Fraunhofer IAO – BLOG

Smart Contracts, clevere Hacker und dumme Fehler: Wie Angreifer im Web3 vorgehen und wie wir sie stoppen können.

Mehr als 30 Milliarden US-Dollar wurden bis 2024 durch Hacks und Scams in Web3-Systemen gestohlen – und das ist nur die dokumentierte Spitze des Eisbergs. Die rasant wachsende Web3-Landschaft mit ihren dezentralen Anwendungen, digitalen Assets und selbstverwalteten Wallets hat eine vollkommen neue Angriffsoberfläche geschaffen. Im Unterschied zu klassischen Web2-Plattformen operieren Web3-Systeme weitgehend ohne zentrale Instanzen oder Intermediäre. Diese Dezentralität ist ein großes Versprechen – aber auch ein massives Sicherheitsrisiko. Die zentrale Frage lautet daher: Wie schaffen wir Vertrauen in einer Umgebung, die strukturell weniger Kontrolle kennt?

Warum klassische Cybersecurity-Modelle nicht ausreichen

Die Cybersicherheit hat über Jahrzehnte hinweg ausgereifte Modelle hervorgebracht, um Angreiferverhalten zu beschreiben und darauf zu reagieren. Frameworks wie die Cyber Kill Chain, das Diamond Model oder das MITRE ATT&CK Framework sind aus der Sicherheitsarbeit in Web2 nicht mehr wegzudenken. Doch in Web3 greifen diese Modelle nur begrenzt: Sie wurden für zentralisierte Systeme mit kontrollierten Infrastrukturen entwickelt. Web3 hingegen basiert auf Blockchains, Smart Contracts und selbstverwalteten Wallets. Angreifer zielen hier nicht nur auf Daten oder Systeme, sondern oft direkt auf tokenisierte Vermögenswerte. Neue Angriffsformen wie »Rug Pulls«, »Flash Loan Exploits« oder »Cross-Chain Bridge Attacks« finden in klassischen Modellen kaum Entsprechung. Es braucht ein neues Modell – eines, das auf die Spezifika von Web3 eingeht.

Die Web3 Attack Matrix: Ein neues Raster für Angreiferverhalten

Um genau diese Lücke zu schließen, haben wir zusammen mit einem Kollegen an der Goethe Universität in Frankfurt die Web3 Attack Matrix entwickelt und evaluiert. Sie basiert auf der bewährten Struktur des MITRE ATT&CK Frameworks, erweitert diese aber gezielt um Web3-spezifische Taktiken und Techniken. Grundlage der Entwicklung ist eine Datenbank von über 1000 real dokumentierten Sicherheitsvorfällen in Web3 – von kleinen Scams bis hin zu spektakulären Angriffen mit Verlusten im dreistelligen Millionenbereich. Die Matrix gliedert sich in neun zentrale Taktiken – darunter bekannte wie »Reconnaissance« oder »Credential Access«, aber auch neue wie »Smart Contract Exploit« oder »Off-Ramp«. Jede Taktik umfasst wiederum bis zu 18 konkrete Angriffstechniken, die sich in der Praxis beobachten lassen.

Was ist neu? Und was übernimmt das Modell?

Die Stärke der Web3 Attack Matrix liegt in ihrer Hybridität: Sie kombiniert das Bestehende mit dem Neuen. Bekannte Konzepte wie »Initial Access« oder »Command and Control« werden beibehalten, jedoch für Web3 spezifiziert. Zugleich werden vollkommen neue Kategorien eingeführt, etwa der gezielte Missbrauch von Smart Contracts oder das systematische Verschleiern von gestohlenen Assets über Mixing-Dienste oder Non-KYC-Börsen. Damit wird deutlich: Web3 erfordert nicht zwingend eine völlige Neudefinition von Sicherheit – wohl aber eine präzise Erweiterung bestehender Denkweisen.

Was sagen Expertinnen und Experten?

Im Rahmen der ersten Evaluationsphase haben wir 14 erfahrene Web3-Security-Expertinnen und Experten befragt. Sie haben die Matrix hinsichtlich Vollständigkeit, Verständlichkeit und Relevanz der einzelnen Taktiken bewertet. Besonders hoch eingestuft wurden Techniken wie »Private Key Theft«, »Scam Service/Account Creation«, »Cross-Chain Bridge Attacks« oder »Automated Wallet Draining«. Diese Bewertung zeigt: Die Matrix bildet reale Bedrohungslagen ab und bietet damit eine solide Grundlage, um Schutzmaßnahmen zu priorisieren und Awareness zu schaffen.

Warum das wichtig ist

In der Web3-Welt ist Sicherheit kein nachgelagertes Thema. Wer seine Wallet verliert, verliert nicht nur Vermögen, sondern auch digitale Identität: Domains, Zugang zu Plattformen, Verifizierungen. Die Grenzen zwischen Identität und Besitz verschwimmen. Dies bedeutet: Angriffe treffen nicht nur Systeme, sondern Menschen direkt. Und sie schlagen unmittelbar auf Vertrauen, Nutzung und Weiterentwicklung der Technologie zurück.

Vom Forschungsmodell zum Sicherheitsstandard?

Die Web3 Attack Matrix ist nicht nur ein wissenschaftliches Artefakt, sondern ein Werkzeug mit praktischem Nutzen. Sie kann Auditorinnen und Auditoren dabei helfen, Sicherheitsanalysen systematisch durchzuführen. Sie kann Entwicklerinnen und Entwickler frühzeitig für Bedrohungen sensibilisieren – idealerweise schon in der Designphase von Apps und Protokollen. Und sie kann für Entscheidungstragenden als Grundlage dienen, um Security-Ressourcen dort zu investieren, wo sie den größten Hebel entfalten.

Fazit: Angreifer denken systematisch – wir müssen es auch tun

Die Bedrohungen in Web3 sind real, vielfältig und technisch anspruchsvoll. Doch sie folgen Mustern. Mit der Web3 Attack Matrix liegt erstmals ein Instrument vor, das diese Muster sichtbar macht – strukturiert, evaluiert und anschlussfähig an bestehende Sicherheitskonzepte. Sie hilft uns, nicht nur zu reagieren, sondern vorausschauend zu handeln. Denn wer dezentrale Technologien ernst nimmt, muss auch deren Risiken ernst nehmen.

Die mobile Version verlassen