{"id":32010,"date":"2025-03-14T10:16:24","date_gmt":"2025-03-14T08:16:24","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32010"},"modified":"2025-03-17T15:52:32","modified_gmt":"2025-03-17T13:52:32","slug":"bybit-hack-lessons-how-to-do-self-custody-properly","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/bybit-hack-lessons-how-to-do-self-custody-properly\/32010\/","title":{"rendered":"Lehren aus dem Bybit-Hack: Krypto sicher speichern"},"content":{"rendered":"

Der 21. Februar war ein schwarzer Tag f\u00fcr den Kryptomarkt, damals passierte der gr\u00f6\u00dfte Raub in seiner Geschichte. Angreifer erbeuteten rund 1,5\u00a0Milliarden Dollar von Bybit, der zweitgr\u00f6\u00dften Kryptob\u00f6rse der Welt. Experten sprechen vom gr\u00f6\u00dften Diebstahl aller Zeiten. F\u00fcr Bybit waren weder dieser Verlust noch die Abhebung weiterer 5\u00a0Milliarden Dollar durch panische Anleger fatal. Trotzdem unterstreicht der Vorfall die grundlegenden Schw\u00e4chen des modernen Krypto-\u00d6kosystems und ergibt einige wertvolle Lehren\u00a0\u2013 auch f\u00fcr gew\u00f6hnliche Nutzer.<\/p>\n

Wie Bybit ausgeraubt wurde<\/h2>\n

Wie alle gro\u00dfen Kryptob\u00f6rsen sichert Bybit gespeichertes Kryptoguthaben durch einen mehrschichtigen Schutz. Krypto wird \u00fcberwiegend in Cold Wallets<\/a> gespeichert, die nicht mit Online-Systemen verbunden sind. Wenn das Umlaufverm\u00f6gen aufgestockt werden muss, wird der erforderliche Betrag manuell aus dem Cold Wallet in das Hot Wallet \u00fcbertragen und der Vorgang wird von mehreren Mitarbeitern gleichzeitig signiert. Dazu verwendet Bybit eine Multi-Signatur-L\u00f6sung (multisig) von Safe{Wallet}, und jeder an der Transaktion beteiligte Mitarbeiter signiert mit einem privaten Ledger-Hardware-Kryptoschl\u00fcssel<\/a>.<\/p>\n

Die Angreifer nahmen das System ganz genau unter die Lupe und kompromittierten laut unabh\u00e4ngigen Forschern eine der Safe{Wallet}-Entwicklermaschinen. Vermutlich wurde der Code, der f\u00fcr die Anzeige von Seiten der Safe{Wallet}-Webanwendung dient, b\u00f6swillig ver\u00e4ndert. Die Eigent\u00fcmer von Safe{Wallet} untersuchten den Vorfall, wiesen die Ergebnisse der beiden unabh\u00e4ngigen IT-Sicherheitsunternehmen zur\u00fcck und beharrten darauf, dass ihre Infrastruktur nicht gehackt worden sei.<\/p>\n

Aber was war denn dann passiert? W\u00e4hrend ein Hot Wallet routinem\u00e4\u00dfig mit 7\u00a0Millionen US-Dollar aufgeladen wurde, sahen die Bybit-Mitarbeiter auf ihren Computerbildschirmen genau diesen Betrag und die Empf\u00e4ngeradresse, die mit der Adresse des Hot Wallets \u00fcbereinstimmte. Zum Signieren wurden aber andere Daten gesendet! Bei regul\u00e4ren \u00dcberweisungen kann (und sollte!) die Empf\u00e4ngeradresse auf dem Bildschirm des Ledger-Ger\u00e4ts \u00fcberpr\u00fcft werden. Beim Signieren von multisig-Transaktionen werden diese Informationen jedoch nicht angezeigt\u00a0\u2013 daher f\u00fchrten die Bybit-Mitarbeiter diese \u00dcberweisung sozusagen im Blindflug durch.<\/p>\n

Sie gaben also versehentlich gr\u00fcnes Licht f\u00fcr einen b\u00f6sartigen Smart Contract, und der gesamte Inhalt eines Cold Wallets von Bybit wurde auf mehrere Hundert gef\u00e4lschte Wallets \u00fcbertragen. Sofort nach der Auszahlung aus der Bybit-Wallet wurde der Code auf der Safe{Wallet}-Website wieder auf die harmlose Version zur\u00fcckgesetzt. Derzeit besch\u00e4ftigen sich die Angreifer damit, das gestohlene Ethereum in Schichten aufzuteilen und st\u00fcckweise zu transferieren. Das nennt man Geldw\u00e4sche.<\/p>\n

Offenbar sind Bybit und seine Kunden Opfer eines gezielten Lieferkettenangriffs<\/a> geworden.<\/p>\n

