CyberCompare

13. August 2021: Hacker stehlen 600 Mio. $ ++ ThorChain Angreifer veröffentlichen Schutzmaßnahmen ++ Angriff auf Sparkasse

Hacker stehlen Kryptowährungen im Wert von 600 Millionen Dollar

Das US-Unternehmen Poly Network wurde von Cyberkriminellen angegriffen. Die auf den Transfer von Kryptowährungen spezialisierte Firma teilte am Dienstag mit, dass Unbekannte seine Sicherheitsvorkehrungen geknackt und die Einlagen von „zehntausenden“ Kunden auf von ihnen kontrollierte Konten umgeleitet hätten. Dem Unternehmen zufolge handelte es sich um den größten Diebstahl in der Geschichte der Kryptowährungen.

„Liebe Hacker“, schrieb Poly Network auf Twitter. „Wir möchten mit euch in Verbindung treten und euch auffordern, die von euch gehackten Vermögenswerte zurückzugeben“. Die Firma fuhr fort: „Die Behörden eines jeden Landes werden eure Missetaten als schweres Wirtschaftsverbrechen betrachten und ihr werdet strafrechtlich verfolgt.“ Die Hacker sollten mit der Firma sprechen, „um eine Lösung zu finden“

Poly Network rief andere Unternehmen in der Branche auf, sogenannte Token der Währungen Ethereum, BinanceChain und OxPolygon zu meiden.

Einem Bericht der Firma CipherTrace zufolge kamen dieses Jahr bis einschließlich Juli Kryptowährungen im Wert von insgesamt 432 Millionen Dollar durch Diebstähle, Hackerangriffe und Betrügereien abhanden. Die Hacks, Diebstähle und Betrügereien auf den dezentralisierten Finanzmärkten (DeFI) in den ersten acht Monaten 2021, überstiegen damit bereits die gesamten DeFi-Verbrechen des Jahres 2020, betonte CipherTrace-Chef Dave Jevans gegenüber der Nachrichtenagentur Reuters.

Was ist bei dem PolyNetwork Hack passiert?

Laut Experten besteht der Hauptprozess des Angriffs darin, dass der Angreifer die signierten Daten an die Funktion verifyHeaderAndExecuteTx() übergeben hat. Diese Funktion dekodiert die Daten und prüft die Signaturen, mit denen die Daten signiert wurden. Wenn dieser Prozess erfolgreich ist, wird die in der Nachricht angegebene Methode (und die Vertragsadresse) ausgeführt. Bei diesem Angriff wird die Entsperrfunktion des Smart Contract 0x250e76987d838a75310c34bf422ea9f1ac4cc906 aufgerufen, um die Fei an den Angreifer zu übertragen.

So kann die in der Nachricht angegebene Transaktion ausgeführt (wie die Ausführung beliebiger Befehle in der Software-Sicherheit).

Die Zusammenfassung:  Der Angreifer verfüge über die legitimen Schlüssel zum Signieren der Nachrichten, was darauf hindeutet, dass die Signierschlüssel durchgesickert sein könnten. Oder aber: Es gibt einen Fehler im Signierprozess des PolyNetwork, der missbraucht wurde, um eine manipulierte Nachricht zu signieren.

Quellen:
https://www.bbc.com/news/business-58163917

https://gist.github.com/yajin/f37edc390fa31f26692c632b441308fa

https://www.tagesschau.de/wirtschaft/finanzen/krypto-waehrung-diebstahl-hacker-angriff-ethereum-binance-polygon-101.html

Nach zwei Hacks auf ThorChain: Angreifer veröffentlicht Schutz-Maßnahmen

Die Cross-Chain-Swaps-Plattform THORChain wurde innerhalb einer Woche zum zweiten Mal gehackt. Das gab das DeFi-Projekt per Twitter bekannt. Demnach seien etwa 8 Millionen US-Dollar in ETH von der Attacke betroffen. Transaktionen mit Ether sind bis auf Weiteres gestoppt worden. Wie das Netzwerk vermutet, soll es sich bei dem Angreifer um einen sogenannten “White Hat Hacker” handeln. Im Fachjargon bezeichnet man damit jene Cyber-Eindringlinge, die in Sicherheitssystemen nach Schwachstellen suchen, um diese dann dem jeweiligen Netzwerk mitzuteilen. Meistens erhalten sie dann für ihre “Dienstleistung” eine Aufwandsentschädigung (“Bounty”).

Im Fall von THORChain soll der Hacker eine Bounty von 10 Prozent der erbeuteten Summe fordern. Die Plattform signalisiert Bereitschaft, dem Deal zuzustimmen, wenn sich der Angreifer zu erkennen gebe. Wenig später tauchte in dem Thread ein Screenshot auf. Darin behauptet der Hacker, er habe den Schaden durch die Sicherheitslücke absichtlich gering gehalten, um THORChain eine Lektion zu erteilen. Weiter gab er dem Unternehmen Cyber-Security Tipps:

„Überstürzen Sie keinen Code, der 9-stellige Werte steuert“ und „Setzen Sie die Dienstleistungen aus, bis die Prüfungen abgeschlossen sind“.

