Da die regulatorische Unsicherheit das globale Ökosystem für digitale Assets weiterhin quält, gibt es viele Anti-Krypto-Befürworter, die weiterhin darauf hinweisen, dass die Branche insgesamt noch einen langen Weg vor sich hat, wenn es darum geht, sich überall abzusichern vergleichbar mit dem traditionellen Finanzsystem. Jetzt, da der jüngste Bitmart-Hack ans Licht kommt, haben diese Personen noch mehr Feuerkraft erhalten.
Um es noch einmal zusammenzufassen: Die Kryptowährungsbörse Bitmart war am 5. Dezember am Empfängerende eines großen Hacks, bei dem die Plattform fast 200 Millionen US-Dollar durch einen Hot-Wallet-Kompromiss verloren hat, der über die Ethereum- und Binance Smart Chain-Blockchains gehostet wird. Der Verstoß wurde zuerst von der Blockchain-Sicherheitsfirma Peckshield aufgedeckt, deren Cybersicherheitsteam aufdeckte, dass schändliche Dritte zunächst etwa 100 Millionen US-Dollar über die Ethereum-Blockchain überweisen konnten, gefolgt von einem weiteren gleichzeitigen Hack von 96 Millionen US-Dollar mit BSC-Reserven der Kryptobörse.
Die Hacker konnten über 20 Token sammeln, darunter eine Reihe von Altcoins wie Binance Coin (BNB), SafeMoon (SAFEMOON), BSC-USD und BNBBPay (BPay). Sie konnten auch anständige Mengen an Meme-Token stehlen, darunter Baby Doge Coin (BabyDoge), Floki Inu (FLOKI) und Moonshot (MOONSHOT). Laut dem Sicherheitsteam von PeckShield kann das gesamte Schema zugeschrieben bis hin zu einem einfachen Manöver „Austragen, Tauschen und Waschen“.
Bitmart antwortet
Um besser zu verstehen, wie der gesamte Vorfall zustande kam, wandte sich Cointelegraph an Bitmart. Ein Sprecher der Handelsplattform wies darauf hin, dass das Unternehmen, sobald der Verstoß entdeckt wurde, Maßnahmen ergriffen hat, indem es mehrere Systeme heruntergefahren hat, um „jegliche Art von unmittelbarem Schaden zu begrenzen“ – zu den Maßnahmen gehörten das Stoppen von Token-Auszahlungen sowie das Stoppen der Benutzer vom Handel mit bestimmten Paaren . Der Vertreter fügte hinzu:
„Wir planen, die Dienste weiterhin schrittweise wiederherzustellen, jedoch nur nach dem gründlichen Testprozess unseres Sicherheitsteams. Sicherheit bleibt unsere Priorität Nr. 1. Tatsächlich haben wir ab Dienstag, dem 7. Dezember 2021, EST die Ein- und Auszahlungen von ETH- und ERC20-Token wieder aufgenommen.“
Darüber hinaus wurde in einer schriftlichen Antwort der Börse hervorgehoben, dass Bitmart zur Stärkung seiner nativen Sicherheitsinfrastruktur alle seine Token-Einzahlungsadressen in Bezug auf Währungen wie Bitcoin (BTC), Ether (ETH) und Solana (SOL) ersetzt hat sowie alle anderen Token, die an dem Vorfall beteiligt sind. „Wir haben auch unsere Nutzer über die entsprechenden Änderungen informiert“, schloss die Erklärung ab.
Schließlich, am 6. Dezember, Sheldon Xia, Gründer und CEO von BitMart, angekündigt via Twitter, dass xchange die durch den Vorfall entstehenden Verluste mit eigenen Mitteln kompensieren werde: „Wir sprechen auch mit mehreren Projektteams, um die vernünftigsten Lösungen wie Token-Swaps zu bestätigen. Es werden keine Benutzerressourcen beschädigt.“
Die Krypto-Community zeigt Solidarität
Nach dem fast 200-Millionen-Dollar-Hack sprangen Mitglieder der globalen Shiba Inu (SHIB)-Community und der Krypto-Börse Huobi Global ein, um Bitmart jede Art von Unterstützung anzubieten, die von der Börse benötigt wird, um nicht nur die bestehende Sicherheitseinrichtung zu stärken, sondern auch um eine genaue Registerkarte über die Zuflüsse seiner fehlplatzierten Vermögenswerte.
