Betrug
Der 21. Februar war ein schwarzer Tag für den Kryptomarkt, damals passierte der größte Raub in seiner Geschichte. Angreifer erbeuteten rund 1,5 Milliarden Dollar von Bybit, der zweitgrößten Kryptobörse der Welt. Experten sprechen vom größten Diebstahl aller Zeiten. Für Bybit waren weder dieser Verlust noch die Abhebung weiterer 5 Milliarden Dollar durch panische Anleger fatal. Trotzdem unterstreicht der Vorfall die grundlegenden Schwächen des modernen Krypto-Ökosystems und ergibt einige wertvolle Lehren – auch für gewöhnliche Nutzer.
Wie Bybit ausgeraubt wurde
Wie alle großen Kryptobörsen sichert Bybit gespeichertes Kryptoguthaben durch einen mehrschichtigen Schutz. Krypto wird überwiegend in Cold Wallets gespeichert, die nicht mit Online-Systemen verbunden sind. Wenn das Umlaufvermögen aufgestockt werden muss, wird der erforderliche Betrag manuell aus dem Cold Wallet in das Hot Wallet übertragen und der Vorgang wird von mehreren Mitarbeitern gleichzeitig signiert. Dazu verwendet Bybit eine Multi-Signatur-Lösung (multisig) von Safe{Wallet}, und jeder an der Transaktion beteiligte Mitarbeiter signiert mit einem privaten Ledger-Hardware-Kryptoschlüssel.
Die Angreifer nahmen das System ganz genau unter die Lupe und kompromittierten laut unabhängigen Forschern eine der Safe{Wallet}-Entwicklermaschinen. Vermutlich wurde der Code, der für die Anzeige von Seiten der Safe{Wallet}-Webanwendung dient, böswillig verändert. Die darin verborgene Logikbombe wurde jedoch nur ausgelöst, wenn die Transaktionsquelle mit der Bybit-Vertragsadresse übereinstimmte. Ansonsten funktionierte Safe{Wallet} wie gewohnt. Die Eigentümer von Safe{Wallet} untersuchten den Vorfall, wiesen die Ergebnisse der beiden unabhängigen IT-Sicherheitsunternehmen zurück und beharrten darauf, dass ihre Infrastruktur nicht gehackt worden sei.
Aber was war denn dann passiert? Während ein Hot Wallet routinemäßig mit 7 Millionen US-Dollar aufgeladen wurde, sahen die Bybit-Mitarbeiter auf ihren Computerbildschirmen genau diesen Betrag und die Empfängeradresse, die mit der Adresse des Hot Wallets übereinstimmte. Zum Signieren wurden aber andere Daten gesendet! Bei regulären Überweisungen kann (und sollte!) die Empfängeradresse auf dem Bildschirm des Ledger-Geräts überprüft werden. Beim Signieren von multisig-Transaktionen werden diese Informationen jedoch nicht angezeigt – daher führten die Bybit-Mitarbeiter diese Überweisung sozusagen im Blindflug durch.
Sie gaben also versehentlich grünes Licht für einen bösartigen Smart Contract, und der gesamte Inhalt eines Cold Wallets von Bybit wurde auf mehrere Hundert gefälschte Wallets übertragen. Sofort nach der Auszahlung aus der Bybit-Wallet wurde der Code auf der Safe{Wallet}-Website wieder auf die harmlose Version zurückgesetzt. Derzeit beschäftigen sich die Angreifer damit, das gestohlene Ethereum in Schichten aufzuteilen und stückweise zu transferieren. Das nennt man Geldwäsche.
Offenbar sind Bybit und seine Kunden Opfer eines gezielten Lieferkettenangriffs geworden.
Der Bybit-Raub ist kein Einzelfall
Als Täter hat das FBI offiziell eine nordkoreanische Gruppe mit dem Codenamen „TraderTraitor“ benannt. In IT-Sicherheitskreisen ist diese Gruppe auch als Lazarus, APT38 oder BlueNoroff bekannt. Ihr Markenzeichen sind hartnäckige, ausgeklügelte und anhaltende Angriffe im Bereich Kryptowährungen: Sie hacken Wallet-Entwickler, rauben Kryptobörsen aus, bestehlen einfache Nutzer und erstellen gefälschte „Play-to-Earn“-Games.
Vor dem Bybit-Raub lag der Rekord der Gruppe bei 540 Millionen Dollar. Sie wurden aus der Blockchain von Ronin Networks gestohlen, die für das Spiel Axie Infinity erstellt worden war. Bei diesem Angriff im Jahr 2022 infizierten Hacker den Computer eines Game-Entwicklers mit einem einfachen Trick: eine infizierte PDF-Datei mit einem falschen Jobangebot. Diese Social-Engineering-Technik gehört bis heute zum Werkzeugkasten der Gruppe.
