Die in London ansässige Kryptowährungshandelsplattform Wintermute sah Cyberangreifer diese Woche mit 160 Millionen US-Dollar abheben, wahrscheinlich aufgrund einer Sicherheitslücke, die im Code eines Partners gefunden wurde. Der Vorfall zeigt tiefe Bedenken hinsichtlich der Implementierung von Sicherheit für diesen Finanzsektor, sagen Forscher.
Der Gründer und CEO von Wintermute, Evgeny Gaevoy, teilte Twitter mit, dass der Überfall auf den dezentralen Finanzbereich (DeFi) des Unternehmens abzielte und dass der Vorfall zwar einige Operationen „für ein paar Tage“ unterbrechen könnte, das Unternehmen aber nicht existentiell betroffen sei.
„Wir sind solvent, da wir mehr als das Doppelte an Eigenkapital übrig haben“, er getwittert. „Wenn Sie eine [Geldverwaltungs-]Vereinbarung mit Wintermute haben, sind Ihre Gelder sicher. Es wird heute und möglicherweise in den nächsten Tagen zu einer Unterbrechung unserer Dienste kommen und sich danach wieder normalisieren.“
Er sagte auch, dass etwa 90 Vermögenswerte getroffen wurden, und appellierte an den Täter: „Wir sind (noch) offen dafür, dies als White Hat [Vorfall] zu behandeln, also wenn Sie der Angreifer sind – kontaktieren Sie uns.“
Unterdessen erklärte er nach Forbes dass der „White Hat“-Kommentar bedeutet, dass Wintermute eine „Bug Bounty“ in Höhe von 16 Millionen US-Dollar anbietet, wenn der Cyberangreifer die verbleibenden 144 Millionen US-Dollar zurückgibt.
Gefüllt mit Obszönitäten
Er sagte der Verkaufsstelle auch, dass der Diebstahl wahrscheinlich auf einen Fehler in einem Dienst namens Profanity zurückgeht, der es Benutzern ermöglicht, ihren Kryptowährungskonten ein Handle zuzuweisen (normalerweise bestehen Kontonamen aus langen, unsinnigen Buchstaben- und Zahlenfolgen). Die Verwundbarkeit, letzte Woche bekannt gegeben, ermöglicht es Angreifern, Schlüssel aufzudecken, die zum Verschlüsseln und Aufbrechen von Ethereum-Geldbörsen verwendet werden, die mit Profanity generiert wurden.
Wintermute nutzte laut Forbes 10 von Profanity generierte Konten, um im Rahmen seines DeFi-Geschäfts schnelle Geschäfte zu tätigen. DeFi-Netzwerke verbinden verschiedene Kryptowährungs-Blockchains, um eine dezentrale Infrastruktur für Kreditaufnahme, Handel und andere Transaktionen zu schaffen. Als die Nachricht von dem Fehler bekannt wurde, versuchte die Krypto-Firma, die Konten offline zu schalten, aber aufgrund „menschlichen Versagens“ blieb eines der 10 Konten angreifbar und erlaubte den Angreifern, in das System einzudringen, sagte Gaevoy.
„Einige dieser [DeFi]-Technologien beinhalten auch Integrationen und Verbindungen von Drittanbietern, bei denen das Unternehmen möglicherweise nicht in der Lage ist, den Quellcode zu kontrollieren, was zu einem zusätzlichen Risiko für das Unternehmen führt“, sagt Karl Steinkamp, Direktor bei Coalfire, gegenüber Dark Reading. „In diesem Fall wurde Profanity, ein Vanity-Adressenanbieter für digitale Assets, für den Angriff genutzt … Ein teurer und vermeidbarer Fehler für Wintermute.“
DeFi-Börsen werden als Ziel wachsen
Das haben Analysten von Bishop Fox Anfang des Jahres herausgefunden DeFi-Plattformen verloren 1.8 Milliarden Dollar allein im Jahr 2021 zu Cyberangriffen. Bei insgesamt 65 beobachteten Ereignissen stammten 90 % der Verluste aus nicht raffinierten Angriffen, heißt es in dem Bericht, der darauf hinweist Schwierigkeiten, den Sektor zu sperren, die auf automatisierten Transaktionen beruht.
