LLetzten Monat machten sich Hacker mit dem, was damals mehr als 500 Millionen Dollar wert war, aus den Systemen des Kryptowährungsnetzwerks Ronin davon, was als zweitgrößter Kryptowährungsdiebstahl aller Zeiten gilt.
Ronin war ein attraktives Ziel für einen Hacker. Das Blockchain-Projekt unterstützt das äußerst beliebte Axie Infinity-Videospiel, das mit einer geschätzten 8 Millionen Spieler hat Vergleiche zu actiongeladenen Sammelspielen wie Pokémon Go gezogen.
Axie Infinity ist heiß und beinhaltet beträchtliche Geldsummen. Spieler kaufen Kreaturen namens Axies in Form von NFTs, einzigartigen digitalen Vermögenswerten, die als nicht fungible Token bekannt sind. Die Kreaturen können sich fortpflanzen, kämpfen und sogar gegen bares Geld eingetauscht werden.
Das Spiel ist immer beliebter geworden, da die Spieler das Potenzial sehen, echtes Geld zu verdienen. Im Jahr 2020 soll ein 22-jähriger Spieler aus den Philippinen dabei sein zwei Wohnungen gekauft in Manila mit seinen Einnahmen aus dem Spiel. Letztes Jahr sagte ein anderer Spieler er verdient mehr durch Axie Infinity und andere Online-Spiele als von seinem Vollzeitjob bei Goldman Sachs.
Aber die Grundlagen des Spiels stehen vor erheblichen Sicherheitsherausforderungen. Um zu spielen, müssen Spieler ihr Geld von Ethereum zu Ronin auf einem Blockchain-„Brücken“-System verschieben. Ronin ist eine „Sidechain“ von Ethereum – eine Skalierungslösung, mit der Transaktionen schneller ablaufen können als auf Ethereum, das durch die Menge an Aktivitäten, die es hostet, überlastet ist. Das Hosten des Spiels auf dieser Sidechain stellt sicher, dass es wachsen kann, ohne an Funktionalität zu verlieren. Bridges können eine Menge Geld auf einmal halten, so dass Hacker die Kontrolle über die Vermögenswerte übernahmen und mit dem Geld abhoben, indem sie auf die Ronin Bridge abzielten, die das Vermögen der Spieler zwischen Blockchains transferierte.
Die US-Regierung genannt Diese Woche glaubt es, dass nordkoreanische Hacker hinter dem Überfall stecken. Aber es ist nur das Neueste in einer Reihe dreister hochkarätiger Krypto-Diebstähle. Im Jahr 2018 wurden mehr als 530 Millionen Dollar von der Krypto-Börse Coincheck gestohlen. Im Februar machten sich Hacker mit 320 Millionen US-Dollar von der dezentralisierten Finanzplattform Wormhole davon (obwohl diese Beute letztendlich war ist zurückgekommen). Und im selben Monat beschuldigten Staatsanwälte im vielleicht publiksten Cyberraub des Jahres das ungleiche Paar Ilya „Dutch“ Lichtenstein und seine Frau Heather Morgan – auch bekannt für ihre erbärmlichen Raps auf TikTok unter dem Namen Razzlekhan – der Verschwörung zu Bitcoin im Wert von mehreren Milliarden Dollar waschen, das 2016 von der Krypto-Börse Bitfinex gestohlen wurde.
Es ist ein Trend. Im Jahr 2021 wurden laut einem Bericht über Kryptokriminalität von Chainalysis, einem Unternehmen, das Banken, Regierungen und anderen Unternehmen Blockchain-Daten und -Analysen zur Verfügung stellt, Kryptowährungen im Wert von 3,2 Milliarden US-Dollar von Einzelpersonen und Diensten gestohlen. (Ronin ist auch Arbeiten mit Chainanalyse laut Reuters, um die beim Hack gestohlenen Gelder aufzuspüren.) Die Zahl ist fast sechsmal so hoch wie der im Jahr 2020 gestohlene Betrag. In diesem Jahr wurden laut Experten von Chainalysis und anderen Sicherheitsfirmen bereits mehr als 1 Milliarde US-Dollar gestohlen.