Im Mai 2024 gelang der Gruppe ein Diebstahl von über 300 Millionen Dollar bei der japanischen Kryptobörse DMM Bitcoin. Die Börse ging daraufhin Pleite. Zuvor wurden im Jahr 2020 über 275 Millionen US-Dollar von der Kryptobörse KuCoin abgezweigt. Der Grund war angeblich ein „durchgesickerter privater Schlüssel“ für ein Hot Wallet.
Lazarus hat seine Taktiken zum Diebstahl von Kryptowährungen seit über einem Jahrzehnt immer mehr verfeinert. 2018 berichteten wir über eine Reihe von Angriffen auf Banken und Kryptobörsen. Bei der Operation AppleJeus wurde damals eine mit einem Trojaner infizierte App für den Handel mit Kryptowährungen eingesetzt. Nach einer Schätzung der Elliptic-Experten belaufen sich die Einnahmen der mit Nordkorea verbundenen kriminellen Akteure auf rund 6 Milliarden Dollar.
Was Krypto-Investoren tun sollten
Im Fall von Bybit hatten die Kunden Glück: Die darauf folgende Welle an Auszahlungsanträgen wurde von der Kryptobörse umgehend bearbeitet und es wurde versprochen, die Verluste aus Mitteln des Unternehmens auszugleichen. Bybit bleibt im Geschäft, daher müssen die Kunden keine besonderen Vorkehrungen treffen.
Doch der Hack zeigt einmal mehr, wie schwierig es ist, über Blockchain-Systeme fließende Geldmittel abzusichern, und wie wenig man tun kann, um eine Transaktion zu stornieren oder Geld zurückzufordern. Der Angriff hatte ein beispielloses Ausmaß. Darum forderten viele, die Ethereum-Blockchain auf ihren Zustand vor dem Hack zurückzusetzen. Die Ethereum-Entwickler halten so etwas jedoch für „technisch unlösbar“. Inzwischen hat Bybit ein Prämienprogramm für Kryptobörsen und Forscher angekündigt, das 10 Prozent aller wiedererlangten Gelder vorsieht. Bisher sind jedoch nur 43 Millionen Dollar zusammengekommen.
Darum spekulieren einige Experten aus der Kryptobranche, dass der Hack hauptsächlich zu einem Anstieg der Selbstverwahrung von Kryptoguthaben führen wird.
Selbstverwahrung (self-custody) bedeutet: Die Verantwortung für die sichere Speicherung liegt nicht mehr auf den Schultern von Spezialisten, sondern auf deinen eigenen. Für diese Variante solltest du dich aber nur entscheiden, wenn du wirklich alle Sicherheitsmaßnahmen beherrschst und sie permanent einhalten kannst. Beachte auch, dass normale Nutzer, die kein millionenschweres Krypto-Wallet besitzen, wahrscheinlich nicht mit einem ausgeklügelten und gezielten Angriff konfrontiert werden. Und allgemeine Massenangriffe sind leichter abzuwehren.
Was benötigst du zur sicheren Selbstverwahrung von Kryptoguthaben?
- Kaufe ein Hardware-Wallet mit einem Bildschirm. Dies ist der effektivste Weg, um Kryptoguthaben zu schützen. Informiere dich gut und achte darauf, dass du dein Wallet bei einem zuverlässigen Anbieter kaufst – und zwar direkt: niemals aus zweiter Hand oder auf einem Marktplatz. Andernfalls könntest du ein bereits gehacktes Wallet erwischen, das dein gesamtes Guthaben einfach verschluckt. Wenn du zum Signieren von Überweisungen ein Wallet verwendest, überprüfe die Empfängeradresse bei jeder Transaktion sowohl auf dem Computerbildschirm als auch auf dem Wallet-Display. Nur so kannst du ausschließen, dass die Adresse durch einen bösartigen Smart Contract oder einen Clipper-Trojaner ersetzt wird, der die Adressen des Krypto-Wallets in der Zwischenablage austauscht.
- Speichere Seed-Phrasen für dein Wallet niemals in elektronischer Form. Dateien auf deinem Computer oder Fotos in deiner Galerie sind dafür absolut ungeeignet. Moderne Trojaner haben es schon in den Google Play Store und den App Store geschafft und sie können Daten erkennen, die auf Fotos in deinem Smartphone gespeichert sind. Für Seed-Phrasen eignen sich nur Notizen auf Papier (oder Metallgravuren, falls du das bevorzugst), die in einem Safe oder an einem anderen physisch sicheren Ort aufbewahrt werden. Dieser Ort sollte sowohl vor unbefugtem Zugriff als auch vor Naturkatastrophen geschützt sein. Du kannst deine Seed-Phrase auch an mehreren Orten aufbewahren oder die Phrase aufteilen.
