Kryptowährungen sind ein ideales Ziel für Cyberkriminelle: Es gibt viele Möglichkeiten, sie zu stehlen, und für die Opfer ist es sehr schwierig bis schier unmöglich, die Coins nach einem Verlust erneut zurückzubekommen. Einige Hacker verdienen ihren Lebensunterhalt damit, Kryptowährungsbörsen anzugreifen und Dutzende, manchmal Hunderte von Millionen US-Dollar zu erbeuten. Dieser Artikel stellt fünf der größten Diebstähle in der relativ kurzen Geschichte der Kryptowährungen vor. Am Ende erwartet Sie ein kleiner Bonus in Form eines erstaunlichen Krypto-Diebstahls, dessen Geschichte einer Netflix-Serie würdig wäre …
5.
Masterschlüssel zum Erfolg
Opfer: Kryptobörse KuCoin
Zeitpunkt: 26. September 2020
Verlust: rund 285 Millionen US-Dollar
In der Nacht vom 25. auf den 26. September 2020 entdeckten die Sicherheitsbeauftragten des in Singapur ansässigen Unternehmens KuCoin ungewöhnliche Transaktionen in mehreren Hot Wallets. Um die verdächtigen Transaktionen zu stoppen, verschoben sie alle verbleibenden Vermögenswerte der kompromittierten Hot Wallets in einen sogenannten Cold Storage. Von der Entdeckung bis zur Beendigung des Vorfalls vergingen etwa zwei Stunden. Während dieser Zeit konnten die Angreifer erfolgreich etwa 285 Millionen US-Dollar in Form diverser Kryptowährungen ergattern.
Die Untersuchung ergab, dass die Cyberkriminellen Zugriff auf die privaten Schlüssel der Hot Wallets hatten. Einer der Hauptverdächtigen ist die Lazarus Group, eine nordkoreanische APT-Cybergang. Die Angreifer setzten einen mehrstufigen Algorithmus ein, um ihre Beute zu waschen, den die Lazarus-Gruppe ebenfalls bei vorherigen Angriffen eingesetzt hatte. Zunächst ließen sie gleiche Mengen an Kryptowährungen durch einen Tumbler laufen (ein Tool, das Krypto-Fonds mischt, um ihre Spur zu verwischen), und transferierten die Kryptowährungen dann über dezentrale Plattformen.
Trotz seines Ausmaßes bedeutete der Raubüberfall nicht das Ende der Kryptobörse. Am Tag nach dem Diebstahl versprach der CEO von KuCoin, Johnny Lyu, in einem Livestream, die gestohlenen Gelder an ihre rechtmäßigen Eigentümer zurückzugeben. Lyu hielt sein Versprechen und twitterte im November 2020, dass 84 % der betreffenden Vermögenswerte an ihre Eigentümer zurückgegeben worden waren. Die restlichen 16 % wurden durch die Versicherungspolice von KuCoin abgedeckt.
4. Geld aus dem Nichts
Opfer: Cross-Chain-Bridge Wormhole
Zeitpunkt: 2. Februar 2022
Verlust: 334 Millionen US-Dollar
Beim nächsten Diebstahl unserer Top-5 wurde eine Schwachstelle in Wormhole, einem Cross-Chain-Bridging-Protokoll, ausgenutzt. Den Cyberkriminellen spielte die Tatsache in die Hände, dass die Entwickler der Plattform ihren Programmcode veröffentlicht hatten. Aber das Wichtigste zuerst.
Wormhole ist ein Tool zur Vermittlung von Kryptotransaktionen. Insbesondere können Token zwischen dem Ethereum- und dem Solana-Netzwerk verschoben werden. Technisch gesehen funktioniert der Austausch wie folgt: In einer Kette werden Token eingefroren, während in der anderen Kette so genannte „Wrapped Token“ mit demselben Wert wieder ausgegeben werden.
Wormhole ist ein Open-Source-Projekt mit einem eigenen Repository auf GitHub. Kurz vor dem Überfall veröffentlichten die Entwickler Code, um eine Schwachstelle im Protokoll zu beheben. Angreifer waren jedoch in der Lage, die Sicherheitslücke auszunutzen, bevor die Änderungen vorgenommen wurden.
