Die Kryptobörse Bitmart hat bei einem Hacker-Angriff 196 Millionen Dollar in verschiedenen Kryptowährungen verloren. Möglicherweise ist es der größte in der Geschichte von Kryptowährungen.
Am Samstag machte das Sicherheitsunternehmen Peckshield auf ein Problem aufmerksam. Es twitterte, dass eine der Bitmart-Adressen einen stetigen Abfluss kompletter Token-Guthaben an die Adresse „Bitmart hacker“ (so von Etherscan definiert) zeigte. Einige davon waren mehrere zehn Millionen US-Dollar wert.
In einem zweiten Tweet bezifferte Peckshield die Verluste auf 96 Millionen US-Dollar bei Binance Smart Chain und 100 Millionen Dollar bei Ethereum Mainnet. Es wurden verschiedene Kryptowährungen gestohlen.
Hacker verwendeten Tornado Cash und 1inch
Der Hacker tauschte das gestohlene Gelder über die dezentrale Kryptobörse 1inch in Ether um. Dann benutzte er eine zweite Adresse, um Ether in Tornado Cash zu deponieren. Es handelt sich dabei um einen Dienst, der anonyme ETH-Transaktionen ermöglicht und so die Rückverfolgung der Gelder erschwert.
Zunächst bezeichnete Bitmart die Berichte als „Fake News“ und behauptete, die Abhebungen seien lediglich Routine im offiziellen Telegram-Kanal der Börse. Kurz darauf bestätigte Bitmart-CEO Sheldon Xia, dass ein Hack im Zuge einer „Sicherheitsverletzung“ stattgefunden habe. Er schrieb auf Twitter:
Wir haben einen groß angelegten Sicherheitsverstoß im Zusammenhang mit einer unserer ETH Hot Wallets und einer unserer BSC Hot Wallets festgestellt. Im Moment sind wir noch dabei, die möglichen Methoden zu ermitteln. Die Hacker waren in der Lage, Vermögenswerte im Wert von etwa 150 Millionen US-Dollar abzuziehen.
Letztes Jahr wurde Tornado Cash, ein Privacy-Tool zur Verschleierung des Verlaufs von Ether-Transaktionen, einer „Trusted Setup Ceremony“ und einem Contract Update unterzogen, um selbstausführenden Code zu schaffen. Damit wurde der Mixer auf Ethereum erlaubnisfrei. Das schrieb Tornado in einem Blogpost im Mai 2020:
Mit einer Rekordzahl von 1.114 Beiträgen war es die mit Abstand größte Trusted Setup Ceremony bisher. Im Vergleich dazu hatten alle anderen Trusted Setup Ceremonies weniger als 200 Teilnehmer.
Obwohl sie im August 2019 gestartet wurde, galt sie vor Mai 2020 als experimentelle Software. Das liegt daran, dass die Entwickler die Kontrolle über die Nutzergelder hatten. Nach dem Update wurde der Entwicklerschlüssel gebrochen. Sie schufen einen Crowdsourced Smart Contract ohne einen privaten Schlüssel.
Gibt es noch Hoffnung für Bitmart?
Aber kann man die Transaktionen wirklich nicht nachverfolgen? Es gibt vielleicht noch Hoffnung. Sprecherin von Chainalysis Maddie Kennedy schrieb in einer E-Mail an CoinDesk im Jahr 2020:
Mixer, CoinJoins und Lösungen wie Tornado Cash können die Rückverfolgung von Geld zwar erschweren, aber Chainalysis kann trotzdem oft Gelder durch sie verfolgen.