Mono Audit logo
Leistungen
Artikel > On-Chain-Monitoring für Web3-Sicherheit

Jul 16, 2025

On-Chain-Monitoring für Web3-Sicherheit

On-Chain-Monitoring ist ein kontinuierlicher Prozess der Analyse des Datenflusses innerhalb eines Blockchain-Netzwerks. Sein Zweck ist es, umsetzbare Erkenntnisse zu generieren, die die Entscheidungsfindung unterstützen, insbesondere für die Web3-Sicherheit.

Dies umfasst eine breite Palette von Aufgaben, vom einfachen Nachverfolgen von Total Value Locked (TVL) oder Marktkapitalisierung bis hin zu ausgeklügelten, automatisierten Ansätzen zur Verhinderung von Angriffen im Moment des Auftauchens einer Bedrohung.

Blockchain-Daten werden in einem optimierten Format gespeichert, was es für Endbenutzer schwierig macht, Informationen einfach zu lesen und zu aggregieren. Um diese Informationen zugänglich zu machen, gibt es verschiedene Methoden und Plattformen zum Extrahieren und Verarbeiten von Blockchain-Daten.

Moderne Protokolle arbeiten oft über mehrere Blockchains hinweg, manchmal sogar mit unterschiedlichen Architekturen. Diese Komplexität erhöht den Bedarf an Tools, die Daten aus verschiedenen Blockchains extrahieren und normalisieren können, zusätzlich.

Ziele des On-Chain-Monitorings

Finanzkennzahlen

Ein grundlegender Anwendungsfall für das On-Chain-Monitoring in jedem Web3-Protokoll ist das Sammeln von Daten für wichtige Finanzkennzahlen wie TVL, Proof of Reserves (PoR) und Protokoll-Transaktionsvolumen.

Um diese Werte bequem in einer Benutzeroberfläche anzuzeigen, werden Rohdaten zunächst von der Blockchain gesammelt und auf einem Backend akkumuliert. Die periodische Datenerfassung von finalisierten Blockchain-Blöcken eignet sich hierfür, wobei die Daten typischerweise bei Bedarf angefordert werden.

Protokollleistung und Gesundheitsindikatoren

Das On-Chain-Monitoring kann so konfiguriert werden, dass relevante Daten gesammelt werden, um den aktuellen Zustand und die Betriebsgesundheit eines Protokolls zu beurteilen.

Dazu gehören Metriken wie der Prozentsatz erfolgreicher Transaktionen, die Dynamik der Volumenänderung sowie Kapitalab- und -zuflüsse. Die Überwachung dieser Indikatoren ermöglicht es Teams, festzustellen, ob das Protokoll wie erwartet funktioniert. Werden Abweichungen festgestellt, können die notwendigen Maßnahmen zur Behebung der Probleme ergriffen werden.

Für diese Art des Monitorings ist eine kontinuierliche Datenerfassung vom allerneuesten Block erforderlich, sobald dieser auf der Blockchain gebildet wird. Zusätzlich zum Erstellen von Dashboards aus den gesammelten Daten sollte ein Warnsystem eingerichtet werden, um Abweichungen von den erwarteten Metriken zu kennzeichnen.

Bedrohungs- und Vorfallerkennung

Die fortschrittlichsten Überwachungssysteme können Angriffsversuche entweder vor oder während ihrer Ausführung erkennen.

Spitzensysteme können Transaktionen innerhalb des Mempools (der Pool der ausstehenden Transaktionen) analysieren, was bedeutet, dass sie Bedrohungen bereits erkennen können, bevor ein Angriff On-Chain ausgeführt wird. In Kombination mit automatisierten Systemen zum Anhalten von Smart Contracts und zum Blacklisting bösartiger Adressen können diese Maßnahmen Angriffe stoppen oder deren Auswirkungen erheblich reduzieren.

Um effektiv zu funktionieren, müssen solche Systeme in einem vollautomatischen Modus arbeiten, ohne dass menschliches Eingreifen erforderlich ist, um Notfallprotokolle einzuleiten.

Werte, die durch On-Chain-Monitoring verfolgt werden

Kernwerte

Die primären Kernwerte, die während des On-Chain-Monitorings gelesen werden, sind Adressguthaben und Smart-Contract-Zustandsvariablen. Diese Werte beschreiben den aktuellen finanziellen und logischen Zustand des gesamten Blockchain-Netzwerks. Änderungen in diesen Werten spiegeln alle Prozesse wider, die auf der logischen Ebene der Blockchain auftreten.

