Während Devconnect Buenos Aires haben die Ethereum Foundation und Sicher TrustX brachte Ethereum-Sicherheitsexperten zum Trillion Dollar Security Day zusammen, einer gezielten Veranstaltung, bei der untersucht wurde, was nötig wäre, um eine Billionen-Dollar-Ethereum-Wirtschaft sicher zu unterstützen.
Die Veranstaltung brachte rund achtzig Teilnehmer aus dem gesamten Ethereum-Sicherheitsökosystem zusammen – aus den Bereichen Infrastruktur, Interoperabilität, Layer 1 und 2, Onchain, Offchain, Datenschutz und Wallets –, um die aktuelle Sicherheitslandschaft zu bewerten, gemeinsame Herausforderungen aufzuzeigen und konkrete nächste Schritte im gesamten Stack zu identifizieren.
Die Diskussionen und Ergebnisse dieser Veranstaltung tragen zur laufenden One Billion Dollar Security (1TS)-Initiative der Ethereum Foundation bei.
Warum ein Billionen-Dollar-Sicherheitstag?
Der Trillion Dollar Security Day wurde konzipiert, um gezielte, persönliche Diskussionen innerhalb einzelner Ebenen zu ermöglichen und Praktiker zusammenzubringen, die an ähnlichen Teilen des Stacks arbeiten, um die aktuelle Sicherheitslage zu bewerten, betriebliche Realitäten auszutauschen und kurzfristige Prioritäten zu identifizieren. Die Ergebnisse dieser Sitzungen wurden dann zusammengefasst, um Muster und Abhängigkeiten im gesamten Ökosystem hervorzuheben.
Die Ziele der Trillion Dollar Security-Versammlung waren:
- Bewerten Sie die Sicherheitslage von Ethereum über den gesamten Stack hinweg und identifiziert Lücken, Herausforderungen und aufkommende Risiken
- Ermöglichen Sie eine kurzfristige Ausführung indem wir Ökosystemakteure auf umsetzbare Prioritäten ausrichten
- Langfristige Sicherheit stärken durch Koordination, gemeinsame Standards und Stärkung des Ökosystems
Die Teilnehmer teilten sich schichtweise in Breakout-Sitzungen auf und diskutierten, was heute funktioniert, was nicht und wo Anstrengungen am dringendsten erforderlich sind.
Schnappschuss: Schichtübergreifende Beobachtungen
Über die sieben Ebenen hinweg brachten die Teilnehmer mehrere wiederkehrende Themen zum Vorschein:
- Sicherheit wird oft als Meilenstein und nicht als kontinuierlicher Prozess betrachtet
- Vertrauensannahmen werden den Benutzern unzureichend kommuniziert
- Kritische Sicherheitswerkzeuge und öffentliche Güter verfügen nicht über eine nachhaltige Finanzierung
- Koordination und Anreize – nicht Kryptographie – bleiben die dominanten Risikofaktoren
Die folgende Tabelle gibt einen komprimierten Überblick über die wichtigsten Probleme und unmittelbaren nächsten Schritte, die während der Sitzungen identifiziert wurden.
| Schicht | Schlüsselthemen | Identifizierte unmittelbare nächste Schritte |
|---|---|---|
| Schicht 1 und 2 | Quantenrisiko, schwache L1/L2-Koordination, Cloud-Abhängigkeit, komprimierte Tests | Erweitern Sie das EPF-Onboarding, erstellen Sie L2-Verbindungen, verbessern Sie die EIP-Versionierung und -Verantwortung |
| Geldbörsen | Blindes Signieren, Paywall-Sicherheit, geringe Koordination | Bilden Sie eine Open Signing Alliance, eine neutrale/On-Chain-EIP-7730-Registrierung und Wallet-Dashboards |
| Onchain | „Geprüft ≠ sicher“, schwache IR, OpSec-Fehler | Finanzieren Sie OSS-Sicherheitstools, schaffen Sie Sichtbarkeit in der DeFi-Sicherheit und fördern Sie SEAL |
| Interop | Unsichere Vertrauensannahmen, UX bevorzugt Geschwindigkeit gegenüber Sicherheit | Interop-Vertrauensbewertungen, klarere Offenlegungen, Verbesserung der Canonical Bridge UX |
| Infrastruktur | Frontend-Hacks, RPC-Zentralisierung, DNS-SPOFs | Überprüfbare Frontends, Infrarot-Transparenz-Dashboards, Light-Client-Wallets |
| Offchain | Fehlausgerichtete Anreize, blinde Flecken auf der Web2-Angriffsoberfläche | Sicherheitsrahmen, Zertifizierungen, Personalmodelle für öffentliche Güter |
Schlüsselthemen nach Ebene
Für jede Ebene finden Sie vollständige Präsentationen Hier.
