Thought Leadership
Digitale Vermögenswerte auf öffentlichen Blockchains gelten als transparent, schnell und global zugänglich – gleichzeitig bieten sie Angreifern klare Angriffspunkte.
Check Point Software Technologies warnt in einer aktuellen Analyse vor einem fatalen Irrtum: Whitelists, Multisignaturen und Hardware Wallets allein schützen nicht ausreichend. Staatlich unterstützte Hackergruppen wie die nordkoreanische Lazarus Group haben dies eindrucksvoll bewiesen, indem sie innerhalb von sieben Monaten 1,788 Milliarden US-Dollar erbeuteten.
Wie die Angriffe abliefen
Die Lazarus-Gruppe nutzte ein immer gleiches Muster: Eine vertrauenswürdige, whitelisted Entität wird kompromittiert, ihr Vertrauen ausgenutzt und anschließend die digitalen Vermögenswerte abgegriffen. Drei markante Fälle verdeutlichen die Vorgehensweise:
- Bybit, Februar 2025: 401.347 ETH (ca. 1,5 Mrd. USD) wurden gestohlen. Ein kompromittierter Entwicklerrechner manipulierte die Wallet-Oberfläche (Safe{Wallet}-UI), sodass die Unterzeichner legitime Transaktionen freigaben, während der Angreifer im Hintergrund Funktionen wie sweepETH() und sweepERC20() implementierte.
- WazirX, Juli 2024: Etwa 200 Token im Wert von rund 235 Mio. USD wurden entwendet. Ein Custody-Provider wurde kompromittiert, die angezeigte Transaktion entsprach nicht der On-Chain-Logik, wodurch Multisig-Signaturen missbraucht wurden.
- Radiant Capital, Oktober 2024: 53 Mio. USD auf Arbitrum und BSC. Drei interne Signer wurden über Telegram und ein bösartiges PDF manipuliert, Hardware-Wallets konnten die komplexen Payloads nicht korrekt interpretieren, sodass Ownership-Transfers „blind“ freigegeben wurden.
Die Gemeinsamkeit der Angriffe: Whitelist, Multisig und Hardware Wallets waren vorhanden, der Schaden entstand durch Manipulation der Transaktionslogik (Calldata) und kompromittierte Vertrauensketten.
Der Kernfehler traditioneller Sicherheitsmaßnahmen
Whitelists prüfen lediglich, ob eine Adresse erlaubt ist, nicht aber, was die Transaktion tatsächlich bewirkt. Dadurch bleiben Angriffe durch Proxy-Swaps, Ownership-Transfers oder manipulierte Contracts unsichtbar. Selbst Multisignaturen oder Hardware Wallets können die Manipulation nicht erkennen, wenn sie auf derselben kompromittierten Infrastruktur agieren.
Check Point betont: „Eine Whitelist prüft nur, ob eine Adresse erlaubt ist, nicht aber, was eine Transaktion tatsächlich bewirkt.“
Schutzstrategien für große digitale Vermögenswerte
Statisches Vertrauen nicht ausreicht. Effektive Gegenmaßnahmen erfordern kontinuierliche, unabhängige Validierung:
- Echtzeit-Transaktionssimulation: Jede Transaktion sollte vor der Ausführung gegen den aktuellen Blockchain-Zustand getestet werden, um unerwartete Ownership-Transfers oder Proxy-Swaps zu erkennen.
- On-Chain-Monitoring: Verdächtige Aktivitäten wie Deployments von Angreifer-Contracts müssen automatisiert frühzeitig erkannt werden, oft bereits Tage vor dem Angriff.
- Unabhängige Verifikation durch Co-Signer: Signaturen sollten über separate Infrastruktur erfolgen, um Manipulationen durch kompromittierte Systeme zu unterbrechen.
Der Schaden von fast 1,8 Milliarden US-Dollar verdeutlicht die Gefahren, die bei der Verwaltung großer Vermögenswerte auf öffentlichen Blockchains bestehen. Whitelists, Multisigs und Hardware Wallets bleiben wichtige Bausteine, müssen jedoch durch Echtzeit-Überprüfung und unabhängige Validierung ergänzt werden. Jede Transaktion sollte so behandelt werden, als könnte sie manipuliert sein – insbesondere wenn staatlich unterstützte Angreifer ins Spiel kommen.
Die Lektion für Unternehmen und Finanzinstitute: Transparenz und Vertrauen allein schützen nicht. Nur durch dynamische Kontrolle und kontinuierliches Monitoring lassen sich digitale Vermögenswerte nachhaltig sichern.
