Weil jeder Markt die Hacks bekommt, die er verdient – BitcoinBlog.de – der Blog …


"Hacker" von Mikael Altemark von flickr.com. Lizenz: Creative Commons 2.0

Die BitMart-Börse und das Badger DAO wurden gehackt. Fast 200 Millionen Dollar gingen hier verloren, dort etwa 120 Millionen Dollar. Die beiden Hacks sind sehr unterschiedlich – aber sie sind eine großartige Illustration des Zustands des Ökosystems.

Kaum etwas ist so charakteristisch für die Kryptomärkte wie die immer wiederkehrenden Hacks . Alle paar Wochen oder Monate wird eine Börse, ein Zahlungsdienstleister oder ein Smart Contract gehackt. Millionen Dollar werden gestohlen, die Plattformen gehen bankrott oder machen weiter, die Hacker waschen die gestohlenen Coins, die Börsen setzen sie auf eine schwarze Liste. Und dann geht alles weiter, als wäre nichts gewesen.

Die Hacks zeigen oft, wie es dem Ökosystem der Kryptowährungen geht. Denn Blasen schaffen Schwächen. Wenn etwas im Trend liegt, werden Börsen und Plattformen schnell hochgezogen und Smart Contracts hastig gepostet. Oft fehlt es an Zeit und Ressourcen, um die notwendigen Sicherheitsnetze zu schaffen, und dies ist oft eine völlig rationale Entscheidung: Der Schaden, der zu spät kommt, ist in einem heißen Markt größer als der eines Hackerangriffs.

Außerdem gibt es auch Hacker, die sich nicht um die Launen des Marktes kümmern. Auch sie haben ihre eigenen Anforderungen. Sie stehlen keinen Shitcoin und verwenden keine zufälligen Blockchains. Sie stehlen nicht nur Kryptowährungen, sie verwenden sie auch. Hacker sind oft die am besten ausgebildeten Benutzer. Sie wissen genau, wie die Blockchain funktioniert, und achten sehr darauf, mit den idealen Werkzeugen die gestohlene Beute unter Wahrung ihrer Anonymität zu ändern. Sowohl Opfer als auch Täter eines Hacks verraten etwas über die anderen Kryptomärkte. Heute schauen wir uns also zwei der größeren Hacks von letzter Woche an.

BitMart

Der erste Hack, den wir heute vorstellen, ist ziemlich traditionell: Eine Krypto-Börse wurde gehackt, wie es seit dem Hacken der Krypto-Börsen Tradition ist. Wer Bitcoins und andere Kryptowährungen für seine Nutzer verwaltet, muss sich darauf einstellen, zur Zielscheibe von Hackern zu werden, insbesondere wenn der Preis von Token so stark steigt, dass sich der Wert des Inhalts der Hot Wallets in wenigen Monaten vervielfacht. Es gibt immer einen Austausch, der nicht ausreichend vorbereitet ist und so Hackern zum Opfer fällt.

Das jüngste Beispiel ist BitMart . Die Börse wurde 2017 gegründet, hat nach eigenen Angaben mehr als 9 Millionen Kunden aus mehr als 180 Ländern, ist auf den Cayman Islands registriert und unterhält Büros unter anderem in New York, Hongkong und Seoul.

BitMart ist eine Full-Service-Börse: Sie können eine fast unübersehbare Anzahl von Coins und Token handeln, leihen und verleihen; Neben Spotmärkten gibt es auch Terminmärkte. Damit ist BitMart auf der Höhe der Zeit und es ist beeindruckend, wie die Börse in nur vier Jahren ein so breites Angebot aufgebaut hat. Das Handelsvolumen in den letzten 24 Stunden betrug nach eigenen Angaben mehr als eine Milliarde Dollar.

Ein ständiger Abfluss von Token

Am Wochenende bemerkte der Sicherheitsanalyst PeckShield, dass eine der Adressen von BitMart einen ständigen Abfluss von Token aufwies. Ein ziemlich klares Signal, dass etwas schief läuft.