Schicht 1 und 2: Die Koordination bleibt ein Engpass
Die Multiclient-Architektur, die spezifikationsgesteuerte Entwicklung und der konservative Layer-1-Änderungsprozess von Ethereum bieten weiterhin starke Sicherheitsgrundlagen. Die Teilnehmer hoben jedoch Risiken hervor, die sich aus einer eingeschränkten Koordination zwischen L1 und L2, verkürzten Testzeitplänen, einer übermäßigen Abhängigkeit von der Cloud-Infrastruktur und Bedenken hinsichtlich Angriffen auf die Lieferkette ergeben.
Zu den größten Herausforderungen gehören die begrenzte Beteiligung der Community und der L2 an All-Core-Developer-Anrufen, die eingeschränkte Kapazität des Kundenteams zur frühzeitigen Überprüfung sich entwickelnder EIPs sowie anhaltende Bedenken hinsichtlich der L1-L2-Überbrückung und der RPC-Resilienz.
Die vorgeschlagenen nächsten Schritte konzentrieren sich auf die Erweiterung der Ethereum Protocol Fellowship (EPF), die Schaffung klarerer L2-Verbindungsrollen, die Verbesserung der EIP-Versionierung und der Eigentumserwartungen sowie die Stärkung der Moderation und Zugänglichkeit in Koordinierungsforen.
Wallets: Benutzersicherheit bleibt zu undurchsichtig
Als positiv wurden Fortschritte bei Signierungsstandards wie EIP-7730 und Verbesserungen bei der Auffindbarkeit von Wallets vermerkt. Gleichzeitig sind die meisten Hardware-Wallets immer noch auf Blindsignierung angewiesen, und die Beteiligung der Wallets an gemeinsamen Sicherheitsdiskussionen bleibt begrenzt.
Die Teilnehmer wiesen darauf hin, dass die wettbewerbsorientierte Wallet-Landschaft ein strukturelles Hindernis für die Zusammenarbeit darstellt und sich zu sehr auf die Ethereum Foundation verlässt, um die Koordination voranzutreiben.
Ein wichtiger Vorschlag war die Gründung einer Open Signing Alliance, die auf den Werten von Ethereum wie Offenheit, Neutralität und dem Walkaway-Test basiert. Zu den weiteren Prioritäten gehören das Hosten des EIP-7730-Registers in einem neutralen – oder On-Chain-Kontext – und die Finanzierung von Wallet-orientierten Sicherheits-Dashboards zur Verbesserung von Transparenz und Legitimität.
On-Chain-Sicherheit: Tools und Sichtbarkeit hinken dem Risiko hinterher
Die On-Chain-Sicherheit profitiert weiterhin von einem wachsenden Pool erfahrener Sicherheitsforscher, verbesserten Tools (z. B. Foundry) und einem gestiegenen Bewusstsein für die Reaktion auf Vorfälle durch Bemühungen wie SEAL911. Allerdings wird Sicherheit immer noch oft als Kontrollkästchen behandelt und „geprüft“ wird häufig mit „sicher“ verwechselt.
Die Teilnehmer betonten, dass die jüngsten Verluste auf betriebliche Sicherheitsmängel und nicht auf neuartige Smart-Contract-Exploits zurückzuführen seien. Zu den weiteren Herausforderungen gehören die zunehmende Protokollkomplexität, eine begrenzte invariante Überwachung und ein Mangel an wirtschaftlichen Prüfungen.
Zu den unmittelbaren nächsten Schritten gehören die nachhaltige Finanzierung von Open-Source-Sicherheitstools (Fuzzer, statische und dynamische Analysatoren), eine verbesserte Sichtbarkeit der DeFi-Sicherheitslage (ein „L2BEAT-ähnlicher“ Ansatz) und eine breitere Einführung von SEAL-Frameworks und Checklisten für verschiedene Vertragsklassen.
Interoperabilität: Vertrauensannahmen müssen explizit sein
Ethereum-Benutzer profitieren von einer breiten Palette an Interoperabilitätsoptionen und einer immer schnelleren und kostengünstigeren UX. Gleichzeitig betonten die Teilnehmer, dass viele Interop-Protokolle auf schlecht kommunizierten Vertrauensannahmen beruhen, was dazu führt, dass Benutzer „schnell und günstig“ mit sicher verwechseln.
Viele nicht-kanonische Brücken bestehen den Walkaway-Test nicht und das Risiko bleibt nach der Überbrückung aufgrund umhüllter Assets und nachgelagerter Abhängigkeiten häufig bestehen.
Zu den vorgeschlagenen Maßnahmen gehören die Entwicklung von Interop-Vertrauensbewertungen, die Annahmen und Verifizierungsmodelle klar spezifizieren, das Festlegen starker Erwartungen für explizite Vertrauensoffenlegungen durch kettenübergreifende Aggregatoren sowie die Verbesserung der Geschwindigkeit und der Kosten kanonischer Brücken, um die Abhängigkeit von unsicheren Alternativen zu verringern. Außerdem wurde ein Folgeworkshop zur Interoperabilität vorgeschlagen.