Der Bybit-Raub ist kein Einzelfall<\/h2>\n

Als T\u00e4ter hat das FBI offiziell eine nordkoreanische Gruppe mit dem Codenamen \u201eTraderTraitor\u201c benannt<\/a>. In IT-Sicherheitskreisen ist diese Gruppe auch als Lazarus, APT38 oder BlueNoroff bekannt<\/a>. Ihr Markenzeichen sind hartn\u00e4ckige, ausgekl\u00fcgelte und anhaltende Angriffe im Bereich Kryptow\u00e4hrungen: Sie hacken Wallet-Entwickler, rauben Kryptob\u00f6rsen aus, bestehlen einfache Nutzer und erstellen gef\u00e4lschte \u201ePlay-to-Earn\u201c-Games<\/a>.<\/p>\n

Vor dem Bybit-Raub lag der Rekord der Gruppe bei 540\u00a0Millionen Dollar<\/a>. Sie wurden aus der Blockchain von Ronin Networks gestohlen, die f\u00fcr das Spiel Axie Infinity<\/em> erstellt worden war. Bei diesem Angriff im Jahr 2022 infizierten Hacker den Computer eines Game-Entwicklers mit einem einfachen Trick: eine infizierte PDF-Datei mit einem falschen Jobangebot. Diese Social-Engineering-Technik geh\u00f6rt bis heute zum Werkzeugkasten der Gruppe<\/a>.<\/p>\n

Im Mai 2024 gelang der Gruppe ein Diebstahl von \u00fcber 300\u00a0Millionen Dollar bei der japanischen Kryptob\u00f6rse DMM Bitcoin<\/a>. Die B\u00f6rse ging daraufhin Pleite. Zuvor wurden im Jahr 2020 \u00fcber 275\u00a0Millionen US-Dollar von der Kryptob\u00f6rse KuCoin abgezweigt<\/a>. Der Grund war angeblich ein \u201edurchgesickerter privater Schl\u00fcssel\u201c f\u00fcr ein Hot Wallet.<\/p>\n

Lazarus hat seine Taktiken zum Diebstahl von Kryptow\u00e4hrungen seit \u00fcber einem Jahrzehnt immer mehr verfeinert. 2018 berichteten wir \u00fcber eine Reihe von Angriffen auf Banken und Kryptob\u00f6rsen. Bei der Operation AppleJeus<\/a> wurde damals eine mit einem Trojaner infizierte App f\u00fcr den Handel mit Kryptow\u00e4hrungen eingesetzt. Nach einer Sch\u00e4tzung<\/a> der Elliptic-Experten belaufen sich die Einnahmen der mit Nordkorea verbundenen kriminellen Akteure auf rund 6\u00a0Milliarden Dollar.<\/p>\n

Was Krypto-Investoren tun sollten<\/h2>\n

Im Fall von Bybit hatten die Kunden Gl\u00fcck: Die darauf folgende Welle an Auszahlungsantr\u00e4gen wurde von der Kryptob\u00f6rse umgehend bearbeitet und es wurde versprochen, die Verluste aus Mitteln des Unternehmens auszugleichen. Bybit bleibt im Gesch\u00e4ft, daher m\u00fcssen die Kunden keine besonderen Vorkehrungen treffen.<\/p>\n

Doch der Hack zeigt einmal mehr, wie schwierig es ist, \u00fcber Blockchain-Systeme flie\u00dfende Geldmittel abzusichern, und wie wenig man tun kann, um eine Transaktion zu stornieren oder Geld zur\u00fcckzufordern. Der Angriff hatte ein beispielloses Ausma\u00df. Darum forderten viele, die Ethereum-Blockchain auf ihren Zustand vor dem Hack zur\u00fcckzusetzen. Die Ethereum-Entwickler halten so etwas jedoch f\u00fcr \u201etechnisch unl\u00f6sbar\u201c<\/a>. Inzwischen hat Bybit ein Pr\u00e4mienprogramm f\u00fcr Kryptob\u00f6rsen und Forscher angek\u00fcndigt<\/a>, das 10\u00a0Prozent aller wiedererlangten Gelder vorsieht. Bisher sind jedoch nur 43\u00a0Millionen Dollar zusammengekommen.<\/p>\n

Darum spekulieren einige Experten aus der Kryptobranche<\/a>, dass der Hack haupts\u00e4chlich zu einem Anstieg der Selbstverwahrung von Kryptoguthaben<\/a> f\u00fchren wird.<\/p>\n

Selbstverwahrung<\/strong> (self-custody) bedeutet: Die Verantwortung f\u00fcr die sichere Speicherung liegt nicht mehr auf den Schultern von Spezialisten, sondern auf deinen eigenen. F\u00fcr diese Variante solltest du dich aber nur entscheiden, wenn du wirklich alle Sicherheitsma\u00dfnahmen beherrschst und sie permanent einhalten kannst. Beachte auch, dass normale Nutzer, die kein millionenschweres Krypto-Wallet besitzen, wahrscheinlich nicht mit einem ausgekl\u00fcgelten und gezielten Angriff konfrontiert werden. Und allgemeine Massenangriffe sind leichter abzuwehren.<\/p>\n

Was ben\u00f6tigst du zur sicheren Selbstverwahrung von Kryptoguthaben?<\/p>\n