- Bewahre nicht alle Eier Münzen in einem Korb auf. Für Inhaber großer Beträge oder unterschiedlicher Arten von Kryptoguthaben empfiehlt sich die Verwendung mehrerer Wallets. Kleinere Beträge für Transaktionszwecke können bei einer Kryptobörse gespeichert werden, während der Großteil auf mehrere Hardware-Krypto-Wallets aufgeteilt werden kann.
- Verwende einen separaten Computer. Nutze wenn möglich einen dedizierten Computer, der ausschließlich für Krypto-Transaktionen dient. Beschränke den Zugriff physisch (bewahre den Computer beispielsweise in einen Safe, einen verschlossenen Schrank oder einen verriegelten Raum auf), verwende Festplattenverschlüsselung und Passwortanmeldung, und richte ein separates Konto mit eigenen Passwörtern ein (diese Passwörter müssen sich von jenen für deinen Hauptcomputer unterscheiden). Installiere einen zuverlässigen Schutz und lege auf deinem „Krypto-Computer“ maximale Sicherheitseinstellungen fest. Verbinde diesen Rechner nur für Transaktionen mit dem Internet und verwende ihn ausschließlich für Vorgänge mit deinen Wallets. Für Games, zum Lesen von Krypto-News und für Chats mit Freunden ist ein anderes Gerät erforderlich.
- Wenn die Verwendung eines separaten „Krypto-Computers“ unpraktisch oder aus anderen Gründen nicht möglich ist, achte auf strenge digitale Hygiene auf deinem Hauptcomputer. Richte ein separates Konto mit geringen Berechtigungen (kein Administratorkonto) für Krypto-Operationen ein sowie ein zusätzliches Konto (ebenfalls kein Administratorkonto) für Arbeit, Chats und Games. Der Administratormodus wird nur benötigt, um die Systemsoftware zu aktualisieren oder den Computer neu zu konfigurieren. Melde dich nur für Wallet-Vorgänge bei deinem separaten „Krypto-Konto“ an und melde dich danach gleich wieder ab. Gewähre Dritten keinen Zugriff auf den Computer und behalte deine Administratorpasswörter für dich.
- Wähle die Krypto-Wallet-Software sorgfältig aus. Lies die Beschreibung der Software genau durch und achte darauf, dass die Anwendung schon lange auf dem Markt ist. Lade die Anwendung nur von der offiziellen Website herunter. Stelle sicher, dass die digitale Signatur der heruntergeladenen Anwendung mit der Website und dem Namen des Anbieters übereinstimmt. Bevor du Krypto-Wallet-Software installierst und startest, musst du deinen Computer gründlich mit einer aktualisierten Sicherheitslösung
- Sei vorsichtig mit Updates. Normalerweise empfehlen wir, Software-Updates sofort zu installieren. Bei Kryptowährungsanwendungen gilt jedoch eine Ausnahme. Warte nach der Veröffentlichung einer neuen Version etwa eine Woche und lies die Rezensionen, bevor du das Update installierst. Dadurch hat die Community genügend Zeit, mögliche Fehler zu finden oder Trojaner aufzuspüren, die sich möglicherweise in das Update eingeschlichen haben.
- Befolge die erweiterten Sicherheitsmaßnahmen für Computer. Diese findest du in unserem Artikel So schützen Sie Ihre Krypto-Investitionen: 4 wichtige Schritte zu mehr Sicherheit. Dazu zählen unter anderem die folgenden Maßnahmen: Installiere auf deinem Computer und Smartphone einer leistungsstarken Sicherheitslösung (beispielsweise Kaspersky Premium), aktualisiere dein Betriebssystem und deine Browser regelmäßig, und verwende sichere und einmalige Passwörter.
- Sei auf Phishing-Angriffe gefasst. Kryptowährungsbetrug kann komplex und raffiniert sein. Darum solltest du jede unerwartete E-Mail- oder Messenger-Nachricht als Beginn eines möglichen Betrugs betrachten. Halte dich über aktuelle Krypto-Betrügereien auf dem Laufenden. Folge unserem Blog oder Telegram-Kanal und nutze andere seriöse Quellen zum Thema Cybersicherheit.
Weitere Informationen über Krypto-Betrügereien und darüber, wie du dich schützen kannst, findest du in unseren Artikeln zu diesen Themen:
Tipps