Hegic, ein DeFi-Optionshandelsprotokoll, musste seinen Smart-Contract erneut starten, nachdem ein Bug im Code die Optionskontrakte freischaltbar gemacht hatte. Es kam zu einem Wortgefecht zwischen Hegics Schöpfer und dem Smart-Contract Auditor Trail of Bits.
Was ist der Sinn eines Audits?
Verschiedene DeFi-Protokolle haben bereits Sicherheitslücken aufgezeigt, aber keines der Fälle war so vermeidbar wie der Vorfall mit Hegic. Es gab keine Sicherheitslücke oder Hacker, der einen Angriff auf Hegic auslöste. Stattdessen war ein einfacher Tippfehler der wahre Auslöser für den Bug.
Anstelle von „OptionsIDs“, der Codezeile, die Liquidität freisetzt, hat der Entwickler „OptionIDs“ geschrieben und veröffentlicht. Ein einzelnes weggelassenes „s“ in einer Codezeile führte dazu, dass die Liquiditätsfreigabefunktion fehlschlug.
Benutzer konnten ihr Geld abheben, aber das Geld konnte nicht freigeschaltet werden, sobald die Optionen abgelaufen waren.
Molly Wintermute, die Schöpferin und alleinige Entwicklerin von Hegic, gab sofort Warnungen auf Discord, Twitter und Telegram heraus, als sie den Fehler entdeckte.
Hegic versprach, die Liquiditätsanbieter wieder vollständig zu machen, indem gezahlte Aufschläge und etwaige Verluste aus bestehenden Positionen erstattet werden. Drei Calls und 16 Puts, insgesamt 19 Optionen, wurden nicht ausgeübt und haben die ETH im Wert von fast 30.000 US-Dollar für immer eingefroren.
Die Geschichte ist jedoch noch lange nicht vorbei. Dan Guido, CEO von Trail of Bits, nutzte Twitter, nachdem sein Unternehmen unter Beschuss geraten war, weil es den Code von Hegic überprüft hatte.
Guido erklärte, dass eine Codeüberprüfung keine Sicherheitsbescheinigung sei, sondern ein Rahmen für Entwickler, um die Fehler in ihrem Code zu verstehen und zu beheben. Zweitens wies er darauf hin, dass Trail of Bits nicht genügend Zeit hatte, um Hegics Code ausreichend zu prüfen.
Wintermute sagte jedoch, dass sie eine einwöchige Überprüfung beantragt und gefragt habe, ob die Sicherheitsüberprüfung gemäß einer Reihe von veröffentlichten E-Mails vollständig oder teilweise durchgeführt werden würde.
Das Unternehmen sagte, dass eine dreitägige Codeüberprüfung ausreichen würde, um eine „gute Abdeckung der Smart-Contracts“ zu gewährleisten. Die Entwicklerin von Hegic gab außerdem an, dass sie die Vorschläge umgesetzt hat, die in der Zusammenfassung der Codeüberprüfung aufgeführt sind.
Vertrauen der Benutzer in DeFi-Protokolle
Audits für Smart-Contracts gelten allgemein als Gütesiegel von Sicherheitsexperten.
Dieses Debakel bestätigt jedoch, dass diese Experten Audits als Zusammenfassung für Entwickler betrachten, um ihren Code zu verbessern, und nicht als Dokument, in dem steht, dass dieser Code für den Massenkonsum bereit ist.
Für anspruchsvolle Benutzer, die Code selbst prüfen können, ist dies kein Problem, da sie Fehler und potenzielle Angriffsmethoden finden können. Aber für diejenigen, die technisch dies nicht nachvollziehen können, gibt es noch keine praktikable Alternative.
Audit-Unternehmen wissen, dass reguläre Benutzer keine vertrauenswürdige Quelle für Bewertungen haben. Als Reaktion darauf haben mehrere Prüfer, darunter ConsenSys und MythX, die Ethereum Trust Alliance ins Leben gerufen, um dem durchschnittlichen Benutzer Sicherheitsbewertungen für Smart-Contracts bereitzustellen.
Dies ist ein Schritt in die richtige Richtung und bietet Benutzern einfache Informationen zur Bewertung von Risiken bei DeFi-Protokollen.
Wichtige News verpasst?
Weitere Informationen rundum Bitcoin, Kryptowährungen und Blockchain findest du in dem aktuellen Video.
Diskutiere mit unserer Community über dieses und viele weitere Themen in der kostenlosen Telegram-Gruppe. Du möchtest keine News verpassen und immer auf den aktuellen Stand sein? Dann komm in unseren Telegram-Channel oder folge unsere Social Media Kanäle.
