WazirX, eine der führenden zentralisierten Krypto-Börsen Indiens, hat nach einem Hackerangriff am Donnerstagmorgen fast die Hälfte ihres Gesamtvermögens verloren.
„Wir sind uns bewusst, dass es bei einem unserer Multisig-Wallets zu einer Sicherheitsverletzung gekommen ist“, hieß es in einem Post des X-Accounts von WazirX um 8:48 Uhr Londoner Zeit. „Unser Team untersucht den Vorfall aktiv.“
Das Blockchain-Sicherheitsunternehmen Cyvers war eines der ersten, das den Hack entdeckte.
🚨ALARM🚨Hey @WazirXIndia, unser System hat mehrere verdächtige Transaktionen im Zusammenhang mit Ihrem Safe Multisig-Wallet im #ETH-Netzwerk erkannt.
Insgesamt wurden 234,9 Millionen US-Dollar Ihres Guthabens an eine neue Adresse überwiesen. Der Anrufer jeder Transaktion wird von @TornadoCash finanziert.
Der Verdächtige… pic.twitter.com/4sajAwd4Hb
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) 18. Juli 2024
Aufgrund verdächtiger Transaktionen wurden gegen 6:19 Uhr Gelder aus einem der Ethereum-Wallets von WazirX abgezogen.
In nur etwas mehr als einer Stunde wurden Vermögenswerte im Wert von fast 235 Millionen Dollar abgezogen.
Unter der Beute befand sich Shiba Inu im Wert von über 102 Millionen Dollar, eine Memecoin mit Hundemotiv.
Der Hacker stahl außerdem Ether im Wert von 53 Millionen Dollar und MATIC-Token von Polygon im Wert von 11 Millionen Dollar sowie kleinere Mengen von über einem Dutzend weiterer Token.
Onchain-Aufzeichnungen zeigen, dass der Hacker bereits Teile der gestohlenen Kryptowährung verkauft.
WazirX verfügte laut dem Reservennachweis der Börse vom Juni über Vermögenswerte im Wert von 503 Millionen Dollar. Der Verlust von 235 Millionen Dollar macht 46 % der Gesamtaktiva aus.
WazirX hat seitdem Bargeld- und Kryptowährungsabhebungen ausgesetzt.
Laut DefiLlama kommt dieser Hack zu den 684,3 Millionen Dollar hinzu, die bereits bei ähnlichen Vorfällen im Jahr 2024 gestohlen wurden.
Während die gestohlene Summe zwischen 2022 und 2023 um 56 % auf 1,42 Milliarden Dollar zurückging, warnen Sicherheitsexperten, dass die Cyberkriminellen mit der Hausse zurückkehren werden.
Den Safe knacken
WazirX verwendet ein sicheres Multisignatur-Wallet (oder Multisig), um die Kryptowährungen seiner Benutzer aufzubewahren.
Solche Geldbörsen gelten im Allgemeinen als sicherer als herkömmliche Geldbörsen, da jede Transaktion von mehreren Personen unterzeichnet werden muss.
Dieses Mal fand der Hacker einen Weg, diese Sicherheitsmaßnahme zu umgehen.
„Es scheint, dass die Unterzeichner des betroffenen Kontos eine Transaktion unterzeichnet haben, die die Implementierungsvertragsadresse im Proxy geändert hat“, sagte Mikhail Mikheev, ein Softwareentwickler bei Safe, in einer Gruppe in der Messaging-App Telegram und bestätigte dies gegenüber DL News.
Mit anderen Worten: Nachdem sich die Hacker Zugriff auf die Systeme von WazirX verschafft hatten, aktualisierten sie den Code des Wallets, um die Sicherheitsfunktionen zu umgehen.
„Unseres Wissens sind keine weiteren Safes betroffen“, sagte Mikheev. „Wir arbeiten derzeit mit WazirX zusammen, um das Problem weiter zu untersuchen.“
Ein weiterer Börsenhack
Der WazirX-Hack ist nicht der erste derartige Vorfall in den letzten Monaten.
Im Mai kam es bei der japanischen Börse DMM Bitcoin zu einem „unbefugten Leck“ von über 300 Millionen US-Dollar.
Der unter Pseudonym agierende Onchain-Detektiv ZachXBT sagte, dass die nordkoreanische Lazarus Group aufgrund von „Ähnlichkeiten bei den Geldwäschetechniken und Off-Chain-Indikatoren“ hinter dem DMM-Bitcoin-Hack stecken könnte.
Ari Redbord, Leiter der globalen Politik bei TRM Labs, einem Blockchain-Informationsunternehmen, sagte, der Angriff trage „die Kennzeichen eines protypischen [nordkoreanischen] Hacks“.
Es ist noch nicht bekannt, ob die Lazarus Group auch hinter dem WazirX-Hack steckt.
Tim Craig ist der in Edinburgh ansässige DeFi-Korrespondent von DL News. Senden Sie uns Tipps unter tim@dlnews.com.