Krypto-Wal verliert $38M in Multisig-Exploit
Ein Krypto-Wal hat etwa $38 Millionen verloren, nachdem ein Angreifer die Kontrolle über eine Multisig-Wallet übernommen und deren Gelder heute unbemerkt abgezogen hat.
Der Fall zieht große Aufmerksamkeit auf sich, da der Angreifer nicht nur Vermögenswerte über Tornado Cash bewegt hat, sondern auch weiterhin die Kontrolle über eine gehebelte DeFi-Position hat, die mit der kompromittierten Wallet verbunden ist.
Multisig nach Kompromittierung des privaten Schlüssels geleert
Die Blockchain-Sicherheitsfirma PeckShield berichtete auf X am 18. Dezember, dass die Wallet eines Wals geleert wurde, nachdem ein privater Schlüssel offengelegt wurde, was zunächst zu Verlusten von etwa $27,3 Millionen führte. Weitere On-Chain-Analysen zeigten, dass sich der Gesamtschaden auf näher an $38 Millionen belief, wenn verbundene Wallets und Positionen einbezogen wurden.
PeckShield zufolge hat der Angreifer bereits 4.100 ETH im Wert von etwa $12,6 Millionen durch Tornado Cash geschickt, um die Spur zu verwischen. Rund $2 Millionen verbleiben in liquiden Mitteln. Besorgniserregender ist, dass der Angreifer weiterhin die Adresse des Opfers kontrolliert, die eine gehebelte Long-Position auf Aave hält, wobei On-Chain-Daten zeigen, dass etwa $25 Millionen in ETH als Sicherheit hinterlegt wurden, während mehr als $12 Millionen in DAI geliehen wurden.
Der On-Chain-Analyst Specter teilte eine detaillierte Zeitleiste auf X mit und stellte fest, dass das Opfer eine sogenannte 1-of-1 Multisig-Wallet erstellt hatte, was bedeutet, dass nur eine einzige Signatur eines Unterzeichners erforderlich war, um Transaktionen zu autorisieren. Diese Einrichtung untergräbt jedoch den Hauptzweck einer Multisig, nämlich die Erfordernis mehrerer unabhängiger Genehmigungen.
Weniger als 40 Minuten nach der Übertragung von Geldern in die Wallet kam es zu einem massiven Abfluss, der alle Token leerte. Ungefähr zur gleichen Zeit wurde der Signierer zu einer vom Angreifer kontrollierten Adresse gewechselt.
Specter sagte, die wahrscheinlichste Erklärung sei, dass der private Schlüssel während der Einrichtung geleakt wurde oder dass das Opfer auf eine bösartige Drittpartei vertraute, um die Wallet zu erstellen. Ein späterer Beitrag, der sich auf den Forscher tanuki42 beruft, deutete darauf hin, dass der Angreifer die Multisig möglicherweise selbst erstellt hat, was das Opfer sowohl während als auch nach der Einrichtung exponierte.
Ein bekanntes Muster in Krypto-Sicherheitsversagen
Der Vorfall passt in ein breiteres Muster von Diebstählen privater Schlüssel und Social Engineering, das den Krypto-Sektor weiterhin plagt. In einem Bericht vom 15. Dezember warnte die Cybersicherheitsgruppe Security Alliance davor, dass nordkoreanische Hacker täglich gefälschte Zoom- und Teams-Anrufe durchführen, um Malware zu installieren und private Schlüssel zu stehlen, eine Methode, die mit Verlusten in Höhe von Hunderten von Millionen Dollar in Verbindung steht.
Der Binance-Gründer Changpeng Zhao gab eine ähnliche Warnung im September heraus und sagte, dass Angreifer zunehmend menschliches Vertrauen statt Schwachstellen in Smart Contracts ins Visier nehmen, wobei sie oft als Helfer, Bewerber oder Meeting-Gastgeber auftreten.
Die On-Chain-Geschichte zeigt, dass der Wal vor dem Hack monatelang aktiv war. Am 7. Mai berichtete Onchain Lens, dass ein und dieselbe Adresse über 2.500 ETH von OKX abgehoben und Mittel über Kiln Finance gestakt hatte, wodurch sie kontinuierlich eine große ETH-Position aufbaute.
Vorerst fügt die fortgesetzte Kontrolle des Angreifers über die Aave-Position eine weitere Risikostufe hinzu. Sollten sich die Märkte stark bewegen, könnten erzwungene Liquidationen die Verluste vertiefen und aus einem bereits kostspieligen Verstoß eine noch härtere Lektion über Multisig-Sicherheit und den Umgang mit privaten Schlüsseln machen.