Der Bug ermöglichte es den Angreifern, die Transaktionsüberprüfung auf Solana-Seite zu umgehen und 120.000 „Wrapped ETH“ (im Wert von rund 334 Millionen US-Dollar zum Zeitpunkt des Angriffs) auszugeben, ohne das entsprechende Äquivalent in der Ethereum-Blockchain einzufrieren. Die Cyberkriminellen überwiesen zwei Drittel des Gesamtbetrags in ein Ethereum-Wallet und nutzten den verbleibenden Rest, um andere Token zu kaufen.
Wormhole appellierte öffentlich an die Angreifer, die gestohlenen Gelder zurückzugeben und den Exploit gegen eine Belohnung von 10 Millionen US-Dollar zu veröffentlichen. Die Cyberkriminellen ignorierten dieses großzügige Angebot.
Am Tag nach dem Diebstahl twitterte Wormhole, dass alle finanziellen Mittel wiederhergestellt seien und die Bridge wieder wie zuvor funktioniere. Die finanzielle Lücke wurde von Jump Trading geschlossen – dem Unternehmen, das den Entwickler von Wormhole sechs Monate vor dem Vorfall gekauft hatte. Nach öffentlichen Angaben sind die Täter unbekannt.
3. Dreijähriger Diebstahl
Opfer: Kryptobörse Mt.Gox
Zeitpunkt: Februar 2014
Verlust: 480 Millionen US-Dollar
Die Geschichte von Mt.Gox beginnt 2007 als Austausch-Plattform für Karten des Spiels Magic: The Gathering. Drei Jahre später beschloss der Eigentümer der Website, der US-amerikanische Programmierer Jed McCaleb, die Website in eine Börse für Kryptowährungen umzuwandeln, um der wachsenden Beliebtheit von Kryptowährungen gerecht zu werden, verkaufte den Dienst dann aber 2011 an den französischen Entwickler Marc Karpelès. Nur zwei Jahre später wurden rund 70 % der weltweiten Bitcoins auf Mt.Gox gehandelt.
Auf den rasanten Anstieg folgte ein lähmender Absturz. Am 7. Februar 2014 blockierte die Börse plötzlich alle Bitcoin-Abhebungen. Das Unternehmen begründete den Schritt mit technischen Problemen. Empörte Kunden versammelten sich vor dem Hauptsitz von Mt.Gox in Tokio und forderten ihr Geld zurück. Ihr Protest stieß auf taube Ohren.
Das Bemerkenswerte an dieser Geschichte ist, dass der Mt.Gox-Vorfall bereits im Jahr 2011 begann. Damals verschafften sich unbekannte Hacker Zugang zu den privaten Schlüsseln eines Hot Wallets der Kryptobörse und begannen, nach und nach Bitcoin daraus abzuzapfen. 2013 hatten die Cyberkriminellen bereits 630.000 BTC auf ihre Konten überwiesen.
Mt.Gox stellte schließlich am 28. Februar 2014 seinen Betrieb ein, als Karpelès Konkurs anmeldete und sich für „Fehler im System“ entschuldigte, durch die etwa 750.000 BTC an Kundengeldern und 100.000 BTC an eigenem Kapital vernichtet worden waren. Der Wert der gestohlenen Coins wird allgemein auf etwa 480 Millionen US-Dollar geschätzt, was dem Wert der gesamten gestohlenen Token zum Wechselkurs vom 27. Februar, dem Tag vor der Insolvenzanmeldung, entspricht.
Es sei jedoch darauf hingewiesen, dass der Bitcoin-Kurs in der Zeit zwischen der Einstellung des Handels von Mt.Gox und der Konkursanmeldung stark gefallen ist. Legt man den Kurs vom 6. Februar (dem Tag vor dem tatsächlichen Börsenschluss) zugrunde, würde sich der Verlust auf rund 660 Millionen US-Dollar belaufen. Beide Zahlen sind jedoch vorläufig und berücksichtigen nicht die Währungsschwankungen während des dreijährigen Zeitraums des Raubes. Es ist daher schwierig, die genaue Höhe der Verluste zu ermitteln.