Schwachstellen in Smart Contracts
Die hochkarätigen Hacks und die beträchtlichen Geldsummen, um die es geht, haben Fragen darüber aufgeworfen, wie anfällig die Blockchain – die lange als sicherer Ort zum Speichern von Vermögenswerten galt – für solche Verstöße ist.
Einige Experten sagen, dass die Zunahme von Berichten über Kryptodiebstahl darauf zurückzuführen ist, dass Kryptowährungen weiter verbreitet und besser verstanden werden als je zuvor.
„Sie haben im Grunde eine Menge Geld auf dem Tisch, und zwar an einem sehr öffentlichen Tisch“, sagte Nicholas Christin, außerordentlicher Professor an der Carnegie Mellon University, der Online-Kriminalität sowie Computer- und Netzwerksicherheit erforscht. Da sich große Geldsummen öffentlich auf diesen transparenten Systemen bewegen, kann es für einen Hacker verlockend sein, sich darauf zu stürzen.
Um zu verstehen, wie diese Überfälle möglich sind, ist es wichtig, zwischen der Blockchain und anderen Programmen zu unterscheiden, die darauf aufbauen, sagen Experten. Die Blockchain selbst ist ein dezentralisiertes öffentliches Hauptbuch, das Peer-to-Peer-Transaktionen ermöglicht. Es ist die grundlegende Schicht, auf der Bitcoin, Ethereum oder Solana aufbauen.
Die zweite Schicht – die häufig ausgenutzt wird – sind Smart Contracts, die auf Blockchains laufen. Smart Contracts sind Vereinbarungen im Code, die automatisch ausgeführt werden, wenn die Vertragsbedingungen erfüllt sind. Die übliche Analogie ist zu einem digitalen Verkaufsautomaten – wählen Sie ein Produkt aus, geben Sie den richtigen Geldbetrag ein und Ihr Artikel wird automatisch ausgegeben. Diese Verträge sind unwiderruflich.
Die Hacker schlängeln sich durch diese Second-Layer-Systeme zum Geld, indem sie entweder Fehler im Code ausnutzen oder sich die privaten Schlüssel beschaffen, die sie in die Systeme einlassen, erklärte Christin. Einige Hacker untergraben sogar die Smart Contracts, um die Gelder in ihre Hände umzuleiten.
Beim Axie-Infinity-Hack, der auf die Ronin-Brücke abzielte, erhielt der Hacker genügend private Schlüssel, um die Brücke zu kontrollieren und die Gelder abzuschöpfen. Da so viele Benutzer ihr Vermögen in der Bridge hatten, war die Auszahlung massiv.
„Das zugrunde liegende Blockchain-Protokoll ist sicher“, sagte Ronghui Gu, Gründer und CEO des Blockchain-Sicherheitsunternehmens Certik. „Aber die darauf laufenden Programme – die Smart Contracts – sind immer noch wie andere normale Programme, die Softwarefehler und Schwachstellen aufweisen können.“
Es ist üblich, dass Hacker versuchen, den Code eines ihrer Ziele auszunutzen. Und es hilft, dass ein Großteil des Codes für Blockchain-Programme Open Source ist, wodurch er für Hacker, die den Code durchsehen und potenzielle Fehler finden möchten, leicht zugänglich ist.
„In dieser Welt sagen die Leute ‚dem Code vertrauen wir’, aber der Code selbst ist tatsächlich nicht so vertrauenswürdig“, sagte Gu. Als er 2018 seine Blockchain-Sicherheitsfirma gründete, erklärte Gu, nutzten nur wenige Unternehmen Sicherheitsdienste von Drittanbietern wie seinen, um ihren Code zu prüfen und zu bewerten – ein kritischer Sicherheits-Backstop – aber er hat gesehen, wie die Zahl allmählich zunimmt.
Krypto-Börsen sind auch wichtige Ziele für Hacks. Börsen sind wie Banken, sie sind zentrale Einheiten, die riesige Mengen des Geldes ihrer Benutzer halten, und Transaktionen sind irreversibel. Wie Bridges sind sie ein Mittelsmannprogramm, das tendenziell zielgerichtet ist. „Diese großen Börsen haben ein riesiges Ziel im Rücken“, sagte Christin.
