Mittwochabend konnten Hacker mehrere Kryptowährungs-Wallets anzapfen und von der dezentralisierten Finanzplattform BadgerDAO zahlreiche Tokens stehlen. Laut den zuständigen Datenanalysten handelt es sich um eine Schadenssumme von rund 120 Millionen Dollar (106 Millionen Euro).

Böses Script

Offenbar war ein bösartiges Script in der Benutzeroberfläche schuld an der Sicherheitslücke. Jeder Nutzer, der mit der Website interagierte, während das Script aktiv war, transferierte Tokens nicht auf sein eigenes Konto, sondern auf das des Angreifers. Die von BadgerDAO engagierte Datenfirma Peckshield führt in einem Social-Media-Posting die Beträge der Transaktionen auf: Der größte Transfer, der abgefangen wurde, waren 896 Bitcoins, die alleine einen Wert von etwa 50 Millionen Dollar hatten. Der große Bitcoin-Transfer geschah bereits am 10. November. Offenbar aktivierten die Hacker das Script in unregelmäßigen Intervallen, um möglichst wenig aufzufallen.

Dezentrale Finanzsysteme (Defi) basieren auf Blockchain-Technologie und ermöglichen Kryptowährungsbesitzern typische Finanzoperationen, etwa Kreditvergabe gegen Zinsen. Die Hacker nutzten aber keine Blockchain-Lücke, sondern verschafften sich via API-Schlüssel Zugang zu Cloudflare. Die eingebaute Zwei-Faktor-Authentifizierung konnte die Angreifer nicht stoppen. Obwohl diese Art der Absicherung noch immer eine der sichersten ist, warnen Experten schon länger vor der zunehmenden Anfälligkeit dieses Systems.

BadgerDAO hat inzwischen alle Transfers eingefroren, die Plattform also de facto stillgelegt. Nutzer werden dazu aufgerufen, Transaktionen an die Angreifer abzulehnen, sofern das noch möglich ist. Donnerstagabend kontaktierte man die Betroffenen, dass man Experten von Chainanalysis engagiert habe, die derzeit an einer Schadensanalyse arbeiten. Zudem habe man die Behörden in den USA und in Kanada über den Fall informiert und würde mit den Ermittlern "auf allen Ebenen kooperieren".

Hohes Risiko

Ob ein Teil des Geldes an die Besitzer zurücküberwiesen werden kann, ist noch offen. Der Fall zeigt allerdings sehr deutlich, wie viel auch die handelnden Personen in der Welt von Krypto und Blockchain noch lernen müssen, wenn rund 120 Millionen Dollar so schnell verschwinden können – und das bei einem "der mit dem größten Sicherheitsbewusstsein ausgestatteten Teams in der Defi-Szene", wie sich Badger selbst nennt. (red, 3.12.2021)