Hacker haben den wahrscheinlich größten Diebstahl begangen, der jemals in der Welt der dezentralen Finanzen (DeFi) stattgefunden hat. Die Hacker haben dabei rekordverdächtige 600 Millionen US-Dollar in Kryptowährungen gestohlen. Opfer der Attacke ist das Interoperabilitätsprotokoll PolyNetwork, mit dem Benutzer Token über mehrere Blockchains tauschen können.
Betroffen ist dadurch natürlich nicht nur PolyNetwork sondern auch Zehntausende von anderen Menschen. Das erklärte zumindest PolyNetwork in einem auf Twitter veröffentlichten Brief, in welchem sie den Hacker dazu aufrufen, die gestohlenen Gelder zurückzugeben.
Abb. 1: Brief von dem Team an den Hacker. Quelle: Twitter, PolyNetwork
Laut PolyNetwork gibt es drei bekannte Adressen, welche gestohlene Gelder halten und damit wahrscheinlich den Angreifern gehören. Auf der Ethereum-Adresse lagern aktuell 28,954 ETH im Gegenwert von 92.956.198$, allerdings auch noch diverse andere Altcoins wie DAI, WBTC, USDT, SHIB und UNI.
Insgesamt befinden sich auf dieser Wallet alleine bereits 182.287.323$ in gestohlenen Kryptowährungen. Die etwa 33 Millionen US-Dollar in USDT, sollen von dem Emittenten Tether allerdings bereits eingefroren worden sein.
Lies auch: Tether FUD lichtet sich: Audit beweist USDT ist zu 100% gedeckt
Ähnlich hohe Beträge befinden sich ebenfalls auf den Wallet der Binance Smart Chain und Polygon, die dem Hacker zugeschrieben wurden. Nicht unbeträchtliche Mengen an Geldern sind allerdings bereits in Bewegung.
Emittenten von Stablecoins wie USDT können theoretisch Token beschlagnahmen. Dies könnte im Fall von USDT dazu führen, dass sie an ihre rechtmäßigen Besitzer zurückgegeben werden. Für die gestohlenen Ethereum und andere Altcoins ist dies jedoch nicht möglich.
Die meisten Altcoins könnten nur dann beschlagnahmt werden, wenn Hacker sie an eine zentrale Börse geschickt werden, um sich diese auszahlen zu lassen. Crypto-Börsen wie Binance sind an der Unterstützung von PolyNetwork bereits beteiligt.
Mögliche Ursache des Hacks entfacht hitzige Diskussion
Die verschiedenen Sicherheitsexperten sind, was die Ursache des Hacks angeht, geteilter Meinung. Dabei geht es unter den vermeintlichen Profis auf Twitter teilweise sehr hitzig zur Sache. Einige gehen sogar so weit, ihre Kollegen der Irreführung der Öffentlichkeit zu beschuldigen. Aber gehen wir der Reihe nach.
Laut einer ersten Analyse des in China ansässigen Sicherheitsprüfers BlockSec, gibt es zwei Möglichkeiten. Entweder ist der Private Key selbst zum Signieren der Chain-übergreifenden Nachricht verwendet worden oder der Signierprozess bei PolyNetwork selbst ist fehlerhaft.
Der Ethereum-Entwickler und Sicherheitsforscher Mudit Gupta schrieb, dass PolyNetwork eine Multisig-Wallet für Transaktionen verwendet. In dieser Konfiguration haben vier Personen Zugriff auf den Schlüssel zum Signieren von Transaktionen und drei müssen unterschreiben:
Der Angreifer verschaffte sich Zugang zu mindestens 3 Haltern und nutzte sie dann, um die Halter auf einen einzigen Halter zu ändern.
Laut dem Blockchain-Sicherheitsteam SlowMist ist genau das nicht passiert. Stattdessen habe der Angreifer einen Fehler in einer Smart-Contract-Funktion ausgenutzt, um den Hüter zu ändern und den Geldfluss zur eigenen Adresse des Angreifers umzuleiten. Sie schrieben:
Es ist nicht der Fall, dass dieses Ereignis durch das Durchsickern des privaten Schlüssels des Keepers verursacht wurde.
PolyNetwork retweetete den Blogbeitrag von SlowMist, während Gupta vehement widersprach und grobe Unfähigkeit oder Schlimmeres unterstellte. Er wetterte zurück:
Entweder steckt SlowMist mit Poly Network unter einer Decke oder sie sind grob inkompetent. Sie vergaßen beiläufig zu erwähnen, dass alle Daten, die der Benutzer eingibt, von den Haltern signiert werden MÜSSEN. Den Angreifern ist es gelungen, entweder die pvt-Schlüssel der Hüter zu stehlen oder sie dazu zu verleiten, bösartige Daten zu signieren.
Der betreffende Tweet wurde aber bereits gelöscht und Gupta ist mittlerweile zurückgerudert. Er kam durch eine Analyse des Users Kelvin Fichter zu der Erkenntnis, dass dies doch nicht nötig gewesen sein muss. Er twitterte:
Offensichtlich brauchten Sie keine Kompromisse mit den Hütern einzugehen. Sie unterzeichneten bereitwillig alle Blöcke, auch wenn sie Transaktionen zur Änderung der Halter enthielten.
Der Sicherheitsforscher SlowMist hat nach eigenen Angaben die E-Mail, die IP-Adresse und die Fingerabdrücke des Angreifers gefunden. Das behauptete das Team zumindest auf Twitter, als es mitteilte, dass “dies wahrscheinlich ein von langer Hand geplanter, organisierter und vorbereiteter Angriff war”.
Ob die geschädigten Nutzer ihre Gelder jemals wiedersehen, ist fraglich. Das Ende dieses DeFi Hacks steht auf jeden Fall noch offen.
Für mehr News und Prognosen direkt auf dein Handy folge uns auf Telegram.
