Hacker haben es auf Bitcoin-Hot-Wallets abgesehen – so geht's

Der Gründer des Ordinal Rugs-Projekts sagte, Hacker hätten am Dienstag Mitglieder des Bitcoin Rock Discord-Servers ins Visier genommen und Ordinal-Inschriften im Wert von 1.47 BTC (rund 103,003 Dollar) und 4 BTC (rund 208,196 Dollar) aus ihrer Brieftasche gestohlen.

Ordnungszahlen sind bei digitalen Sammlerstücken angesagt; Einem Bericht von Dune Analytics zufolge wurden bisher über 63 Millionen Inschriften auf der Bitcoin-Blockchain geprägt, wobei bisher nur 6388 BTC an Gebühren ausgegeben wurden, etwa 450 Millionen US-Dollar. Dies macht Bitcoin zu einem verlockenden Ziel für Hacker.

„In den zehn Jahren, die ich im Kryptobereich verbracht habe, ist dies das erste Mal, dass ich eine beträchtliche Menge Geld durch einen Hack/Betrug verloren habe (ganz zu schweigen von einer Verschwendung von Geldbeuteln)“, verriet der pseudonyme Gründer Archon in einem Tweet-Thread – Er gab zu, trotz strenger Sicherheitskontrollen nachlässig gehandelt zu haben.

„Ich bin nicht der Typ, der Op-Sec auf die leichte Schulter nimmt“, schrieben sie. „Ich habe alle persönlichen Logins mit Yubikeys authentifiziert und der Großteil meiner Krypto-Assets/Ordnungszahlen ist auf Hardware + Multi-Sig-Wallets sicher.“

Cyber-Angriffe auf Krypto-Wallets sind weit verbreitet und auch Prominente und prominente Persönlichkeiten sind häufige Ziele. Im Mai 2022 wurde der Schauspieler Seth Green Opfer eines Phishing-Angriffs, der ihn eines Bored Ape Yacht Club NFT beraubte. Während sich Diebe traditionell auf die Ethereum- und Solana-Blockchain konzentrieren, sind Ordinalzahlen die heiße Neuheit, die Betrüger anzieht – und Bitcoin-Wallets in ihr Fadenkreuz bringt.

Wie Archon erklärte, begann der Hack mit einer Nachricht an die Mitglieder des Bitcoin Rock Discord, in der eine Verlosung der beliebten Runestones Ordinals angekündigt wurde. Das Konto enthielt einen Link zu einem bösartigen Klon der Magic Eden NFT-Website. Als Archon sein Wallet mit der Website verband und die Transaktion unterzeichnete, konnte der Dieb die NFTs stehlen.

„Ich weiß nicht, ob noch jemand betroffen war“, sagte Archon Entschlüsseln. „Ich habe [den Diebstahl] weniger als eine Minute nach der Unterzeichnung der [Transaktion] bemerkt.“

Die Hacker nutzten sogar eine der gestohlenen Inschriften, 53,109,400, um die Transaktionsgebühr zu bezahlen.

„Es waren keine Gelder/Konten/Anmeldungen im Zusammenhang mit [Ordinal Rugs] betroffen … das war nur mein persönlicher Geldbeutel und ich bin hier selbst schuld“, sagte Archon. „Ich brauche wohl nicht zu sagen, dass ich nicht zulassen werde, dass so etwas noch einmal passiert.“

Nach Angaben des Blockchain-Sicherheitsunternehmens Halborn führen mangelnde Sorgfalt und FOMO dazu, dass Sammler Fehler machen, die sie normalerweise nicht tun würden.

„Als er den gesamten Server anpingte, dachte er, dass die Nachricht vom Administrator stammte, also vertraute er dieser URL und klickte darauf“, sagte David Schwed, COO von Halborn Entschlüsseln. „Also eigentlich nur ein Teil des Social Engineering und Phishing.“

Phishing ist eine Form der Cyberkriminalität, die versucht, etwas Wertvolles (in diesem Fall eine NFT) durch irreführende E-Mails, Websites oder soziale Medien zu stehlen.

Schwed betonte, wie einfach es sei, eine Website zu klonen, und sagte, Wallet-Benutzer müssten besonders wachsam sein, einschließlich der doppelten Überprüfung der Website-URLs.

„Es gibt Plugins, die die Leute verwenden können, die sie darauf aufmerksam machen können, dass es sich um eine gefälschte Domain handelt“, sagte Schwed gegenüber Decrypt. „Dabei würde es sich um Dinge wie den Zeitpunkt der Registrierung der Domain handeln.“

Schwed sagte, eine weitere Möglichkeit bestehe darin, Browsererweiterungen zu verwenden, die neu beobachtete und neu registrierte Domains blockieren.

Um nicht vom Ordinals-Wahnsinn ausgeschlossen zu werden, ist eine Heimindustrie kompatibler Wallets online gegangen, denen jedoch die Geschichte und die hart erkämpfte Weisheit fehlt, die aus Angriffen älterer NFT-freundlicher Wallets wie MetaMask und Phantom gewonnen wurde. Erfahrene Anbieter haben die Narben des Kampfes hinter sich, um ihr Engagement für Sicherheit unter Beweis zu stellen, und rühmen sich mit Funktionen wie Blockaid und Warnungen vor böswilligen Angriffen, die neuere Wallets möglicherweise nicht bieten.

„Einige Wallets verfügen über integrierte Sicherheit, andere nicht“, sagte Schwed und verwies auf die Integration von Blockaid durch Metamask im letzten Jahr. „Viele von ihnen konzentrieren sich auf intelligente Verträge, weshalb sie möglicherweise auf BTC abzielen.“

Herausgegeben von Ryan Ozawa.