Datenschutz: UX und Infrastruktur sind die Hauptbeschränkungen
Es herrschte weitgehend Einigkeit darüber, dass der Datenschutz zunehmend als normaler und notwendiger Teil der Zukunft von Ethereum angesehen wird, und es gibt ermutigende Fortschritte in der wissensfreien Forschung und der institutionellen Einführung. Allerdings bleiben Benutzererfahrung, Kosten und Einschränkungen der Infrastruktur die größten Hindernisse.
Zu den größten Herausforderungen gehören das RPC-basierte Tracking, Schwierigkeiten bei der privaten Datenspeicherung und -wiederherstellung, ein Mangel an Entwicklern, die sich auf die UX privater Wallets konzentrieren, und das Fehlen von Hardwareunterstützung für datenschutzschützende Schlüssel.
Zu den vorgeschlagenen nächsten Schritten gehören eine stärkere Nutzung von Light-Client-Daten über P2P-RPC, Investitionen in Private Wallet UX, Forschung zu ZK-fähigen Hardware-Signaturen und die Zusammenarbeit mit Regulierungsbehörden, um klarere Leitlinien für erlaubnislose Datenschutztechnologien zu finden.
Infrastruktur- und Off-Chain-Sicherheit: Die unsichtbare Angriffsfläche
Frontend-Kompromittierungen, DNS-Hijacks, RPC-Zentralisierung und Software-Supply-Chain-Angriffe wurden immer wieder als unterschätzte Risiken genannt. Die Teilnehmer stellten auch einen Mangel an nachhaltiger wirtschaftlicher Ausrichtung für gemeinnützige Organisationen fest, die kritische öffentliche Sicherheitsgüter bereitstellen.
Zu den größten Herausforderungen gehören die falsche Trennung zwischen „Web2“- und „Web3“-Sicherheit, die begrenzte Verantwortlichkeit für Ausfälle außerhalb der Kette und die Tendenz, Sicherheit gegen Geschwindigkeit oder Bequemlichkeit einzutauschen. Hervorgehoben wurde auch die Unfähigkeit, Knoten problemlos über Tor laufen zu lassen.
Zu den vorgeschlagenen nächsten Schritten gehören die Erstellung überprüfbarer Frontend-Prototypen, die Erhöhung der Transparenz rund um RPC und den Zustand der Infrastruktur, die Weiterentwicklung von Sicherheits-Frameworks und -Zertifizierungen sowie die Schaffung strukturierter Kooperationsmodelle, bei denen private Unternehmen ihre Zeit und Ressourcen für die Sicherheit öffentlicher Güter bereitstellen.
Ereignisreflexionen
Die Teilnehmer bewerteten die Qualität der Diskussion und die Relevanz der Themen als ausgezeichnet und betonten den Wert des persönlichen, schichtübergreifenden Austauschs. Die Hauptbereiche für Verbesserungen waren die Logistik, einschließlich der Gruppengröße und der Möglichkeiten für strukturiertes Networking.
Es bestand eine starke Nachfrage nach künftiger Arbeit, die sich auf angewandte Sicherheitsstandards, gemeinsame Tools und praktische „How-to“-Anleitungen für die Implementierung konzentrierte.
Was als nächstes kommt
Das Trillion Dollar Security-Treffen verdeutlichte, wie wichtig es ist, Sicherheitsexperten persönlich zusammenzubringen, um ein gemeinsames Verständnis und eine gemeinsame Dynamik aufzubauen. Konzentrierte, persönliche Diskussionen trugen dazu bei, die Abstimmung von Standards, Werkzeugen und praktischen Lösungen auf eine Weise zu beschleunigen, die durch asynchrone Koordination allein nur schwer zu erreichen wäre.
Die Diskussionen unterstrichen auch, wie wichtig es ist, eine kontinuierlich aktualisierte, gemeinsame Sicht auf die Sicherheitslage von Ethereum aufrechtzuerhalten. Während sich das Ökosystem weiterentwickelt, muss regelmäßig neu bewertet werden, was funktioniert, wo Annahmen nicht mehr gelten und welche Bereiche erneuter Aufmerksamkeit bedürfen, um aufkommenden Risiken einen Schritt voraus zu sein.
Die Erkenntnisse aus Buenos Aires werden neben der laufenden Arbeit im gesamten Ökosystem weiterhin in die One Billion Dollar Security-Bemühungen der Ethereum Foundation einfließen. Der kurzfristige Schwerpunkt liegt weiterhin auf der Unterstützung der Ausführung, der Ermöglichung der Einführung offener und neutraler Sicherheitsstandards und der Stärkung der Grundlagen, die für die Sicherheit von Ethereum in großem Maßstab erforderlich sind.
Vielen Dank an die Sicherheitsschicht-Champions @vdWijden, @barnabas, @zachobront, @ethzed, @mattaereal, @ncsgy Und @ThewizardofPOS. Und @0xRajeev Und @fredrik0x für die Bewirtung.