Kurz darauf schätzte PeckShield den Abfluss auf 100 Millionen US-Dollar in verschiedenen Token auf Ethereum und weitere 96 Millionen US-Dollar auf der Binance Smart Chain, ebenfalls in Form zahlreicher Token. Es ist schwierig festzustellen, um welche spezifischen Token es sich handelte.

BitMart versuchte zunächst, den Vorfall als routinemäßige Umbuchung abzutun. Doch nur wenig später musste CEO Sheldon Xia zugeben, dass es einen Hack gegeben hatte. "Wir haben einen schwerwiegenden Verstoß gegen die Sicherheit unserer ETH- und BSC-Hot Wallets festgestellt", twitterte Xia. „Wir versuchen derzeit noch zu verstehen, welche Methoden verwendet wurden. Den Hackern gelang es, Vermögenswerte im Wert von rund 150 Millionen Dollar zu stehlen. „

Laut BitMart ist der Grund für den Hack, dass ein privater Schlüssel gestohlen wurde – Xia schreibt „einen privaten Schlüssel“! – durch die der Hacker Zugriff auf zwei heiße Wallets erhielt. Vermutlich war dies kein privater Schlüssel für ein Krypto-Wallet, sondern ein Admin-Schlüssel, der den Zugriff auf die unverschlüsselten Hot Wallets von Ethereum und BSC gewährte. Möglicherweise hat BitMart ETH und Token auf Ethereum in separaten Wallets aufbewahrt, da der Hacker offenbar hauptsächlich Token gestohlen hat.

Über den genauen Ablauf herrscht noch Unsicherheit: Wurde ein Computer gehackt, auf dem sich der Schlüssel befand? War es ein Insider-Job? Soziale Entwicklung? War ein Zero-Day-Exploit im Spiel? Klar ist jedoch, wie es weiterging: Die gestohlenen Token – egal ob 150 oder 194 Millionen Dollar – tauschte der Hacker dann über die dezentrale Börse 1inch gegen Ether. Diese wusch er dann durch den dezentralen Ethereum-Mixer Tornado Cash.

BitMart hat nun einen Überblick, welche Coins und Token betroffen sind und hat bereits angekündigt, die Verluste aus eigenen Mitteln zu kompensieren. Den Nutzern würde nichts schaden, die Börse könnte es sich leisten. Das klingt angesichts des Handelsvolumens und der breiten Produktpalette plausibel. Es lohnt sich manchmal, mit Volldampf aufzuwachsen und auch mal an den Hut zu hauen.

Bereits am 7. Dezember wird man wahrscheinlich wieder voll operieren können. Es gibt wohl nur wenige Unternehmen, die einen Verlust von 200 Millionen Dollar so einfach wegstecken können wie Krypto-Börsen im Jahr 2021 keine Bitcoins stehlen, sondern Token auf Ethereum und die Binance Smart Chain, die derzeit wohl die beiden am weitesten verbreiteten Blockchains sind. Danach hat der Hacker die Coins nicht wie bisher selbst oder durch einen Mischer gewaschen, sondern durch eine dezentrale Börse ausgetauscht und durch den dezentralen Mischer Tornado Cash anonymisiert. All dies zeigt bereits die große Bedeutung, die Token, Smart Contracts und dezentrale Plattformen genießen, auch wenn der Hack an sich traditionell ist. Der Hacker kennt und verwendet all diese aktuellen Tools, und vielleicht konzentriert er sich auf Coins und Token, die Zugang zu diesen Instrumenten ermöglichen.

Dies wird jedoch mit dem nächsten Hack noch drastischer: dem Badger DAO. [1965907]Bitcoin für DeFi [19659008] Wie der Name schon sagt, ist Badger eine DAO – eine "Dezentrale Autonome Organisation". Im Gegensatz zu BitMart gibt es keinen CEO, keine Postanschrift und keine Büros. Badger ist eine rein virtuelle Organisation, die nur auf Basis eines Smart Contracts läuft. Wobei, wie wir sehen werden, nur auf dem Papier.

Die BadgerDAO bildet nach eigener Aussage „die Infrastruktur, um Bitcoin zu DeFi zu bringen“ ( Dezentrale Finanzen ). Die DAO hilft Benutzern, mit Bitcoin auf anderen Blockchains Zinsen zu verdienen. Wie das genau funktioniert, würde an dieser Stelle zu weitreichend sein. Es gibt Bridges, Wallets, den eigenen Token des DAO und mehr.

