Vor Kurzem haben Hacker über 600 Millionen Euro in diversen Kryptowährungen von der Plattform Poly Network gestohlen. Wirklich bereichert hat sie der Diebstahl nicht, denn mit dem Geld können sie nichts anfangen.
Update: Mittlerweile hat sich der Hacker, der anscheinend alleine handelte, selbst zu Wort gemeldet. Er behauptet, das alles nur aus Spaß gemacht zu haben. Wir haben den Artikel um seine Aussage erweitert.
Wer sind die Hacker? Am 10. August brachte eine einzige Meldung den gesamten Kosmos der Kryptowährungen ins Wanken. Einer oder mehrere Hacker unter dem Namen ,,Mr. White Hat” (zu Deutsch: Herr Weißhut) haben in einem digitalen Raubzug über 600 Mio. Euro in Form von Bitcoin, Ethereum und anderen Währungen erbeutet.
Als “White Hat” bezeichnet man einen Hacker, der mit seinen Aktionen gutmütig auf Sicherheitslücken hinweist – im gegensatz zu den “Black Hats”. Zwischen den beiden liegen “Gray Hats”, welche ungefragt nach Lücken suchen und dann nach einem Obulus fragen, um sie zu begeben. Ob es sich bei dem Hacker jedoch um einen “White Hat” handelt oder ob er sich nur so nennt, ist unklar.
Ziel dieser Attacke war die Handelsplattform Poly Network, bei der Sicherheitslücken ausgenutzt wurden. Die Plattform stellte sich als besonders lukrativ heraus, da sie Handel zwischen unterschiedlichen Kryptowährungen erlaubt — kaum eine andere Plattform bietet das. So konnten die Hacker gleich mehrere Währungen in weniger Überweisungen transferieren.
Um das Geld der über 10.000 betroffenen Kunden zurückzuerhalten, schrieb Poly Network einen offenen Brief an die Hacker:
Liebe Hacker,
Wir sind das Poly Network Team.
Wir möchten mit euch kommunizieren und bitten euch darum, die gehackten Assets zurückzugeben.
Die Menge an Geld, die ihr gestohlen habt, ist die größte in der Geschichte der dezentralisierten Finanzen. Strafverfolger und Gerichte aller Länder werden das als schwerwiegende Wirtschaftskriminalität behandeln und euch verfolgen. Es wäre sehr unklug von euch, weitere Transaktionen durchzuführen. Das Geld, das ihr gestohlen habt, stammt von über 10.000 Mitgliedern unserer Krypto-Community.
Ihr solltet mit uns reden, um eine Lösung zu finden.
Hacker können nichts mit dem Geld anfangen
Poly macht mehr Druck: Um die Hacker weiter dazu zu drängen, die Assets zurückzuzahlen, veröffentlichte die Handelsplattform die Wallet-Adressen der Hacker auf Twitter. Damit können sich die Hacker von Mr. White Hat weitere Transaktionen an den Weiß-Hut stecken. Sollten sie jetzt versuchen, jemanden mit der erbeuteten Kryptowährung zu bezahlen oder Krypto- in herkömmliche Währung zu tauschen, ist allen Beteiligten sofort klar: Das Geld ist gestohlen.
Vergleichbar ist das mit Geldscheinen, die beim Versuch, einen Geldkoffer aufzubrechen, von einem Markierungsfarbe sprühenden Sprengsatz wertlos gemacht werden.
Hacker zahlen Geld zurück: Poly Network hat nur kurze Zeit später eine Nachricht erhalten, die an eine Transaktion gekoppelt war. In der schreiben die Hacker ,,ready to transfer”. (zu Deutsch: ,,Bereit für die Transaktion”)
Und tatsächlich, das Geld landete Stück für Stück in den Wallets von Poly Network. Bis zum 13. August 2021 hatten die Hacker etwa 340 Mio. € von 600 Mio. € zurückgezahlt — mehr als die Hälfte. Erfolg genug? Keineswegs: Die Verantwortlichen von Poly versprechen ihren Mitgliedern, dass sie nicht aufhören, bis auch der letzte Cent wieder dort ist, von wo er gestohlen wurde.
Hacker behauptet: “Das war immer der Plan”
Das sagt der Hacker: Nach der Attacke und dem Angebot von Poly, hat sich der Angreifer selbst zu Wort gemeldet. Er sagt, er habe das alles nur “aus Spaß” gemacht und dass es ihm nie um Geld gegangen sei (via CNBC.com). Es sei ihm tatsächlich um den Fehler gegangen, den er gefunden hatte:
Als mir der Bug aufgefallen ist, hatte ich gemischte Gefühle. Fragt euch selbst, was ihr tun würdet, wenn ihr ein solches Vermögen vor euch seht. Das Team höflich fragen, ob sie es fixen? Jeder könnte ein Verräter sein angesichts einer Milliarde! Ich kann niemandem vertrauen. Die einzige Lösung, die mir einfiel, war, es in einem gesicherten Account zu verwahren während ich selbst anonym und sicher bleibe.
