Wir berichten oft von Betrugsfällen, bei denen Nutzern utopische Geldbeträge versprochen werden, während sie in Wirklichkeit bestohlen werden. Indem sie die Gier und Nachlässigkeit von Unternehmensmitarbeitern ausnutzen, können Cyberkriminelle übrigens auch ganze Firmen um ihr Geld bringen.
Genau das ist mit dem Blockchain-System von Ronin Networks, das von Sky Mavis für das Spiel Axie Infinity entwickelt wurde, passiert. Ein Sky Mavis-Mitarbeiter lud eine mit Spyware versehene PDF-Datei herunter, was zu einem der größten Kryptowährungsdiebstähle aller Zeiten führte. Das Unternehmen verlor 173 600 ETH und 25,5 Millionen USDC (zum Zeitpunkt des Vorfalls mit einem Gesamtwert von etwa 540 Millionen US-Dollar). Wir gehen näher auf den Angriff ein und geben Tipps, wie Sie sich schützen können.
Über Axie Infinity und Ronin Networks
Axie Infinity ist ein Online-Videospiel, bei dem die Spieler mit Hilfe von fantastischen Kreaturen namens „Axies“, die sie „züchten“, in Wettbewerben einsetzen und an andere Spieler verkaufen können, Kryptowährung verdienen können. Den Spielern erscheinen die Axies wie liebenswerte Tiere, im Grunde sind sie aber nichts anderes als non-fungible Token (NFTs).
Axie Infinity wurde 2018 veröffentlicht und fand schnell Anklang bei einem breiten Publikum. Auf dem Höhepunkt des Spiels konnten Spieler so viel verdienen, dass es für einige südostasiatische Nutzer zu einem Vollzeitjob wurde. Im rekordverdächtigen November 2021 hatte das Spiel eine tägliche Spielerzahl von 2,7 Millionen und die Einnahmen erreichten letztes Jahr 215 Millionen US-Dollar pro Woche (im Sommer 2022 waren es jedoch nur noch bescheidene 1 Million US-Dollar pro Woche).
Die Zahlungen im Axie Infinity-Ökosystem erfolgen mit der spielinternen Währung Smooth Love Potion (SLP), die auf der Ethereum-Blockchain basiert. Um es den Nutzern zu ermöglichen, SLP bequem und ohne hohe Gebühren gegen normale Kryptowährung zu tauschen, haben die Entwickler die Plattform Ronin ins Leben gerufen. Und genau diese hat die Aufmerksamkeit von Cyberkriminellen auf sich gezogen.
Ein verlockendes Angebot: So wurden die Entwickler getäuscht
Um Zugriff auf die Plattform zu erlangen, führten die Angreifer einen zielgerichteten Angriff auf Mitarbeiter von Sky Mavis durch. Sie sammelten Informationen über das Unternehmen und entwarfen eine personalisierte Betrugsmasche, die auf einem gefälschten, sehr attraktivem Stellenangebot basierte.
Die Masche bestand darin, einem Senior Ingenieur, der es eigentlich besser hätte wissen müssen, ein verlockendes Stellenangebot (wahrscheinlich über LinkedIn) zukommen zu lassen. Nachdem der Mitarbeiter alle Phasen der Bewerbung mit Bravour bestanden hatte, wurde ihm erwartungsgemäß das verlockende Angebot in Form einer PDF-Datei zugeschickt. Beim Download der Datei wurde dann die darin enthaltene Spyware im Unternehmensnetzwerk freigesetzt.
Spyware in Aktion
Die Cyberkriminellen nutzten die Malware, um sich Zugang zu den privaten Schlüsseln von Netzwerk-Validatoren zu verschaffen, d. h. von sogenannten Nodes (Blöcken), die Kryptowährungstransaktionen überprüfen und bestätigen. Zum Zeitpunkt des Angriffs gab es neun solcher Validatoren in Ronin Networks; für eine erfolgreiche Transaktion musste diese von mindestens fünf dieser Nodes genehmigt werden. Letztendlich gelang es den Angreifern, vier Validatoren im Unternehmen selbst und einen fünften in der dezentralen, autonomen Organisation Axie DAO, wo dieser eigentlich nichts mehr zu suchen hatte, zu kompromittieren.
Wie sich herausstellte, erlaubte das Unternehmen im November 2021 aufgrund des hohen Transaktionsvolumens und der hohen Belastung der Validatoren der Axie DAO, Überweisungen zu genehmigen. Nach einem Monat verringerte sich die Last, und die Unterstützung von Axie DAO war nicht mehr erforderlich – die Rechte zur Genehmigung von Transaktionen wurden jedoch nicht entzogen, was den Cyberkriminellen in die Hände spielte. Nachdem sie in das Sky Mavis-System eingedrungen waren, verschafften sich die Hacker auch Zugang zu Axie DAO, die dann den notwendigen fünften Validator bereitstellte, um die Fonds von den Konten anderer auf das eigene Konto zu überweisen.
Sky Mavis reagiert
Nach der Entdeckung des Angriffs handelte Sky Mavis verantwortungsbewusst und ergriff umgehend Maßnahmen zur Steigerung der internen Sicherheit. Das Unternehmen zog externe Sicherheitsexperten von Verichains und CertiK hinzu und führte ein gründliches Audit von Ronin Networks durch. Zudem erhöhte Sky Mavis die Zahl der Validatoren auf 11 und versprach, die Zahl in Zukunft nach und nach auf mindestens 100 zu erhöhen. Je größer die Gesamtzahl der Validatoren, desto mehr von ihnen müssen kompromittiert werden, um nicht autorisierte Transaktionen durchzuführen; erfolgreiche Angriffe sollten daher theoretisch erschwert werden.
Da die gestohlenen Fonds eigentlich den Spielern von Axie Infinity gehörten, begann Sky Mavis am 28. Juni mit Entschädigungszahlungen an die Opfer. Dazu nutzte das Unternehmen sowohl seine eigenen Ressourcen als auch die Anfang April erhaltenen Binance-Förderungen in Höhe von 150 Millionen US-Dollar.
So schützen Sie sich
Bei der Planung zielgerichteter Angriffe scannen Cyberkriminelle ihr Opfer sorgfältig auf Schwachstellen. Diese können Sicherheitslücken in Geräten und Software, aber auch der Faktor Mensch sein. Nur zur Erinnerung: Der „Held“ in unserem Beitrag war ein erfahrener IT-Spezialist. Um ein ähnliches Schicksal zu vermeiden und Ihre Daten, Ihr Geld und Ihre Token zu schützen, sollten Sie bestimmte Sicherheitsmaßnahmen nicht vernachlässigen.
- Werden Sie bei besonders großzügigen Angeboten stutzig: egal, ob es sich dabei um Ihren Traumjob mit Spitzengehalt, Gewinnspiele oder eine Erbschaft von einem weit entfernten Verwandten handelt.
- Vermeiden Sie den Download von Dateien oder das Öffnen von Links in E-Mails und Nachrichten unbekannter Absender. Vor allem dann, wenn die Dateien und Links nichts mit Ihrer Arbeit zu tun haben.
- Verwenden Sie eine zuverlässige Sicherheitslösung, die das Ausführen von Malware verhindert.