Sie können keine nativen Bitcoins auf der Bitcoin-Blockchain verwenden, aber tokenisierte Bitcoins wie WBTC auf der Ethereum-Blockchain . Letztendlich scheint es sich um einen DeFi-Akkumulator zu handeln, der sich auf tokenisierte Bitcoins spezialisiert hat.

896 Bitcoins in einem Transfer

Letzten Mittwoch ist es vorgekommen, dass jemand Coins aus verschiedenen Wallets von BadgerDAO gestohlen hat . Laut PeckShield liegt der Gesamtwert bei rund 120 Millionen Dollar.

Die genaue Ursache des Hacks ist noch nicht bekannt. In früheren DeFi-Hacks war oft ein Fehler im Smart Contract die Ursache, was zu schrecklich komplexen Hacks führte, bei denen Operationen, die von Natur aus gültig waren, weil sie den Regeln des Smart Contracts entsprechen, etwas auslösten das widersprach radikal der Intention des Smart Contracts. Bei solchen Hacks ist schwer zu sagen, ob der Hack wirtschaftlich oder technisch ist und ob er überhaupt illegal ist. Wenn der Kodex das Gesetz ist, dann ist alles, was der Kodex durchschüttelt, legal, nicht wahr?

Im Badger DAO war der Hack jedoch viel traditioneller. Mitglieder der DAO vermuten derzeit, dass jemand ein bösartiges Skript in die Benutzeroberfläche der Website eingebracht hat.

Als solche kann ein DAO als Smart Contract rein auf der Ethereum-Blockchain leben. Aber wer damit interagiert – zum Beispiel indem er Zinsen auf seine tokenisierten Bitcoins verdient – ​​muss die entsprechenden Transaktionen auf die Blockchain bringen. Einige Computerfreaks können die Transaktionen im Terminal möglicherweise selbst erstellen und signieren. Viel einfacher ist es jedoch, die Website des Badger-Teams zu verwenden, die die Transaktion in die Wallet einfügt, wo der Benutzer sie signiert. Die DAO-Website ist nur eine Schnittstelle. Aber es ist die wesentliche Brücke zwischen dem Nutzer und dem Smart Contract – und damit ein ideales Einfallstor für Hacker.

Das bösartige Skript hat wahrscheinlich die Transaktion, die Benutzer erhalten haben, um mit dem DAO zu interagieren, so geändert, dass der Empfänger nicht mehr das DAO, sondern die Brieftasche des Hackers war. Dies ist für Benutzer kaum verständlich. Auch einen ziemlich großen Fisch konnte der Hacker fangen: Ein einziger Transfer schaffte 896 Bitcoins – rund 50 Millionen Dollar – in die Wallet des Angreifers. Wir werden herausfinden, wer wahrscheinlich betroffen ist. Zunächst werden wir jedoch weiterhin die Chronologie des Hacks verfolgen.

Im Gegensatz zu einem Austausch sollte ein DAO nicht über jemanden verfügen, der sofort reagieren kann. Bei Badger gibt es allerdings ein Team, das auch eine Art Notschlüssel für den Smart Contract bereithält. Dies ermöglichte es, die Smart Contracts – und damit die DAO – vorübergehend zu stoppen. Das ist natürlich nicht „dezentralisiert“ und geht etwas am Kerngedanken einer DAO vorbei. Aber in solchen Situationen ist es sehr hilfreich.

Danach wandte sich die DAO an die Firma Chainalysis, um festzustellen, wie weit der Vorfall ging und wohin die Münzen gingen. Ein DAO kann daher auch Kunde von Sicherheitsunternehmen sein. Im Falle eines Hacks verhält es sich fast identisch mit einer traditionellen Börse. Als Ursache des Hacks wird derzeit ein unzureichend geschützter API-Schlüssel vermutet, der es dem Angreifer ermöglichte, auf das Backend der Website zuzugreifen. Vermutlich handelte es sich um einen API-Schlüssel des Anti-DoS-Dienstes CloudFlare.