Und erst letzten Monat gab das FBI heraus eine Warnung dass Cyberkriminelle zunehmend Schwachstellen in DeFi-Plattformen ausnutzen, um Kryptowährung zu stehlen, allein zwischen Januar und März 1.3 wurden 2022 Milliarden US-Dollar erbeutet.
Forscher stellen fest, dass die verstärkte Akzeptanz und Preissteigerung digitaler Assets die Aufmerksamkeit böswilliger Personen auf sich gezogen hat und weiterhin auf sich ziehen wird – ebenso wie der laxe Sicherheitszustand im DeFi-Bereich.
„Viele dieser Unternehmen wachsen so schnell, dass die Kundengewinnung ihr Hauptaugenmerk ist“, sagt Mike Puterbaugh, CMO bei Pathlock. „Wenn interne Sicherheit und Zugriffskontrollen zweitrangig sind, um ‚um jeden Preis zu wachsen‘, wird es Lücken in der Anwendungssicherheit geben, die ausgenutzt werden.“
Die Hindernisse bei der Stützung der DeFi-Sicherheit sind zahlreich; Der Chef von Wintermute bemerkte, dass es schwierig sei, geeignete Werkzeuge zu finden.
„Sie müssen Transaktionen spontan und innerhalb von Sekunden signieren“, sagte Gaevoy gegenüber Forbes und fügte hinzu, dass Wintermute seine eigenen Sicherheitsprotokolle erstellen musste, da Tools fehlen. Er gab auch zu, dass Profanity keine Multifaktor-Authentifizierung anbot, aber das Unternehmen entschied sich trotzdem für die Nutzung des Dienstes. „Das ist letztlich das Risiko, das wir eingegangen sind. Es wurde berechnet“, fügte er hinzu.
Steinkamp merkt an: „Abhängig von der Architektur der DeFi-Plattform kann es eine Vielzahl von Herausforderungen geben, sie zu sichern. Diese können von Risiken durch Dritte bis hin zu Krypto-Bridge-Fehlern, menschlichen Fehlern und dem Mangel an sicherer Softwareentwicklung reichen, um nur einige zu nennen.“
Und Puterbaugh weist darauf hin, dass selbst bei aktivierten Out-of-the-Box-Steuerelementen und -Konfigurationen Anpassungen und Integrationen zu Schwachstellen in der Gesamtsicherheit führen können.
Best Practices für die Unterstützung der DeFi-Sicherheit
Trotz der Herausforderungen gibt es Best-Practice-Ansätze, die DeFi-Plattformen umsetzen sollten.
Puterbaugh befürwortet beispielsweise die Implementierung von Zugriffskontrollen bei jeder neuen App-Bereitstellung sowie kontinuierliche Überprüfungen auf Zugriffskonflikte oder Anwendungsschwachstellen als Schlüssel, insbesondere wenn es um leicht tragbare digitale Währungen geht.
Außerdem „müssen Unternehmen im DeFi-Bereich routinemäßig interne und externe Tests ihrer Plattformen durchführen, um kontinuierlich sicherzustellen, dass sie Bedrohungen proaktiv mindern“, so Steinkamp. Er fügt hinzu, dass Unternehmen im Rahmen der Transaktionssicherheit auch zusätzliche erweiterte Sicherheitsmaßnahmen implementieren sollten, darunter Multifaktor-Authentifizierung und Alarmauslöser bei verdächtigen und/oder böswilligen Transaktionen.
Jede Schicht hilft, fügt er hinzu. „Wo würden Sie lieber versuchen, sich Zugang zu verschaffen: ein Haus mit offener Tür oder ein Schloss mit Wassergraben und Zugbrücke?“ er sagt. „DeFi-Unternehmen werden weiterhin Hauptziele von Cyber-Dieben sein, bis sie angemessene Sicherheits- und Prozesskontrollen implementieren, um Angriffe auf ihre Plattformen weniger attraktiv zu machen.“
