Originaltitel: „50 Millionen US-Dollar gestohlen, nur weil die Adresse nicht sorgfältig geprüft wurde“
Originalautor: Eric, Foresight News
Gestern früh, Ortszeit Peking, entdeckte der On-Chain-Analyst mit dem X-Namen Specter einen Fall, bei dem fast 50 Millionen USDT aufgrund ungenauer Prüfung der Überweisungsadresse an eine Hacker-Adresse gesendet wurden.
Nach eigenen Nachforschungen des Autors zog diese Adresse (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) am 19. um etwa 13:00 Uhr Peking-Zeit 50 USDT von Binance ab, um vor einer großen Abhebung einen Test durchzuführen.
Etwa 10 Stunden später zog die Adresse auf einen Schlag 49.999.950 USDT von Binance ab. Zusammen mit den zuvor abgehobenen 50 USDT ergibt das genau 50 Millionen.
Etwa 20 Minuten später überwies die Adresse, die die 50 Millionen USDT erhalten hatte, zunächst 50 USDT an 0xbaf4…95F8b5, um einen Test durchzuführen.
Weniger als 15 Minuten nach Abschluss der Testüberweisung schickte die Hacker-Adresse 0xbaff…08f8b5 0,005 USDT an die Adresse, die noch über 49.999.950 USDT verfügte. Die vom Hacker verwendete Adresse ähnelte der Adresse, die die 50 USDT erhalten hatte, sowohl am Anfang als auch am Ende stark – ein klarer Fall von „Address Poisoning“-Angriff.
10 Minuten später, als die Adresse, die mit 0xcB80 beginnt, die verbleibenden über 40 Millionen USDT überweisen wollte, kopierte sie wahrscheinlich aus Unachtsamkeit die Adresse der vorherigen Transaktion – also die Adresse, die der Hacker für das „Poisoning“ verwendet hatte – und schickte so fast 50 Millionen USDT direkt in die Hände des Hackers.
Als die 50 Millionen US-Dollar sicher waren, begann der Hacker 30 Minuten später mit Geldwäscheaktivitäten. Laut SlowMist Monitoring tauschte der Hacker zunächst USDT über MetaMask in DAI, verwendete dann den gesamten DAI-Betrag, um etwa 16.690 Ethereum zu kaufen, behielt 10 ETH und überwies den Rest an Tornado Cash.
Um etwa 16:00 Uhr Peking-Zeit gestern forderte das Opfer den Hacker öffentlich auf der Blockchain auf und erklärte, dass bereits eine formelle Strafanzeige erstattet wurde. Mit Unterstützung von Strafverfolgungsbehörden, Cybersicherheitsagenturen und mehreren Blockchain-Protokollen seien zahlreiche zuverlässige Informationen über die Aktivitäten des Hackers gesammelt worden. Der Geschädigte bot an, dass der Hacker 1 Million US-Dollar behalten und 98 % der Mittel zurückgeben könne. Falls der Hacker dies tue, werde man keine weiteren Schritte unternehmen. Andernfalls werde man rechtliche Schritte einleiten, um straf- und zivilrechtliche Verantwortung geltend zu machen, und die Identität des Hackers öffentlich machen. Bisher hat der Hacker jedoch noch nicht reagiert.
Laut von der Arkham-Plattform zusammengestellten Daten weist diese Adresse hohe Überweisungsaufzeichnungen mit Adressen von Binance, Kraken, Coinhako und Cobo auf. Binance, Kraken und Cobo bedürfen keiner Einführung, während Coinhako ein möglicherweise weniger bekannter Name ist. Coinhako ist eine 2014 gegründete lokale Kryptowährungsbörse in Singapur, die 2022 von der Monetary Authority of Singapore eine Lizenz als großes Zahlungsinstitut erhielt und somit eine regulierte Handelsplattform in Singapur ist.
Angesichts der Nutzung mehrerer Handelsplattformen und des Cobo-Verwahrungsdienstes durch diese Adresse sowie der Fähigkeit, innerhalb von 24 Stunden nach dem Vorfall Kontakt zu verschiedenen Parteien aufzunehmen und die Verfolgung des Hackers abzuschließen, vermutet der Autor, dass es sich bei der Adresse höchstwahrscheinlich um eine Institution und nicht um eine Einzelperson handelt.
