{"id":29071,"date":"2022-07-28T07:33:56","date_gmt":"2022-07-28T05:33:56","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29071"},"modified":"2022-07-28T07:33:56","modified_gmt":"2022-07-28T05:33:56","slug":"sky-mavis-crypto-heist","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/sky-mavis-crypto-heist\/29071\/","title":{"rendered":"Krypto-Raub: Betr\u00fcger erbeuten eine halbe Milliarde US-Dollar"},"content":{"rendered":"

Wir berichten oft von Betrugsf\u00e4llen, bei denen Nutzern utopische Geldbetr\u00e4ge versprochen<\/a> werden, w\u00e4hrend sie in Wirklichkeit bestohlen werden. Indem sie die Gier und Nachl\u00e4ssigkeit von Unternehmensmitarbeitern ausnutzen, k\u00f6nnen Cyberkriminelle \u00fcbrigens auch ganze Firmen um ihr Geld bringen.<\/p>\n

Genau das ist mit dem Blockchain-System von Ronin Networks, das von Sky Mavis f\u00fcr das Spiel Axie Infinity entwickelt wurde, passiert. Ein Sky Mavis-Mitarbeiter lud eine mit Spyware versehene PDF-Datei herunter, was zu einem der gr\u00f6\u00dften Kryptow\u00e4hrungsdiebst\u00e4hle aller Zeiten f\u00fchrte. Das Unternehmen verlor 173 600 ETH und 25,5 Millionen USDC (zum Zeitpunkt des Vorfalls mit einem Gesamtwert von etwa 540 Millionen US-Dollar). Wir gehen n\u00e4her auf den Angriff ein und geben Tipps, wie Sie sich sch\u00fctzen k\u00f6nnen.<\/p>\n

\u00dcber Axie Infinity<\/em> und Ronin Networks<\/h2>\n

Axie Infinity<\/em><\/a> ist ein Online-Videospiel, bei dem die Spieler mit Hilfe von fantastischen Kreaturen namens \u201eAxies\u201c, die sie \u201ez\u00fcchten\u201c, in Wettbewerben einsetzen und an andere Spieler verkaufen k\u00f6nnen, Kryptow\u00e4hrung verdienen k\u00f6nnen. Den Spielern erscheinen die Axies wie liebenswerte Tiere, im Grunde sind sie aber nichts anderes als non-fungible Token<\/em> (NFTs).<\/p>\n

Axie Infinity wurde 2018 ver\u00f6ffentlicht und fand schnell Anklang bei einem breiten Publikum. Auf dem H\u00f6hepunkt des Spiels konnten Spieler so viel verdienen, dass es f\u00fcr einige s\u00fcdostasiatische Nutzer zu einem Vollzeitjob<\/a> wurde. Im rekordverd\u00e4chtigen November 2021 hatte das Spiel eine t\u00e4gliche Spielerzahl von 2,7 Millionen<\/a> und die Einnahmen erreichten letztes Jahr 215 Millionen US-Dollar pro Woche<\/a> (im Sommer 2022 waren es jedoch nur noch bescheidene 1 Million US-Dollar pro Woche).<\/p>\n

Die Zahlungen im Axie Infinity<\/em>-\u00d6kosystem erfolgen mit der spielinternen W\u00e4hrung Smooth Love Potion<\/a> (SLP), die auf der Ethereum-Blockchain basiert. Um es den Nutzern zu erm\u00f6glichen, SLP bequem und ohne hohe Geb\u00fchren gegen normale Kryptow\u00e4hrung zu tauschen, haben die Entwickler die Plattform Ronin<\/a> ins Leben gerufen. Und genau diese hat die Aufmerksamkeit von Cyberkriminellen auf sich gezogen.<\/p>\n

Ein verlockendes Angebot: So wurden die Entwickler get\u00e4uscht<\/h2>\n

Um Zugriff auf die Plattform zu erlangen, f\u00fchrten die Angreifer einen zielgerichteten Angriff<\/a> auf Mitarbeiter von Sky Mavis durch. Sie sammelten Informationen \u00fcber das Unternehmen und entwarfen eine personalisierte Betrugsmasche, die auf einem gef\u00e4lschten, sehr attraktivem Stellenangebot basierte.<\/p>\n