Das Lesen von Ereignissen, die von Smart Contracts generiert werden, bietet ein vollständigeres Bild der Netzwerkaktivitäten.

Die Analyse von Protokollinvarianten wird auf der Grundlage von Daten durchgeführt, die durch das Lesen dieser Kernwerte gewonnen werden.

Qualitative Merkmale

Die nächste Ebene der Blockchain-Aktivitätsanalyse umfasst das Lesen und Verarbeiten von Daten wie dem Aufruf spezifischer Funktionen, zum Beispiel administrativer. Dies beinhaltet die Identifizierung der Merkmale der Adresse, die eine Transaktion initiiert hat, z. B. wenn eine administrative Funktion von einer Adresse außerhalb eines vertrauenswürdigen Kreises aufgerufen wird.

Die Bewegung von Geldern, die einen vordefinierten Schwellenwert überschreitet, kann als verdächtige Aktivität angesehen werden, ebenso wie die unerwartete Nutzung der Governance-Funktion eines Protokolls.

Zusätzliche Werte

Weitere Datenpunkte, die für die Protokollüberwachung nützlich sind, umfassen den Prozentsatz fehlgeschlagener Transaktionen und Liveness-Indikatoren der zugrunde liegenden Protokolle.

Arten der Bereitstellung von Überwachungssystemen

In-house

Einfache On-Chain-Überwachungssysteme, die für die periodische statistische Erfassung konzipiert sind, können vom Entwicklungsteam eines Protokolls entwickelt und bereitgestellt werden.

Komplexere Systeme, die einen hohen Durchsatz und eine hohe Verarbeitungsgeschwindigkeit erfordern, sollten nur dann intern entwickelt und gewartet werden, wenn Sie auf erhöhte Kosten, möglicherweise für einzigartige Funktionalitäten, vorbereitet sind. Sie müssen auch hochqualifiziertes Personal für dieses Vorhaben bereitstellen.

SaaS

In den meisten Fällen ist die Nutzung fortschrittlicher SaaS-Produkte (Software-as-a-Service) die optimale Wahl.

Führende Lösungen von Branchenpionieren bieten Zugang zu Technologien, die von spezialisierten Teams verfeinert und über die Zeit bewährt wurden.

Top-Überwachungssysteme bieten den schnellstmöglichen Zugriff auf Mempools über alle verfügbaren Blockchains hinweg. Das Erreichen solcher Fähigkeiten intern durch die Entwicklung eines kundenspezifischen Systems würde erheblich höhere finanzielle und zeitliche Kosten verursachen.

Die besten SaaS-Lösungen ermöglichen es Ihnen, Frühwarnsysteme mit Ihrem automatisierten Notfallreaktionsdienst zu integrieren. Durch die Verwendung solcher Produkte erhalten Sie auch Zugang zu einer Analyseplattform und einem Teambenachrichtigungssystem mit granularen Ereignis- und Zustellungskanaleinstellungen.

Hybrid

In der Praxis werden Sie wahrscheinlich ein Hybridsystem verwenden. Ein Frühwarn- und Incident-Response-System integriert sich in Ihr Backend, um Reaktionsprotokolle auszulösen. Zusätzlich können vom SaaS-System gesammelte Daten eine weitere Verarbeitung oder Anreicherung erfordern, was bequem auf Ihrer Seite durchgeführt wird.

Datenquellen für das Monitoring

Unabhängig von der Art des Systems, das Sie verwenden möchten – SaaS oder In-house – müssen Sie genau verstehen, woher Ihre Blockchain-Daten stammen.

Abgesehen davon, dass Blockchains oft unterschiedliche, inkompatible Architekturen haben, ist es entscheidend zu wissen, wer der Datenanbieter ist.

RPC/Node

Für ein In-house-System können Sie den Zugriff auf kostenlose oder kostenpflichtige RPC (Remote Procedure Call)-Anbieter, Node-Anbieter nutzen oder sogar Ihren eigenen Blockchain-Node betreiben. Jede Option hat unterschiedliche Nutzungslimits und Kosten.

Wenn Sie sich für eine SaaS-Lösung entscheiden, sollten Sie mit Ihrem Anbieter klären, welche Quellen diese verwenden. Top-Dienste setzen typischerweise ihre eigenen Node-Cluster ein.