“Mr. White Hat” cia CNBC
Er behauptet weiter, dass er von Anfang an das Geld zurückgeben wollte. Er sei “nicht sonderlich interessiert” in das Geld, aber er wisse, wie sehr es Leute treffe, wenn sie angegriffen werden: “Sollten sie nicht aus einem solchen Angriff lernen?”
Auch, wenn wir nicht prüfen können, ob der Hacker das alles ernst meint, stammen doch zumindest die Nachrichten offenbar eindeutig von ihm. Ein Spezialist erklärt: Die Nachrichten seien in Transaktionen eingebettet gewesen, die eindeutig zum Account des Hackers gehören. Nur der Besitzer der gestohlenen Assets hätte sie senden können.
Mitglieder und Twitter-Nutzer: Stellt den Hacker ein
Die Reaktion auf den offenen Brief von Poly Network sind eindeutig. Ein großer Teil der User macht sich schlichtweg darüber lustig. Andere drücken ihr Mitgefühl für Betroffene aus. Doch ein Nutzer hat eine abstruse und doch geniale Idee: ,,Stellt den Hacker ein”, verlangt der User CryptoPittie001 und bekommt für diese Idee schnell Zuspruch.
Immerhin hat er die Betreiber der Seite auf eine wichtige Sicherheitslücke hingewiesen. Poly sollte den Hacker bezahlen, damit er noch mehr gefährliche Löcher in den Sicherheitsmaßnahmen findet, findet CryptoPittie.
Eine Idee, die tatsächlich funktionieren könnte. Es wäre nicht das erste Mal, dass eine Firma einen Hacker einstellt, der erfolgreich durch die eigene Sicherheit gedrungen ist. Denn wer kann potenzielle Gefahrenquellen besser erkennen als der eigene Feind?
Plattformen wie Poly Network wurden 2021 bereits dreimal öfter Opfer solcher Hacker-Attacken als noch im Vorjahr. Doch Diebstahl ist nicht die einzige Gefahr beim Handel mit Kryptowährungen, wie Twitch-Streamer Trainwrecks berichtet: Twitch-Streamer warnt vor Glücksspiel und Krypto-Währungen, verzockt dann 2 Millionen $
Bitte lies unsere Kommentar-Regeln, bevor Du einen Kommentar verfasst.
Dachte, die Geschichte lief ganz anders ab…
Ich verstehe nicht, was die Veröffentlichung der Wallets bringen sollte. Sie wären ja wohl kaum so dämlich und von den geklauten Wallets zu bezahlen, sondern hätten sich anonyme neue Wallets erstellt und das Geld erstmal dort hin transferiert. Gegebenenfalls sogar mehrfach durch verschiedene neue Wallets geschoben.
das kapier ich auch überhaupt nicht
durch die blockchain würde sich zwar die wallet history verfolgen lassen und man könnte auf die gestohlenen crypto rückschließen aber dann gibt es immer noch private verkäufe
ich glaube die haben einfach zu viel geklaut und wollen die nicht gleich zerstören deswegen haben sie die hälfte zurückgegeben
Alle bitcointransaktionen sind öffentlich einsehbar. Somit kann jeder auf der welt sehen: dieser Coin war mal auf diesem Konto
1. Gibt es sogenannte mixer, dadurch kann man den Transaktionsverlauf verschleiern. Gab schon so einige hacks, bei denen das Geld dann weg war
2. Das war ein White hat. Er wollte nur auf eine Sicherheitslücke aufmerksam machen. Er gibt alles zurück, aber nur Stück für Stück. Gründe dafür findet man per Google
3. Der Typ bekommt 500k wegen dem fund des bugs
4. Meine Vermutung ist, er hat denen vom Bug geschrieben, die haben nicht reagiert, also hat er den Bug demonstriert. Damit die Kunden aber nicht zu Misstrauisch werden, wurde diese Story erfunden, damit die Leute denken “ah, wenn man dort mein Geld klaut, kann man damit nichts anfangen”. Das gibt Sicherheit, auch wenn es gelogen ist. Auf diese Art können alle ihr Gesicht wahren.
Googlet einfach nach dem Hack, da sagt der Typ auch, dass er das Geld nie behalten wollte.
Und warum sollte ein Händler keine gestolenen Kryptowährungen annehmen ?
Das ist ja eh Piratengeld da interessiert sich die Polizei nicht dafür.
Weil dies Geldwäsche wäre und dann die Vermögenswerte eingezogen werden können. Wie kommst du darauf, dass die Polizei (bzw. das BKA) kein Interesse hat? Gibt etwas, das nennt sich Legalitätspflicht…