„Unachtsamkeit“ führt zu einem schwerwiegenden Fehler
Die einzige Erklärung für den erfolgreichen „Address Poisoning“-Angriff ist „Unachtsamkeit“. Solche Angriffe könnten vermieden werden, indem die Adresse vor der Überweisung einfach noch einmal überprüft wird. Offenbar hat der Verantwortliche in diesem Vorfall diesen entscheidenden Schritt ausgelassen.
Address Poisoning-Angriffe traten erstmals 2022 auf, und ihren Ursprung haben sie in „Vanity Address“-Generatoren, also Tools, mit denen der Anfang einer EVM-Adresse angepasst werden kann. Beispielsweise könnte der Autor selbst eine Adresse generieren, die mit 0xeric beginnt, um die Adresse besser kennzeichnen zu können.
Später stellten Hacker fest, dass dieses Tool aufgrund eines Designproblems den Private Key durch Brute Force knacken konnte, was zu mehreren schwerwiegenden Diebstählen von Geldern führte. Die Fähigkeit, angepasste Anfänge und Enden zu generieren, brachte jedoch auch einige Personen mit unlauteren Absichten auf eine „listige Idee“: Durch das Generieren von Adressen, die den Anfängen und Enden der häufig vom Nutzer verwendeten Überweisungsadressen ähneln, und durch Überweisungen an andere häufig vom Nutzer genutzte Adressen, könnten einige Nutzer aus Unachtsamkeit die Hacker-Adresse für ihre eigene halten und so aktiv ihre On-Chain-Vermögenswerte in die Tasche der Hacker überweisen.
Vergangene On-Chain-Informationen zeigen, dass die Adresse, die mit 0xcB80 beginnt, bereits vor diesem Angriff ein wichtiges Ziel für Hacker-Poisoning war, und dass Address Poisoning-Angriffe darauf vor fast einem Jahr begannen. Im Wesentlichen setzen Hacker bei dieser Angriffsmethode darauf, dass man irgendwann aus Bequemlichkeit oder Unaufmerksamkeit darauf hereinfällt. Gerade diese auf den ersten Blick durchschaubare Angriffsmethode führt dazu, dass „Großmäuler“ einer nach dem anderen zu Opfern werden.
Zu diesem Vorfall äußerte Wang Chun, Mitbegründer von F2Pool, auf Twitter sein Mitgefühl für das Opfer und berichtete, dass er letztes Jahr, um zu testen, ob seine Adresse einen Private-Key-Leak hatte, 500 Bitcoin dorthin überwies – und dann wurden 490 Bitcoin von Hackern gestohlen. Obwohl Wang Chuns Erfahrung nichts mit Address Poisoning-Angriffen zu tun hat, wollte er wahrscheinlich damit ausdrücken, dass jeder einmal einen „dummen Fehler“ machen kann, dass man dem Opfer nicht seine Unachtsamkeit vorwerfen sollte, sondern den Hacker ins Visier nehmen sollte.
50 Millionen US-Dollar sind keine kleine Summe, aber nicht der höchste Betrag, der durch solche Angriffe gestohlen wurde. Im Mai 2024 überwies eine Adresse aufgrund eines solchen Angriffs WBTC im Wert von über 70 Millionen US-Dollar an eine Hacker-Adresse. Das Opfer konnte jedoch mit Hilfe des Sicherheitsunternehmens Match Systems und der Kryptobörse Cryptex durch On-Chain-Verhandlungen fast das gesamte Geld zurückerhalten. In diesem Fall hat der Hacker die gestohlenen Mittel jedoch bereits schnell in ETH getauscht und an Tornado Cash überwiesen. Ob sie letztendlich zurückverfolgt werden können, ist ungewiss.
Jameson Lopp, Mitbegründer und Chief Security Officer von Casa, warnte im April, dass Address Poisoning-Angriffe sich schnell ausbreiten. Seit 2023 gab es allein im Bitcoin-Netzwerk bereits 48.000 solcher Vorfälle.
Einschließlich gefälschter Zoom-Meeting-Links auf Telegram sind diese Angriffsmethoden nicht besonders raffiniert, aber gerade diese „einfachen“ Angriffsmethoden können dazu führen, dass man die Wachsamkeit sinken lässt. Für uns, die wir uns im „Dark Forest“ bewegen, ist es nie falsch, besonders wachsam zu sein.