Block/Mempool

Abhängig von dem spezifischen Problem, das Ihr On-Chain-Monitoring-System lösen soll, erhalten Sie Daten entweder von finalisierten Blöcken oder vom Mempool.

Ein finalisierter Block stellt einen Schnappschuss des Zustands des Netzwerks zu einem bestimmten Zeitpunkt dar. Daten aus einem solchen Block können als vollendete Tatsache betrachtet werden, gebildet aus einer Reihe von Transaktionen. Diese Daten eignen sich gut für die Zusammenstellung von Statistiken und jede andere Analyse der Protokollfunktionalität.

Wenn wir jedoch die Absichten der Teilnehmer sehen wollen, bevor diese Absichten zu einer vollendeten Tatsache werden, müssen wir den Mempool des Blockchain-Knotens überwachen.

Diese Art der Überwachung erfordert direkten Zugriff auf einen Blockchain-Knoten und ist ein ressourcenintensiver Prozess. Anstatt periodisch neue Blöcke zu lesen, die in vorhersehbaren Intervallen erscheinen, müssen wir kontinuierlich auf jede neue Transaktion reagieren, die im Mempool erscheint.

Der Mempool-Zugriff ermöglicht die Emulation der Ausführung jeder Transaktion, bevor sie auf das Netzwerk angewendet wird, und hilft so festzustellen, ob eine solche Transaktion eine Bedrohung für unser Protokoll darstellt. Wird eine Bedrohung erkannt, kann das System Mechanismen auslösen, um das Protokoll anzuhalten, eine bösartige Adresse auf eine schwarze Liste zu setzen oder eine Position zu widerrufen, wenn eine Bedrohung für ein zugrunde liegendes Protokoll festgestellt wird.

Überwachungsergebnisse

On-Demand-Daten

Im einfachsten Szenario sammelt das On-Chain-Monitoring Informationen von der Blockchain, verarbeitet sie vor und speichert sie zur späteren Abfrage und Analyse.

Warnungen und Alarme

Fortgeschrittenere Systeme können zusätzlich zur Speicherung von Informationen gesammelte Daten analysieren, diese mit definierten Regeln vergleichen und relevante Empfänger über Abweichungen benachrichtigen.

Warnungen können durch Finanzereignisse ausgelöst werden, wie das Erreichen bestimmter Volumina oder Preise.

Alarme könnten durch Abweichungen von etablierten Verhaltensgrenzen ausgelöst werden, wie ein plötzlicher Liquiditätsabfluss oder ein Token-Preisverfall. Darüber hinaus sollten auch Verstöße gegen AML (Anti-Geldwäsche)-Richtlinien und Anzeichen von betrügerischem Verhalten das Team alarmieren.

Die Verwendung fortschrittlicher SaaS-Produkte ermöglicht eine nahtlose Integration mit wichtigen Anbietern kritischer Informationen.

Automatisierte Aktionen

Eine innovative Lösung, die von den besten SaaS-Produkten angeboten wird, ist die Fähigkeit zu automatisierten Reaktionen auf erkannte Bedrohungen.

Verdächtiges Verhalten, das im Mempool erkannt und als Angriff identifiziert wurde, kann ein Notfallprotokoll ohne menschliches Eingreifen aktivieren.

Die Sicherstellung der Funktionalität eines solchen Systems erfordert erhebliche Anstrengungen vom Entwicklungsteam des Protokolls. Die Möglichkeit, das Protokoll anzuhalten, Adressen auf eine schwarze Liste zu setzen und Positionen zu widerrufen, muss während der Entwurfs- und Codierungsphasen in das Protokoll integriert werden.

Der Aufbau und das Debugging eines Systems, das auf solche Signale vom Überwachungssystem reagiert und die notwendigen Transaktionen sendet, erfordert ebenfalls erhebliche Aufmerksamkeit.

Ein gut aufgebautes automatisiertes Reaktionssystem für erkannte Bedrohungen zahlt sich jedoch beim allerersten potenziellen Vorfall um ein Vielfaches aus.

Entwicklung einer Web3-Sicherheits-Roadmap

Lassen Sie sich von uns bei der Erstellung und Umsetzung einer robusten Web3-Sicherheits-Roadmap für Ihr Protokoll unterstützen. Bauen Sie Beziehungen zu führenden Sicherheitsexperten auf.
Mehr erfahren
languages menu
Web3 Security Roadmap
Leistungen
Schwachstellen
Hacks
Artikel
Kontakt
GitHub
Twitter
Telegram
LinkedIn