Web3 ist das dezentrale Web. Aber „Dezentralisierung“ ist zwar das Ethos hinter Web3, ist aber immer noch ein bisschen abstrakt. Die heutige Dezentralisierung bedeutet praktisch, dass Websites und Apps auf Blockchain-Netzwerken leben, anstatt auf zentralisierten Servern (wie im Web 2.0). Während Web3 nicht unbedingt auf Krypto- und Blockchain-Netzwerke angewiesen ist, ist das Konzept heute fast nicht mehr von der Technologie zu unterscheiden, die es antreibt.
Web3 ist eine Innovation, die auf neuen Technologien aufbaut, die sowohl einzigartige Vorteile als auch Risiken mit sich bringen. Web3 soll transparent, zensurresistent und vor allem dezentral sein. Diese Dezentralisierung stellt einen wichtigen Kompromiss dar: Es gibt mehr persönliches Risiko und mehr Verantwortung für die Benutzer.
In seiner idealen Form würde sich Web3 nicht auf zentrale Behörden oder Server verlassen und die Benutzer müssten nicht so vielen Drittanbietern vertrauen. Aber Web3, wie es heute existiert, beseitigt das Vertrauen oder die Abhängigkeit von zentralen Autoritäten nicht vollständig. Heutzutage erfordert das bloße Onlinegehen ein gewisses Maß an Vertrauen: dass Websites, Apps und Hardware das tun, was sie versprechen, dass sie unsere Daten, unser Geld und unsere Identität schützen. Das galt für Web 2.0 und gilt auch für Web3. Vielleicht ist es also besser, Web3 so zu definieren, dass es versucht, ein neues Vertrauensmodell einzuführen: eines, bei dem das Vertrauen minimiert und mehr in Geschäftsprozesse (oft Protokolle genannt) gelegt wird.
Web3-Benutzer müssen dem Code vertrauen, aus dem Blockchain-Netzwerke, Krypto-Wallets und Governance-Prozesse bestehen sowie den intelligenten Verträgen, auf denen dezentralisierte Apps (DApps) beruhen. Web3 ist also nicht vollständig dezentralisiert oder „vertrauensfrei“. Aber das sind die Kernziele der Web3-Befürworter, und es wird von Tag zu Tag besser.
In diesem kurzen Artikel gehen wir auf die verbleibenden Sicherheitsrisiken ein sowie wie Sie sich im Web3 schützen können.
Systematische Risiken im Web3
Systematisches Risiko bezieht sich auf ein breites, ökosystemweites Risiko, das größtenteils außerhalb der Kontrolle eines Benutzers liegt. Einige Beispiele für systematische Risiken im Web3 sind:
- Weit verbreiteter wirtschaftlicher Abschwung oder Volatilität des Kryptomarktes (was sich auf die Blockchains auswirken kann, die die meisten der heutigen Web3-DApps antreiben)
- Gesetzgebung, die für Web3 oder den Kryptomarkt ungünstig ist (was wiederum einen Trickle-down-Effekt auf die meisten Web3-DApps haben wird)
- Traffic-Blockierung, Takedown oder andere Zensurmaßnahmen von einigen immer noch zentralisierten Web3-Diensten (z. B. Knotenbetreiber)
- Technische Fehler bei Blockchain-Netzwerken (z. B. nicht vertrauenswürdige Knotenbetreiber oder ein Angriff auf das Netzwerk durch böswillige Akteure)
Marktvolatilität ist weit verbreitet, aber die meisten großen Blockchain-Netzwerke (wie Bitcoin und Ethereum) wurden jahrelang gegen schwerwiegende technische Ausfälle getestet. In jedem Fall sind diese Risiken für die Blockchain- und Kryptoindustrie und somit auch für Web3 endemisch. Es gibt jedoch einige Risiken, die Sie kontrollieren (oder zumindest reduzieren) können.
Adressierbare Sicherheitsrisiken im Web3
Zu den konkreteren Risiken, die Web3-Benutzer kennen sollten, gehören:
- Verlust privater Schlüssel
- Phishing, Betrug und Hacks, die auf die Krypto-Wallet oder die privaten Schlüssel eines Benutzers abzielen (im Großen und Ganzen behandelt das heutige Web3 eine Krypto-Wallet wie einen einzigartigen digitalen Zugangspass)
- Fehler und Missbrauch von intelligenten Verträgen
- Unternehmensversagen bei bestimmten Blockchain- oder Kryptounternehmen oder Börsen, die nicht das gleiche Maß an staatlicher Aufsicht (oder Schutz, wie etwa die US-amerikanische FDIC) haben wie traditionelle Dienste
Glücklicherweise gibt es Maßnahmen, die Sie ergreifen können, um sich gegen jedes dieser Risiken zu schützen.