Der Hacker fügte hinzu, er hätte Ether, Bitcoin, Binance Coin, Lycancoin und viele BEP-20-Token stehlen können, wenn er gewollt hätte. Er behauptete weiter, dass er „mehrere kritische Probleme“ gefunden habe und ein Bug Bounty in Höhe von 10 Prozent den Vorfall hätte verhindern können.

Die Nachricht des mutmaßlichen Hackers – Quelle: https://twitter.com/zillaQuest/status/1418368903500242945/photo/1 

Ob der White Hat mittlerweile das versprochene Kopfgeld schon erhalten hat, ist bisher noch nicht bekannt.

Bereits zweiter Angriff auf THORChain in einer Woche

Bei dem ‚ersten Angriff auf ThorChain erbeuteten die Angreifer rund 5 Millionen US-Dollar in ETH. Das Netzwerk versprach schnell an einer Lösung zu arbeiten und die gestohlene Summe zu erstatten. Dabei hatte man dem Cyber-Kriminellen ebenfalls die Möglichkeit gegeben, über das Bounty-Programm die gestohlenen Coins zurückzugeben – jedoch ohne Erfolg. Inmitten der Reparaturarbeiten geschah dann die zweite Attacke auf THORChain.

Über Thor-Cain:

THORChain ist eine eigenständige Blockchain für den dezentralen Handel mit Kryptowährungen. Die DEX von THORChain funktioniert ähnlich wie andere dezentrale Börsen aus dem Bereich der Decentralized Finance (DeFi). Im Gegensatz zu DEX’ wie UniSwap, SushiSwap oder Bancor, ermöglicht THORChain aber auch Blockchain-übergreifende Token-Transfers – sogenannte Cross Chain Swaps.

Quellen:

https://de.cointelegraph.com/news/possible-white-hat-hacker-exploits-thorchain-for-8m-proposes-10-bounty

Cyber-Angriff auf Sparkassenverband

Der Sparkassenverband Baden-Württemberg ist Opfer eines Cyber-Angriffs geworden.

Bereits am Dienstag sei das E-Mail-System komplett abgeschaltet worden, sagte ein Sprecher des Verbands der Nachrichtenagentur Reuters am Donnerstag.

Er erläuterte, dass weder die Mitglieds-Sparkassen noch der Sparkassen-IT-Dienstleister Finanz Informatik betroffen seien. Die Hacker haben mit der Veröffentlichung von Daten gedroht, wenn der Sparkassenverband kein Lösegeld zahlt. Ein Lösegeld sei bisher nicht gezahlt worden – man sei im engen Austausch mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und anderen Behörden. Bisher seien keine Daten veröffentlicht worden, betonte der Sprecher.

Der Sparkassenverband habe am Montag bemerkt, dass Unbefugte Zugriff auf E-Mail-Konten haben. Daraufhin sei zunächst das System so gekappt worden, dass keine E-Mails mehr nach außen gingen. „Im Laufe des Dienstags wurde das komplette System heruntergefahren“, so der Sparkassensprecher. Nun seien IT-Fachleute dabei, es Stück für Stück wieder aufzubauen. Das werde sicher noch ein paar Tage dauern.

Auch das Berliner Fintech Raisin DS wurde gehackt, wie das Unternehmen vergangene Woche bestätigte.

Betroffen ist der Altersvorsorge-Geschäftszweig „Raisin Pension“, ehemals unter dem Namen „Fairr“ bekannt.

Wie viele Nutzerkonten vom Hackerangriff betroffen sind, gab Raisin nicht an. Das Portal Finanz-szene.de schätzt die Kundenzahl von Raisin Pension auf eine niedrige fünfstellige Summe

Die Firma hat vergangene Woche Dienstag (03.08) von dem Vorfall erfahren. Drei Tage später benachrichtigte Raisin die betroffenen Kunden via Mail. Dem Unternehmen zufolge bekamen die Angreifer Zugriff auf Daten wie etwa Personenstammdaten oder Bankinformationen. Bislang seien Raisin „vereinzelte Fälle“ bekannt, in denen Kunden mit diesen Informationen via Spammails oder Telefonanrufen kontaktiert wurden. Deshalb rät die Firma ihren Kunden, das Passwort zu ändern und in nächster Zeit die Kontobewegungen genauer zu überprüfen.

Quelle:

https://www.swr.de/swraktuell/baden-wuerttemberg/hackerangriff-sparkassenverband-100.html

https://www.businessinsider.de/gruenderszene/fintech/raisins-altersvorsorge-portal-wurde-gehackt/

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.