Zeitgenössisch, aber klassisch BadgerDAO betrifft kein klassisches, zentralisiertes Unternehmen wie BitMart, sondern ein DAO. Die Geschichte hinter dem Hack ist jedoch traditionell – ein Schlüssel wird nicht aus einer Brieftasche, sondern von einer Website gestohlen. Die DAO hat viel Geld in Audits von Smart Contracts auf der Blockchain investiert, um zu verhindern, dass diese auf diese Weise gehackt werden. Nun stellt sich heraus, dass traditionelle, geradezu triviale Fehler den gleichen Effekt haben können.

Während BitMart keine Bitcoins stahl, sondern hauptsächlich Token auf den Blockchains Ethereum und Binance Smart Chain, entstaubte der Hacker BadgerDAO eine ordentliche Menge Bitcoins. Allerdings keine Bitcoins auf der Bitcoin-Blockchain, sondern synthetische Bitcoins auf anderen Blockchains, vermutlich hauptsächlich oder ausschließlich der Ethereum-Blockchain.

Der BadgerDAO-Hack zieht jedoch weitere Kreise, die mindestens so typisch für Kryptowährungen im Jahr 2021 sind. . Das Unternehmen bietet seinen Nutzern die Möglichkeit, Einzahlungen in Bitcoin, Stablecoins und anderen Kryptowährungen zu verzinsen. Die Zinsen sind mit 5-10 Prozent relativ hoch – zumindest nach traditionellen Maßstäben.

Celius verdient sich diese Zinsen auf zwei Arten: Zum einen leiht die Plattform Nutzern Geld, die Kryptowährungen als Sicherheit hinterlegen. Damit schließt sie eine Lücke im etablierten Bankensystem, das sich bislang weigert, Krypto-Token als Sicherheit für Kredite zu akzeptieren. Zweitens investiert Celsius die Benutzer' Einlagen in DeFi-Plattformen wie dem Badger DAO.

Celsius bietet auch anderen Unternehmen die Möglichkeit, Einlagen zu verzinsen. BitWala, heute als Nuri bekannt, verwendet (e) um Celsius, um seine Benutzer zu verwenden' Bitcoins bei rund 5 Prozent pro Jahr. Verwenden Sie (e), weil ich nicht weiß, ob sich das geändert hat.

Der Badger-Hack enthüllt, was Sie bereits vermutet haben: Celsius hat Badger verwendet, um Zinsen für Bitcoins zu zahlen. Ich gehe davon aus, dass die Benutzer Bitcoins eingezahlt haben und Celsius sie gegen Wrapped Bitcoins (WBTC) getauscht hat, um über DeFi Zinsen darauf zu verdienen. Offensichtlich hat Celsius die notwendigen Transaktionen nicht wie die Computerfreaks im Terminal komponiert oder geschrieben, sondern von der DAO-Website generiert. Vergleichbar ist das damit, dass jemand 50 Millionen Dollar auf die Bank einzahlt und genauso viel einträgt und am Schalter abgibt, als wären es 100 Euro.

Es scheint nun, als hätte Celsius gehört, dass die Wallet mit 896 Bitcoins durch die oben erwähnte manipulierte Transaktion verloren gegangen ist. Celsius selbst hat den Verlust noch nicht zugegeben. Der Verdacht entstand, weil die Wallet, die die vielen Bitcoins verschickte, eng mit einer anderen Wallet verbunden ist, die Celsius-Token im Wert von 40 Millionen Token enthält. Dies ist kein Beweis, aber zumindest ein Hinweis.

Celsius ist auch „traditionell“ in dem Sinne, dass es kein DeFi, sondern ein CeFi ist – ein zentralisiertes Finanzunternehmen. Aber was Celsius macht, Kryptocoins zu leihen und zu verleihen, ist eine der typischen Erfolgsgeschichten von Krypto im Jahr 2021. Zudem zeigt der Dachs-Hack, wie eng Geschäftsmodelle wie Celsius mit DeFi verbunden sind. Aber auch bei Celsius ist davon auszugehen, dass der Verlust von 50 Millionen Dollar gut verkraftbar ist.


Prima dieser Artikel schrieb

[ENGLISH]