Schützen Sie Ihre privaten Schlüssel
Wenn Sie Ihr Vermögen in einer Self-Custody-Wallet aufbewahren (im Gegensatz zu einer zentralisierten Börse), haben Sie die alleinige Kontrolle über Ihre privaten Schlüssel und damit über Ihr Vermögen. Am häufigsten werden private Schlüssel mit einer Wiederherstellungsphrase gesichert, einem eindeutigen Satz von 12 oder 24 Wörtern in einer bestimmten Reihenfolge, der Zugriff auf eine Krypto-Wallet-Adresse gewährt. Es ist wie eine für Menschen lesbare Version Ihrer privaten Schlüssel – und es funktioniert wie Ihr Bankpasswort. Wiederherstellungsphrasen gewähren genau wie private Schlüssel die vollständige Kontrolle über die Vermögenswerte in einer Brieftasche und müssen sorgfältig geschützt werden.
Viele Leute bewahren ihre Wiederherstellungsphrasen in einem feuerfesten Safe auf und notieren sie auf etwas, das widerstandsfähiger gegen Beschädigungen ist als ein Stück Papier (wie das Gravieren auf einem Stück Stahl). Es kann auch ratsam sein, mehrere Kopien Ihres Wiederherstellungssatzes an verschiedenen Orten aufzubewahren, z. B. in einem Bankschließfach oder einem Safe zu Hause – aber jede Kopie muss sicher aufbewahrt werden, da jedes physische Vorkommen des Satzes die Wahrscheinlichkeit eines Diebstahls oder von Kompromittierung erhöht.
Schützen Sie sich vor Phishing-Versuchen, Betrug und Hacks
Es ist auch wichtig, Ihre privaten Schlüssel und Wiederherstellungsphrasen vor digitalem Diebstahl zu schützen – die überwiegende Mehrheit der Hacks, Betrügereien und Phishing-Versuche in Kryptographie zielen auf Ihre privaten Schlüssel oder Wiederherstellungsphrasen ab. Wenn ein Hacker die Kontrolle über eines von beiden erlangt, erlangt er die Kontrolle über Ihre Vermögenswerte.
Phishing-Versuche sind die häufigste Methode, mit der jemand versucht, Zugriff auf Ihre Wallet zu erhalten. Möglicherweise erhalten Sie E-Mails oder Nachrichten von Personen, die vorgeben, jemand anderes zu sein (z. B. ein Support-Teammitglied), und nach Ihrem privaten Schlüssel oder Wiederherstellungssatz fragen. Wenn Sie jemals unsicher sind, ob eine Nachricht legitim ist, wenden Sie sich direkt an das Unternehmen – über Twitter, Discord oder eine andere Kundensupport-Methode – bevor Sie auf einen Link klicken. Betrüger können Sie auch kontaktieren, um Ihnen mitzuteilen, dass Sie einen Preis gewonnen haben (z. B. kostenlose Krypto), und Ihre sensiblen Wallet-Daten anfordern. Grundsätzlich sollten Sie Ihre privaten Schlüssel und Wiederherstellungsphrasen niemals an Dritte weitergeben.
Eine großartige Strategie, um Ihre privaten Schlüssel vor automatisierten Angriffen und Malware zu schützen, besteht darin, sie mit einer selbstverwahrten Hardware-Wallet offline zu halten – eine Methode, die als „Cold Storage“ bekannt ist. Geräte wie Ledger und Trezor bieten physischen Offline-Speicher für Ihre privaten Schlüssel. Diese Geräte „signieren“ (oder genehmigen) Transaktionen sicher offline mit Ihren privaten Schlüsseln. Dann verbinden Sie die Cold Wallet mit dem Internet, um die signierte Transaktion zu übertragen. Auf diese Weise werden Ihre privaten Schlüssel niemals preisgegeben, während Sie online sind. Hardware-Wallets sind die beste Methode sicherer Offline-Kryptospeicherung, aber Sie müssen sie genauso sicher aufbewahren wie eine Wiederherstellungsphrase.
Hinweis: Brave wird Sie niemals nach Ihrer Brave Wallet-Wiederherstellungsphrase fragen. Teilen Sie diese niemals mit Brave oder anderen Personen.
Achten Sie auf Fehler und Missbrauch bei intelligenten Verträgen
Das dezentrale Web ist voll von Websites und DApps, die in Blockchain-Netzwerken leben. Diese Netzwerke basieren vollständig auf intelligenten Verträgen (oder haben zumindest eine Kernlogik, die darauf ausgeführt wird). Intelligente Verträge – Blockchain-basierte Programme, die automatisch ausgeführt werden – sind die Grundlage von Web3. Sie sind auch ziemlich neu und können anfällig für Fehler in ihrem Code sein (was, weil sie ja automatisch ausgeführt werden, katastrophale Folgen haben kann). Hacker suchen oft nach Fehlern in ihrem Code, die sie ausnutzen können, um Gelder von DApps oder ihren Benutzern zu stehlen. Böswillige Akteure könnten sogar absichtlich intelligente Verträge entwickeln, die darauf ausgelegt sind, Vermögenswerte aus Krypto-Wallets zu entwenden.