Die Masche bestand darin, einem Senior Ingenieur, der es eigentlich besser h\u00e4tte wissen m\u00fcssen, ein verlockendes Stellenangebot (wahrscheinlich \u00fcber LinkedIn) zukommen zu lassen. Nachdem der Mitarbeiter alle Phasen der Bewerbung mit Bravour bestanden hatte, wurde ihm erwartungsgem\u00e4\u00df das verlockende Angebot in Form einer PDF-Datei zugeschickt. Beim Download der Datei wurde dann die darin enthaltene Spyware im Unternehmensnetzwerk freigesetzt.<\/p>\n

\u00a0<\/p>\n

Spyware in Aktion<\/h2>\n

Die Cyberkriminellen nutzten die Malware, um sich Zugang zu den privaten Schl\u00fcsseln<\/a> von Netzwerk-Validatoren<\/a> zu verschaffen, d. h. von sogenannten Nodes (Bl\u00f6cken), die Kryptow\u00e4hrungstransaktionen \u00fcberpr\u00fcfen und best\u00e4tigen. Zum Zeitpunkt des Angriffs gab es neun solcher Validatoren in Ronin Networks; f\u00fcr eine erfolgreiche Transaktion musste diese von mindestens f\u00fcnf dieser Nodes genehmigt werden. Letztendlich gelang es den Angreifern, vier Validatoren im Unternehmen selbst und einen f\u00fcnften in der dezentralen, autonomen Organisation Axie DAO<\/a>, wo dieser eigentlich nichts mehr zu suchen hatte, zu kompromittieren.<\/p>\n

Wie sich herausstellte, erlaubte das Unternehmen im November 2021 aufgrund des hohen Transaktionsvolumens und der hohen Belastung der Validatoren der Axie DAO, \u00dcberweisungen zu genehmigen. Nach einem Monat verringerte sich die Last, und die Unterst\u00fctzung von Axie DAO war nicht mehr erforderlich \u2013 die Rechte zur Genehmigung von Transaktionen wurden jedoch nicht entzogen, was den Cyberkriminellen in die H\u00e4nde spielte. Nachdem sie in das Sky Mavis-System eingedrungen waren, verschafften sich die Hacker auch Zugang zu Axie DAO, die dann den notwendigen f\u00fcnften Validator bereitstellte, um die Fonds von den Konten anderer auf das eigene Konto zu \u00fcberweisen.<\/p>\n

\u00a0<\/p>\n

Sky Mavis reagiert<\/h2>\n

Nach der Entdeckung des Angriffs handelte Sky Mavis verantwortungsbewusst und ergriff umgehend Ma\u00dfnahmen zur Steigerung der internen Sicherheit. Das Unternehmen zog externe Sicherheitsexperten von Verichains und CertiK hinzu und f\u00fchrte ein gr\u00fcndliches Audit von Ronin Networks<\/a> durch. Zudem erh\u00f6hte Sky Mavis die Zahl der Validatoren auf 11 und versprach<\/a>, die Zahl in Zukunft nach und nach auf mindestens 100 zu erh\u00f6hen. Je gr\u00f6\u00dfer die Gesamtzahl der Validatoren, desto mehr von ihnen m\u00fcssen kompromittiert werden, um nicht autorisierte Transaktionen durchzuf\u00fchren; erfolgreiche Angriffe sollten daher theoretisch erschwert werden.<\/p>\n

Da die gestohlenen Fonds eigentlich den Spielern von Axie Infinity geh\u00f6rten, begann Sky Mavis am 28. Juni mit Entsch\u00e4digungszahlungen an die Opfer. Dazu nutzte das Unternehmen sowohl seine eigenen Ressourcen als auch die Anfang April erhaltenen Binance-F\u00f6rderungen in H\u00f6he von 150 Millionen US-Dollar.<\/p>\n

So sch\u00fctzen Sie sich<\/h2>\n

Bei der Planung zielgerichteter Angriffe scannen Cyberkriminelle ihr Opfer sorgf\u00e4ltig auf Schwachstellen. Diese k\u00f6nnen Sicherheitsl\u00fccken in Ger\u00e4ten und Software, aber auch der Faktor Mensch sein. Nur zur Erinnerung: Der \u201eHeld\u201c in unserem Beitrag war ein erfahrener IT-Spezialist. Um ein \u00e4hnliches Schicksal zu vermeiden und Ihre Daten, Ihr Geld und Ihre Token zu sch\u00fctzen, sollten Sie bestimmte Sicherheitsma\u00dfnahmen nicht vernachl\u00e4ssigen.<\/p>\n