Opfer links mit großer Sicherheitsaufwand
Sobald Krypto-Assets gestohlen wurden, kann es für Diebe eine Herausforderung sein, Geld auszuzahlen, insbesondere wenn der Überfall im neunstelligen Bereich liegt. Das bedeutet, dass Gelder oft jahrelang oder sogar auf unbestimmte Zeit in der Schwebe bleiben. Während dieser Zeit kann der Wert der gestohlenen Gelder aufgrund der Volatilität des Kryptomarktes schwanken.
Der Crypto Crime Report von Chainalysis schätzt, dass Kriminelle derzeit Kryptowährungen im Wert von mindestens 10 Milliarden US-Dollar besitzen, von denen die überwiegende Mehrheit durch Diebstahl erlangt wurde. Dank der Transparenz auf der Blockchain ist es möglich, diese Transaktionen und Bestände zu verfolgen, aber die Identität des Täters ist schwer festzustellen, bis die Gelder ausgezahlt werden.
Man kann den Bitfinex-Skandal als Fallbeispiel für versuchte Geldwäsche betrachten. „Die Gelder haben sich sehr lange nicht bewegt. Und als sie dann versuchten, den Geldwäscheprozess einzuleiten, war dies eine Gelegenheit für die Strafverfolgungsbehörden, sich wieder einzumischen, weil die Leute diesen Hacks folgen“, sagte Kim Grauer, Forschungsdirektorin bei Chainalysis.
Für Opfer der Systeme gibt es nur wenige Möglichkeiten, Vermögenswerte zurückzuerhalten. „Wenn die Sicherheit einer Bank versagt, ist das für die Bank nicht so schlimm“, sagte Ethan Heilman, Experte für Cybersicherheit und Mitbegründer des Cloud-Dienstes BastionZero. „Aber wenn Sie eine Kryptowährungsbörse sind und jemand Ihre gesamte Kryptowährung leert, ist das wirklich schlecht für Sie.“ Banken haben Maßnahmen ergriffen, um ihre Kunden zu schützen, die der Blockchain fehlen. Wird die Kreditkarte gestohlen, sorgen Versicherungen dafür, dass man das Geld in der Regel zurückbekommt. Auf der Blockchain sind Transaktionen jedoch irreversibel – es gibt keine Rückgängig-Schaltfläche.
Das bedeutet, dass es für einzelne Benutzer eine enorme Sicherheitsbelastung gibt, um ihre Vermögenswerte zu schützen. „Endbenutzer sind sich der Sicherheitsrisiken, denen sie ausgesetzt sind, möglicherweise nicht unbedingt bewusst“, sagte Christin. „Ehrlich gesagt haben selbst Leute in diesem Bereich keine Zeit, um unbedingt einen Smart-Contract-Quellcode zu überprüfen.“
Wenn man seine Schlüssel dem falschen Second-Layer-Vermittler anvertraut, ist es möglich, dass er Opfer eines Raubüberfalls wird. Insgesamt sind die meisten an diese Verantwortung nicht gewöhnt.
Krypto-Unternehmen beginnen, die Sicherheit ernster zu nehmen, sagte Heilman, aber eine Welt ohne Hacks sei nicht realistisch, fügte er hinzu. „Du wirst nie sicher, du wirst nur sicherer“, sagte er. „Angesichts der Leichtigkeit, eine Schwachstelle in einem dieser Systeme zu monetarisieren, denke ich, dass es wahrscheinlich ist, dass wir weiterhin sehen werden, wie Dinge gehackt werden, und die Frage wird nicht lauten: ‚Gibt es diesen Monat einen neuen Hack?’ Es wird sein: ‚Wie häufig sind die Hacks diesen Monat?’“
„Es gibt wichtige Dinge, die die Branche überwinden muss, um wirklich zu wachsen und zu skalieren“, sagte Grauer, „denn man kann keine gesund wachsende Branche haben, wenn jeder Angst hat, gehackt zu werden.“