Glücklicherweise sind sich viele Web3-Entwickler der Bedeutung von fehlerfreiem Code bewusst. Wie bei jedem Open-Source-Projekt ist es für Entwickler entscheidend, den Code einfach zu halten, strenge und regelmäßige Sicherheitsüberprüfungen durchzuführen und eine formelle Überprüfung zu suchen, bevor sie Produkte für die Öffentlichkeit freigeben – insbesondere wenn es um Benutzergelder geht. Aber natürlich verfügen die meisten Menschen nicht über das technische Fachwissen, um Code zu bewerten, um festzustellen, ob ein Dienst oder eine DApp sicher ist. Es ist leicht, das Ziel von Angreifern zu werden, die versuchen, Gelder zu stehlen.
Was können Sie also tun? Ein paar Methoden können helfen:
- Versuchen Sie, nur bekannte DApps, bei deren Sicherheit es zu keiner Zeit Probleme gab, zu nutzen
- Versuchen Sie, neuere DApps oder Dienste zu vermeiden, die möglicherweise mehr Risiken darstellen
- Überprüfen Sie die URLs für die von Ihnen verwendeten Dienste sorgfältig (das kann während des Transaktionssignierungsprozesses in Brave Wallet erfolgen) und fügen Sie diese zu Ihren Lesezeichen hinzu, um zu vermeiden, dass Sie auf eine imitierte Website umgeleitet werden
Achten Sie auf Unternehmensversagen
Wie in der Einleitung zu diesem Artikel erwähnt, befindet sich das heutige Web3 in einem Zwischenzustand: Es ist oft, aber nicht immer, dezentral. Eine Möglichkeit, wie dieser Zwischenzustand ein Risiko darstellt, sind zentralisierte Web3-Unternehmen wie zentralisierte Kryptobörsen (CEXs). Wenn eine einzelne Einheit wie diese zusammenbricht, kann dies weitreichende Volatilität auf den Kryptomarkt bringen und sich direkt auf die Benutzer auswirken (denken Sie an wichtige Beispiele wie Three Arrows Capital, Terraform Labs und – ganz aktuell – FTX). Diese drei Beispiele repräsentieren ein Spektrum von Kryptounternehmen (eine Investmentgruppe, ein Blockchain-Entwicklungsteam und eine CEX) mit einem gemeinsamen Nenner: Sie waren zentralisierte Unternehmen, die im dezentralisierten Web3-Raum aktiv waren. Und sie brachen alle zusammen, sodass Investoren und Nutzer sich mit den Folgen auseinandersetzen mussten.
Wie in jeder anderen Ecke des Internets gibt es auch in Web3 bösartige Akteure. Wenn möglich, sollten Sie versuchen, bei großen, seriösen Web3-Unternehmen zu bleiben. Natürlich sind aber auch einige der größten Namen im Kryptobereich zusammengebrochen; somit gibt es keine Garantie dafür, dass ein Dienst sicher ist, nur weil er beliebt ist.
Wenn Sie diese Art von Risiko ganz vermeiden möchten, sollten Sie über Selbstverwahrung nachdenken. Auch hier eliminiert Web3 das Risiko nicht vollständig, es gibt Ihnen aber die Wahl, wem Sie vertrauen möchten.
Allgemeine Web3-Sicherheitstipps
Im Allgemeinen lassen sich viele Best Practices für die Sicherheit von Web 2.0 auf Web3 übertragen:
- Verwenden Sie die Zwei-Faktor-Authentifizierung (2FA)
- Erstellen Sie starke (a,lso längere) Passwörter
- Verwenden Sie ein Passwort nicht für mehrere Dienste
- Hüten Sie sich vor Betrug und Phishing-Versuchen und überprüfen Sie die Quelle, bevor Sie etwas herunterladen
Eine weitere kluge Strategie ist die Diversifikation. Indem Sie Ihre Krypto-Assets zwischen Selbstverwahrungs-Wallets, CEXs und Offline-Hardware-Wallets diversifizieren, verringern Sie die Wahrscheinlichkeit, dass ein Problem mit einer dieser Methoden auch die anderen betrifft. In ähnlicher Weise können Sie bei der Verwendung von DApps diversifizieren, welche intelligenten Verträge und Plattformen Sie verwenden, ohne alle Ihre Gelder in ein einziges Protokoll einzuzahlen.
Web3 gibt Ihnen eine echte Chance, Ihr eigener Verwalter zu sein und die Kontrolle über Ihr Vermögen zu übernehmen. Aber das bedeutet auch, bewusst und vorsichtig zu sein. Alles, was wir online tun, beinhaltet ein Element des Vertrauens, des Nichtwissens. Während Web3 – wie auch Web 2.0 – diesen Punkt noch nicht erreicht hat, besteht das Kernethos von Web3 darin, dieses Element des Unwissens zu minimieren und alles offener und überprüfbarer zu machen.
Diejenigen, die daran interessiert sind, die Selbstverwahrung zum ersten Mal auszuprobieren, oder diejenigen, die einen Schutz auf Brave-Niveau für ihre Wallet suchen, sollten Brave Wallet ausprobieren. Dabei handelt es sich um eine browsernative Wallet, die die Messlatte für Datenschutz und Sicherheit bei der Krypto-Selbstverwahrung höher legt.