gelder unwiederbringlich verloren. Daher wird der DeFi-Sektor auch mit robusten Sicherheitsmaßnahmen weiterhin ein Ziel bleiben, sind sich die Forscher sicher. „Es ist wichtig, die asymmetrische Position zwischen Angreifern und Verteidigern zu verstehen: Während die Verteidiger jede potenzielle Schwachstelle absichern müssen, brauchen die Angreifer nur eine zu finden“, betont Paquet-Clouston.

Wohin geht das Geld?

Die Studie zeigt, wo Angriffe am wahrscheinlichsten stattfinden und in welchem Ausmaß. Der Spur des Geldes zu folgen, ist im DeFi-Bereich aber derzeit noch außerordentlich schwierig. Deshalb startet aktuell das Projekt „DeFi Trace“ am Complexity Science Hub unter der Leitung von Bernhard Haslhofer. „Im Laufe von zwei Jahren wollen wir Methoden entwickeln, um möglichst automatisiert illegale Zahlungsströme im DeFi-Bereich nachvollziehen und dadurch kriminelle Aktivitäten eindämmen zu können“, so Haslhofer.

Die Studie “Mapping the DeFi Crime Landscape: An Evidence-based Picture” können Sie hier kostenlos als PDF herunterladen.

Projektpartner sind das Bundesministerium für Finanzen, das Bundesministerium für Justiz, das Bundesministerium für Inneres, das AIT, die Universität Innsbruck, die FMA, die OeNB, sowie die Zentralstelle Cybercrime Bayern (ZCB). Gefördert wird dieses Projekt von der Österreichischen Forschungsförderungsgesellschaft (FFG).aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert