Warum millionenschwere Krypto-Hacks mittlerweile zur Normalität gehören
Die Liste schwerer Diebstähle von Bitcoin, Ether und Co. wird immer länger. Zuletzt war angeblich auch wieder Nordkorea beteiligt.
(Bild: Shutterstock)
- Patrick Howell O'Neill
Ein Hack jagt den nächsten: Die US-Bundespolizeibehörde FBI hat jüngst erklärt, dass die Lazarus Group, ein offenbar von der nordkoreanischen Regierung geführtes Team aus militärischen Computerspezialisten, für den Hack der Kryptowährungsplattform Ronin Network im März 2022 verantwortlich gewesen ist.
Die Angreifer haben wohl 620 Millionen US-Dollar in der Kryptowährung Ether gestohlen. Das wäre in fast jedem Kontext eine aufsehenerregende Zahl. Doch in der Wildwest-Umgebung der Kryptoszene ist der Ronin-Hack nur einer von mindestens acht "Megaheists" im letzten Jahr, bei denen Hacker jeweils mehr als 100 Millionen Dollar in Kryptowährung gestohlen haben.
"Die Dinge entwickeln sich so schnell, dass die Menschen nicht mehr mithalten können", meint Kim Grauer, Forschungsdirektorin bei der Blockchain-Analysefirma Chainalysis, die die Hacks nachverfolgt. "Die Leute bauen in ihre Investitionsstrategie mittlerweile eine Art Risikoazeptanz ein, dass sie gehackt werden könnten und dabei alles verlieren."
Milliardenverluste im Kryptobereich
Laut Chainalysis haben kriminelle Hacker im Jahr 2021 rund 3,2 Milliarden Dollar in den verschiedenen Kryptowährungen gestohlen, sechsmal mehr als im Jahr 2020. In diesem Jahr gab es bereits sechs Hacks, bei denen mindestens 100 Millionen Dollar gestohlen wurden – und Dutzende kleinerer Hacks, bei denen es um mindestens 10 Millionen ging.
Das Kryptojahr 2022 legt damit seinen eigenen schlagzeilenträchtigen Start hin. Es begann damit, als Qubit Finance, ein neues dezentrales Finanzprotokoll, im Januar 80 Millionen Dollar an Hacker verlor. Als das anonym geführte Krypto-Blog "rekt.news" über den Vorfall berichtete, fasste der Autor jenes Gefühl der Ohnmacht zusammen, das mit dem rasanten Tempo dieser großen Hacks einhergeht: "Wird sich nächste Woche noch jemand daran erinnern?" Das war eine passende Frage. Noch vor Ablauf derselben Woche wurde die Kryptowährungsplattform Wormhole im Wert von 325 Millionen Dollar bestohlen, als Angreifer eine unsachgemäß behobene Sicherheitslücke ausnutzten.
Warum passiert so etwas immer wieder? In der Kryptowährungsbranche werden Unternehmen schnell gegründet, die Sicherheit oft vernachlässigt. Betrügereien sind weit verbreitet und Investoren analysieren oft nicht wirklich das Risiko bei einer Vielzahl der neuartigen Investitionen. "Diese Branche wächst so schnell", sagt Expertin Grauer. "Es gibt so viele Möglichkeiten für neue Unternehmen, online zu gehen, dass die Leute in einem noch nie dagewesenen Tempo investieren und Geld in Plattformen stecken, die nicht besonders gut strukturiert oder gemanagt sind." Es sei eine gängige Anlagestrategie, vielleicht in 50 verschiedene neue Protokolle und Token zu investieren und zu hoffen, dass "eine davon zum Mond fliegt", meint sie. "Aber wie soll man bei allen 50 Investments denn eine angemessene Due-Diligence-Prüfung durchführen?"
Viele Investoren prüfen nicht
Schlecht geführte Teams, die einfach nur quelloffene Software verwenden, mit der sie sich nicht auskennen, sind in der Kryptowirtschaft (und anderswo) weit verbreitet. Hacker wissen das – und sie nutzen es aus, um enorme Summen abzugreifen. Beim Hack von Wormhole im Februar, einer dezentralen Finanzplattform ("DeFi"), die eine "Brücke" zwischen Blockchains schlagen will, agierte ein Hacker, nachdem ein Patch zur Behebung einer kritischen Schwachstelle nicht auf das Hauptprojekt angewendet wurde. Der notwendige Code tauchte spät auf der öffentlichen GitHub-Seite auf. Die Software von Wormhole wurde nicht sofort aktualisiert – und der Hacker fand das Problem zuerst. Die Sicherheitslücke wurde innerhalb weniger Stunden ausgenutzt.
Die größten Krypto-Diebstähle betrafen früher Coins, die aus zentralen gelagerten Wallets gestohlen wurden. Diese Art der Kriminalität beläuft sich laut Chainalysis immer noch auf etwa 500 Millionen Dollar pro Jahr, verblasst aber im Vergleich zu den Beträgen, die von DeFi-Plattformen gestohlen werden, die sich im vergangenen Jahr auf fast 2,5 Milliarden Dollar beliefen. DeFi-Systeme, die oft mit sogenannten Smart Contracts arbeiten, wollen transparent und quelloffen sein – fast schon als Ideologie. Leider bedeutet das in der Praxis allzu oft klapprige Multimillionen-Dollar-Software-Projekte, die im übertragenen Sinne mit Klebeband und Kaugummi zusammengehalten werden.
"Es gibt ein paar Gründe dafür, dass DeFi-Projekte anfälliger für Hacker sind", erklärt Grauer. "Der Code ist quelloffen. Jeder kann ihn durchgehen und nach Fehlern suchen. Das ist ein großes Problem, das wir oft gesehen haben und das bei zentralisierten Krypto-Börsen nicht auftritt."
Helft uns suchen!
Bug-Bounty-Programme, bei denen Unternehmen Hacker für das Auffinden und Melden von Sicherheitslücken bezahlen, sind ein Instrument im Abwehrarsenal dieser Branche. Es gibt auch eine kleine Industrie von Krypto-Audit-Firmen, die sich einschalten und einem Projekt ein Gütesiegel verleihen. Ein flüchtiger Blick auf die schlimmsten Krypto-Hacks aller Zeiten zeigt jedoch, dass ein Audit kein Allheilmittel ist – und dass oft weder die Auditoren noch die Projekte zur Verantwortung gezogen werden können, wenn Angriffe passieren. Wormhole war nur wenige Monate vor dem Diebstahl von der Sicherheitsfirma Neodyme überprüft worden.
Viele dieser Hacks sind gut organisiert. Nordkorea setzt wohl seit langem Hacker ein, um Geld zu stehlen und sein Regime zu finanzieren, das weitgehend von der traditionellen Weltwirtschaft abgeschnitten ist. Vor allem Kryptowährungen sind eine Goldgrube für Pjöngjang. Die Hacker des Landes haben in den letzten Jahren laut dem FBI Milliardenbeträge gestohlen. Die meisten Hacker, die es auf Kryptowährungen abgesehen haben, finanzieren jedoch keinen Schurkenstaat. Stattdessen nimmt das ohnehin schon robuste Ökosystem der Cyberkriminellen einfach opportunistisch schwache Ziele ins Visier.
Für die angehenden Könige der Cyberkriminalität besteht die schwierigere Herausforderung dann darin, all das gestohlene Krypto-Geld erfolgreich zu waschen und es in etwas physisch Verwendbares zu verwandeln – zum Beispiel in Bargeld oder, wie im Fall Nordkoreas, wohl in Waffen. Hier kommen die Strafverfolgungsbehörden und Geheimdienste ins Spiel. In den letzten Jahren hat die Polizei auf der ganzen Welt stark in Blockchain-Analysetools investiert, um gestohlene Gelder aufzuspüren und in einigen Fällen sogar wiederzubeschaffen.
Wallet auf der Sanktionsliste
Der Beweis dafür ist der jüngste Ronin-Hack. Zwei Wochen nach dem Raub wurde die Krypto-Wallet mit den gestohlenen Coins auf eine US-Sanktionsliste gesetzt, weil das FBI sie mit Nordkorea in Verbindung bringen konnte. Das macht es schwieriger, die Beute zu nutzen, aber sicherlich nicht unmöglich.
Zwar haben neue Rückverfolgungsinstrumente begonnen, Licht in einige der großen Krypto-Hacks zu bringen, doch die Möglichkeiten der Strafverfolgungsbehörden, Gelder wiederzufinden und an die Anleger zurückzugeben, sind nach wie vor begrenzt. Das ist systemimmanent.
"Die Geldwäsche ist oft raffinierter als die Hacks selbst", sagte gegenüber MIT Technology Review Christopher Janczewski, der früher leitender "Case Agent" bei der US-Steuerbehörde IRS war und sich dabei auf Kryptowährungsfälle spezialisiert hat. Zumindest im Moment bleibt das große Risiko, sein Geld zu verlieren, Teil des Krypto-Spiels.
(bsc)