Im Gespräch mit Cointelegraph bemerkte Jeff Mei, Direktor für globale Strategie bei Huobi, dass in Fällen wie dem, der in Bezug auf Bitmart beobachtet wurde, Transparenz und sofortiges Handeln oberste Priorität haben müssen, und fügte hinzu:
„Börsen sollten ihre Benutzer, andere Börsen und Strafverfolgungsbehörden so schnell wie möglich benachrichtigen und transparent sein, was sie tun, um mit dem Hack und dem Verlust von Benutzergeldern umzugehen.“
Darüber hinaus betonte Mei, dass Benutzer vermeiden sollten, alle ihre Vermögenswerte auf einer einzigen Plattform oder einem einzigen Wallet zu bündeln. In Fällen, in denen sie das Gefühl haben, dass etwas faul ist, sollten Benutzer nicht zögern, sich an die entsprechende Börse zu wenden und ihnen davon zu erzählen der potenzielle Sicherheitsvorfall.
Ähnlich wie Huobi bestätigte auch die Shiba Inu-Community ihre Absicht, Bitmart zu helfen, und fügte hinzu, dass sie bereits ihre Bemühungen verstärkt habe, potenzielle Sicherheitsbedrohungen für ShibaSwap, eine von der Community erstellte dezentrale Börse (DEX), zu überprüfen.
Mehr Bildung ist nötig
Raimundo Castilla, CEO der Plattform zur Verwahrung digitaler Vermögenswerte, Prosegur Crypto, sagte gegenüber Cointelegraph, dass das, was mit Bitmart mit seiner jüngsten Sicherheitsverletzung passiert ist, nur leicht zu verhindern sei, wenn die Benutzer der Plattform ausreichend geschult seien, ihre digitalen Vermögenswerte extern und nicht an der Börse zu halten selbst:
„Hot Wallets sollten nur für die Gelder reserviert werden, mit denen Sie handeln möchten. Dieser Geldbetrag hätte im Kühlhaus mit einem Luftspaltsystem und 100% Offline-Transaktionen geschützt werden sollen.“
Castilla fügte jedoch hinzu, dass Plattformen wie Bitmart, um zukünftige Vorfälle zu verhindern, eine Kombination aus innovativen Technologien in Verbindung mit starren Governance-Protokollen verwenden müssen. Zunächst sollten ihre privaten Schlüssel nicht online bewacht werden, da alles, was online gespeichert ist, anfällig für Angriffe ist, unabhängig davon, wie gut es geschützt ist. „Sie hätten mit Whitelisting arbeiten sollen, also konnte jemand, obwohl er Zugang zu einem privaten Schlüssel erhält, Gelder nur an eine vorab bestätigte Wallet-Richtung senden“, erläuterte er.
Darüber hinaus hätte Bitmart möglicherweise ein fortschrittliches Multiparty Computing (MPC)-Co-Signing-System einsetzen können, das ein Multisignatur-Genehmigungsmodul verwendet. Dazu hätten die Hacker mehrere Personen benötigt, um die fraglichen Transaktionen zu genehmigen.
Castilla fügte hinzu: „Das Hacken nur eines privaten Schlüssels kann überhaupt nichts bewirken.“ Darüber hinaus hätte jemand in der Rolle eines Key Account Managers eingreifen und „die Transaktion stoppen können, um zum Kunden zu gelangen, um zu sehen, ob sie legitim ist“.
Bessere Sicherheitsmaßnahmen sind das Gebot der Stunde
Da das Krypto-Ökosystem anscheinend einem anhaltenden Ansturm schändlicher Hacker-Vorfälle ausgesetzt ist, ist es erwähnenswert, dass die Digital Asset Lending-Plattform Celsius kürzlich auch bestätigt hat, dass sie durch einen Exploit im Zusammenhang mit dem dezentralisierten Finanzprotokoll (DeFi) BadgerDAO . mit einem Verlust von 50 Millionen US-Dollar konfrontiert war .
Berichte über den Angriff zuerst aufgetaucht am 9. Dezember mit der Ankündigung des Kernentwicklerteams des Protokolls, dass sie “mehrere Exporte von nicht autorisierten Abhebungen” in Bezug auf ihre Kunden erhalten haben. Danach pausierten sie alle ihre bestehenden Smart Contracts, um weitere potenzielle Verluste zu mindern.
Allerdings waren es in letzter Zeit nicht nur schlechte Nachrichten, da das Cross-Chain-Protokoll Synapse Bridge enthüllte, dass sein Sicherheitsteam am 9. November einen millionenschweren Exploit im Avalanche Neutral Dollar (nUSD)-Metapool abwehren konnte Schurken davon ab, sich mit digitalen Währungen im Wert von fast 8 Millionen Dollar durchzusetzen.