Alte Ethereum-Wallets in koordiniertem Angriff geleert, Verluste übersteigen $800.000
In dieser Woche wurden Hunderte von Ethereum-Wallets, von denen viele seit sieben Jahren oder länger inaktiv waren, in einem koordinierten Angriff geleert. Beobachter der Blockchain bezeichneten dies als eine laufende Kampagne, die mit denselben Angreiferadressen in Verbindung steht.
Berichten zufolge belaufen sich die Verluste bereits auf über $800.000.
Was bisher bekannt ist
Ein Opfer, das unter dem Namen Capitulation.eth auftritt, war das erste, das Alarm schlug und berichtete, dass Gelder ohne Genehmigung aus ihrer Wallet abgezogen wurden. Auch andere Wallets seien betroffen und würden geleert.
Der Kryptoanalyst Wazz bestätigte dies und zeigte On-Chain-Daten, die eine einzige Adresse identifizierten, die Wallets leerte, die zuletzt 2019 Transaktionen durchgeführt hatten.
Ein weiterer Analyst, Specter, schätzte die Anzahl der Opfer auf Hunderte und die Gesamtverluste auf über $800.000. Laut Specter hat der Angreifer 2 ETH an eine Börse überwiesen, wahrscheinlich in Monero umgewandelt, und separat 324 ETH, im Wert von etwa $734.000, über Thorchain ins Bitcoin-Netzwerk transferiert.
Bemerkenswert an diesem Angriff ist das Alter der betroffenen Wallets. Specter stellte fest, dass die meisten betroffenen Wallets zwischen vier und acht Jahren alt sind, mit nur wenigen Ausnahmen.
Forscher der Community sind sich weitgehend einig, dass es sich nicht um eine Schwachstelle in einem Smart Contract oder einen Token-Genehmigungs-Exploit handelt. Entwickler Fitna äußerte sich dazu:
„Old secret keys and seed phrases leaked years ago from bad wallet apps, weak randomness, stolen backups, LastPass, cloud leaks, or old 2017/18 software. Hacker is now draining leftover ETH.”
Kryptograph Mikerah deutete ebenfalls darauf hin, dass das Muster auf einen älteren Schlüsselgenerierungsprozess mit schwacher Entropie hinweist, was die Situation besonders beunruhigend mache.
Entwickler Rahul Saxena nutzte den Vorfall, um Nutzer dazu aufzufordern, Wallets auf alte Token-Genehmigungen zu überprüfen und verwies auf revoke.cash als Werkzeug, um diese zu entfernen. Fitna und andere betonten jedoch, dass Genehmigungsbetrügereien von dem aktuellen Vorfall getrennt zu betrachten sind.
April war bereits ein schlechter Monat für DeFi-Sicherheit
Dieser Angriff ereignete sich am letzten Tag eines Monats, den Analyst Abdul als „den schlimmsten Monat aller Zeiten in Bezug auf DeFi-Exploits“ bezeichnete, mit Verlusten von etwa $635 Millionen in 28 Vorfällen innerhalb von 30 Tagen.
Die Vorfälle reichten von einem $285 Millionen Exploit bei Drift am 1. April bis zu einem Angriff auf das Wasabi-Protokoll am selben Tag, an dem der Angriff auf die inaktiven Wallets gemeldet wurde.
Der größte Vorfall des Monats war der KelpDAO-Exploit am 18. April, bei dem Angreifer fast $294 Millionen aus dem Bridge-Vertrag des Liquid-Restaking-Protokolls abzweigten und die gestohlenen Gelder in ETH umwandelten, die dann über Ethereum und Arbitrum verteilt wurden.
Ein Angriff auf das Syndicate Network, gemeldet am 29. April, fügte weitere $330.000 zu den Verlusten hinzu, als eine Adresse 18,5 Millionen SYND-Token durch einen Brückenkompromiss erwarb und verkaufte, was zu einem Kursrückgang von über 37% innerhalb von 24 Stunden führte.
