Kryptowährung: IOTA im Wert von vier Millionen US-Dollar geklaut
In einem von langer Hand vorbereiteten Raubzug haben Kriminelle die Unbedarftheit von Nutzern ausgenutzt, um ihre IOTA-Wallets leerzuräumen – ein Lehrstück in moderner Cyberkriminalität.
- Mirko Ross
- Dr. Oliver Diedrich
Mit steigender Popularität von Kryptowährungen mehren sich auch die Angriffe darauf. Diese können Kryptogeldbörsen wie Coincheck attackieren, im Browser oder direkt auf dem Rechner der Opfer Krpytomining betreiben, im Zusammenhang mit Initial Coin Offerings (ICOs) betrügen – oder auf die persönlichen Geldbörsen (Wallets) der Nutzer zielen, um Tokens daraus in eigene Speicher zu transferieren.
Dabei bedienen sich die Kriminelle zahlreicher Werkzeuge von Trojanern, die Transaktionsadressen ausspähen und umleiten, bis zu Phishing Apps und Webseiten, die die Wallet-Schlüssel von Benutzern abgreifen. Die Anzahl der gemeldeten Raubzüge ist im letzten Jahr mit dem Boom um Bitcoin und anderen Kyptowährungen deutlich gestiegen.
IOTA unter Beschuss
Vergangenes Wochenende hat es einige Besitzer der Kryptowährung IOTA erwischt. Sie wurden Opfer eines von langer Hand vorbereiteten Raubzugs, der mittlerweile im Detail rekonstruiert ist. Die Diebe haben dabei die Unbedarftheit ihrer Opfer gezielt ausgenutzt, um an die privaten Schlüssel der Wallets zu kommen. In einer Nacht wurden schließlich, laut einer Schätzung des Sicherheitsforscher Nic Carter, Kryptobeträge von 3,94 Millionen US-Dollar (rund 3,2 Millionen Euro) auf Konten der Betrüger umgeleitet.
Hauptwerkzeug des Angriffes war eine Phishing-Website, die einen Online-Seed-Generator bereitstellte und durch Suchmaschinenoptimierung in der Google-Suche bei Anfragen zu "IOTA Seed" an prominenter Stelle im Suchergebnis auftauchte. Diese Webseite richtete sich an unerfahrene Benutzer von Kryptowährungen, die einen einfachen Weg suchten, die zufällige Zeichenfolge für den 81-stelligen privaten Schlüssel (Seed) für ihre IOTA-Wallet zu erzeugen: Über ein einfaches Online-Formular ließ sich ein vermeintlich sicheres Seed mit wenigen Mausklicks erzeugen. Vermutlich wurden so über mehrere Wochen die online erzeugten Seeds unbemerkt gespeichert, um dann auf einen Schlag die betroffenen Wallets leerzuräumen.
DDoS-Angriffe verhindern Gegenwehr
Während des Abräumens der IOTA-Tokens wurden die IOTA-Transaktionsknoten mit gezielten DDoS-Attacken gestört, so dass selbst Benutzer, die den Diebstahl bemerkten, die Transaktionen nicht stoppen konnten – es gab nicht genügend Knoten mit freier Kapazität, um Tokens in sichere Wallets zu übertragen. Ralf Rottmann, Betreiber von sechs öffentlichen IOTA-Knoten, beschreibt in einem Blogbeitrag die dramatische Situation in dieser Nacht. Rottmann hatte während des Angriffes betroffenen Wallet-Besitzern geholfen, ihre Token-Guthaben zu sichern. Während dieser Zeit wurden alle von Rottmann betriebenen Fullnodes mit massiven DDoS-Angriffen gestört, um seine Rettungsbemühungen zu behindern.
Rottmann betont, dass die Angreifer das IOTA-System nicht gehackt haben, sondern das Leeren der Wallets auf einen Phishing-Angriff zurückzuführen ist: Die Angreifer kannten über den "Online-Seed-Generator" die privaten Schlüssel der Wallets und hatten darüber Vollzugriff auf die darin gespeicherten Tokens. Diese Darstellung bestägt auch David Sønstebø, Mitbegründer der IOTA-Community. Der Angriff konzentrierte sich auf unerfahrene Benutzer, denen über Phishing der private Schlüssel zur Wallet entlockt wurde.
Der Fehler liege leider eindeutig beim Benutzer, so Sønstebø, das IOTA-System wurde technisch beim Angriff nicht kompromittiert. Die IOTA-Community empfiehlt, die Schlüssel über Kommandozeilen-Befehle zu erzeugen, nicht digital zu speichern und am Besten handschriftlich notieren. Die offizielle Wallet des IOTA Projekte enthält zudem eine deutliche Warnung vor der Benutzung von Online-Generatoren.
Kein Happy End
Neben dem Abgreifen von Schlüsseln über Phishing-Websites gibt es mit dem Schadprogramm Elvira einen ersten Trojaner, der den Speicher befallener Rechner nach Bitcoin-Transaktionsadressen durchsucht und diese so manipuliert, dass Transaktionen auf Wallets des Trojaners umgeleitet werden. Für Besitzer von Kryptowährungen gilt daher in Zukunft verstärkte Wachsamkeit im Umgang mit Wallet-Schlüsseln und Transaktionen.
Im Fall des jüngsten Diebstahls der IOTA-Tokens sind die entwendeten Beträge für die Opfer verloren. Die sichere und anonyme Transaktion der Tokens ist ein grundlegendes Prinzip sowohl bei Blockchains, wie sie beispielsweise Bitcoin verwendet, als auch bei den alternativen Distributed-Ledger-Systemen wie IOTA. Das macht eine "Rückabwicklung" der gestohlenen Tokens und eine Identifizierung der Diebe unmöglich. (odi)