Warum war der Angriff überhaupt möglich? Ehemaligen Mitarbeitern zufolge war die Unternehmensleitung in einer Reihe von wichtigen Fragen eher nachlässig. So hatte Mt.Gox beispielsweise ernsthafte Probleme mit seiner Finanzberichterstattung. Auch die Qualität und Sicherheit des Codes wurde nicht ausreichend kontrolliert. Zum Beispiel gab es kein Versionskontrollsystem.
Die Staatsanwaltschaft warf Karpelès, dem Eigentümer von Mt.Gox, die Veruntreuung von Kundengeldern in Höhe von rund 3 Millionen US-Dollar vor. Dies konnte jedoch vor Gericht nicht bewiesen werden. Am Ende erhielt Karpelès nur eine Bewährungsstrafe von zwei Jahren und sechs Monaten für den Vorwurf der Datenmanipulation und wurde von den anderen Anklagepunkten freigesprochen.
2. An der Grenze zur halben Milliarde
Opfer: Kryptobörse Coincheck
Zeitpunkt: 26. Januar 2018
Verlust: 496 Millionen US-Dollar
Coincheck ist eine der größten Krypto-Börsen Japans. 2018 stahlen Cyberkriminelle erfolgreich mehr als 500 Millionen NEM-Token, was fast dem gleichen Betrag in US-Dollar entsprach.
Das Unternehmen behauptete, dass seine Sicherheitssysteme robust seien, und gab nicht bekannt, wie genau die Angreifer ihren Angriff durchführen konnten. Einige Experten glauben jedoch, dass Cyberkriminelle möglicherweise Malware auf den Computern in den Büros des Unternehmens installierten, um sich Zugang zu den privaten Schlüsseln in den Hot Wallets von Coincheck zu verschaffen.
Die Angreifer richteten darüber hinaus eine eigene Website ein, auf der sie NEM-Token mit einem Rabatt von 15 % verkauften. Infolgedessen sank der NEM-Kurs erheblich und Coincheck verlor etwa 500 Millionen japanische Yen, was jedoch nicht zur Schließung der Börse führte. Darüber hinaus konnten die Täter nicht ausfindig gemacht werden. Die Börse war gezwungen, den Betrieb vorübergehend einzustellen und versprach, die Kunden aus eigenen Mitteln zu entschädigen.
1. Job-Angebot mit Überraschung
Opfer: Blockchain-Plattform Ronin Network
Zeitpunkt: 23. März 2022
Verlust: 540 Millionen US-Dollar
Ronin Network wurde von Sky Mavis exklusiv für das Spiel Axie Infinity entwickelt, mit dem die In-Game-Währung Smooth Love Potion (SLP) gekauft werden kann. Ende März 2022 stahlen unbekannte Angreifer Kryptowährung im Wert von 540 Millionen US-Dollar von Ronin. Ermöglicht wurde dies durch die Magie von Spyware und Social Engineering.
Der zielgerichtete Angriff galt SkyMavis-Mitarbeitern, von denen einer den Köder schluckte (vermutlich auf LinkedIn). Einer der leitenden Ingenieure, erhielt ein verlockendes „Jobangebot“ in Form einer mit Spyware infizierten PDF-Datei. Auf diese Weise konnten die Diebe die Kontrolle über vier private Netzwerkprüfschlüssel erlangen.
Um Zugang zu den Vermögenswerten des Unternehmens zu erhalten, mussten sie mindestens fünf der neun Validatoren kompromittieren. Wie bereits erwähnt, wurden vier Schlüssel durch Spyware erlangt; den fünften Schlüssel konnten sich die Angreifer durch ein Versehen des Unternehmens selbst aneignen. Denn Ronin Network hatte der Axie DAO (dezentralisierte autonome Organisation) die Erlaubnis erteilt, Transaktionen zu signieren, um Ronin Network bei der Reduzierung des Nutzervolumens zu helfen, aber im Anschluss vergessen, die Erlaubnis erneut zu widerrufen.
Sky Mavis erholte sich jedoch schnell von diesem Vorfall. Im Juni 2022 launchte das Unternehmen die Blockchain-Plattform erneut und begann, die betroffenen Spieler zu entschädigen.
Bonus. Ein Hack mit Entschädigung
Ziel: Cross-Chain-Protokoll von Poly Network
Zeitpunkt: 10. August 2021
Verlust (später zurückerstattet): 610 Millionen US-Dollar
Als Bonus-Geschichte wollen wir mit einem weiteren großen Krypto-Diebstahl abschließen, bei dem jeder Cent zurückerstattet wurde. Passiert ist Folgendes …
Poly Network ist ein weiteres Protokoll zur Implementierung der Blockchain-Interoperabilität. Im Sommer 2021 wurde es Zeuge einer der größten Raubüberfälle in der Geschichte der Kryptowährungen: Unbekannte Hacker nutzten eine Schwachstelle im Poly Network, um über 600 Millionen US-Dollar in Form diverser Kryptowährungen zu stehlen.
Poly Network appellierte über Twitter an den Täter, die gestohlenen Token zurückzugeben. Zum Erstaunen aller nahm der Hacker tatsächlich Kontakt mit den Verantwortlichen auf und kam der Bitte nach. Nach und nach transferierte er die gestohlenen Token und teilte sie in mehrere ungleiche Teile auf.
Der Online-Austausch zwischen dem Hacker und Poly Network hielt eine ganze Weile an. Dabei erklärte der Angreifer, dass er kein Interesse an dem Geld an sich gehabt, sondern den Raub nur aus „ideologischen Gründen“ durchgeführt habe. Als Zeichen der Dankbarkeit ließ Poly Network seine Ansprüche gegen ihn fallen, garantierte seine Anonymität, setzte eine Belohnung von 500.000 US-Dollar aus und lud ihn sogar ein, sich in den leitenden Sicherheitsbeauftragten des Cross-Chain-Protokolls zu verwandeln. Darüber hinaus wurde ein Bug-Bounty-Programm im Wert von insgesamt 500.000 US-Dollar lanciert.
Keine wirkliche „Moral von der Geschicht'“, aber…
Wir haben hier lediglich die Top-5 der Krypto-Diebstähle aufgelistet, die allesamt auf große Organisationen abzielten. Selbstverständlich gibt es auch immer wieder kleinere Vorfälle, die normale Nutzer betreffen. Deshalb muss jeder Investor die entsprechenden Maßnahmen ergreifen, um sein Vermögen zu schützen. Hier sind einige hilfreiche Tipps:
- Wählen Sie Trading-Plattformen weise! Lesen Sie Nutzermeinungen und -rezensionen und, wenn möglich, tauschen Sie sich mit erfahrenen Nutzern aus.
- Geben Sie niemandem die Anmeldedaten für Ihr Krypto-Konto oder die Zugangsdaten Ihres Wallets. Denken Sie daran, nicht nur Ihre Passwörter und privaten Schlüssel, sondern auch Ihre Seed Phrase geheim zu halten.
- Bewahren Sie Ihre primäre Kryptowährung in Cold Wallets auf: im Gegensatz zu Hot Wallets müssen diese nicht durchgängig online sein und sind daher allgemein sicherer.
- Wenn Sie ein Hot Wallet verwenden, stellen Sie sicher, dass Sie die Zwei-Faktor-Authentifizierung aktivieren.
- Seien Sie auf der Hut vor Phishing! Wie Sie Jäger auf Kryptowährungen identifizieren, erfahren Sie in diesem Beitrag.
- Verwenden Sie eine zuverlässige Sicherheitslösung, die Ihre Finanztransaktionen schützt, verhindert, dass Malware Ihr Wallet-Passwort oder Ihren privaten Schlüssel stiehlt, und Sie vor betrügerischen Websites warnt.