Eine bestimmte Art von Ethereum Wallet Adressen verfügt über eine Schwachstelle, die Unbefugten den Zugriff erlaubt. Nutzer können dadurch ihr gesamtes dort gelagertes Vermögen verlieren und sollten deshalb schnellstens reagieren.
Ethereum: Schwachstelle bei Wallet Adressen
Der fünf Jahre alte Vanity Adressen-Generator Profanity verfügt über eine kritische Schwachstelle, die es unbefugten Nutzern ermöglicht, den Zugriff auf die Private Keys zu erhalten.
Profanity erstellt sogenannte Vanity Adressen der Ethereum–Blockchain. Dabei handelt es sich um Wallet Adressen, die zu Teilen ein bestimmtes Aussehen haben. Dieses kann vom jeweiligen Nutzer selbst bestimmt werden.
Profanity ist nur einer von vielen Vanity Generatoren für Ethereum. Auch für unzählige weitere Blockchains existieren vergleichbare Projekte. Aufgrund der Schnelligkeit von Profanity erfreute sich der Dienst über einige Jahre allerdings grosser Beliebtheit.
Dass diese Schwachstelle existiert, entdeckte der Programmierer ZachXBT, nachdem der bekannte Coder samczsun auf ungewöhnliches Verhalten einer Adresse des DEX-Aggregators 1inch aufmerksam wurde.
Bei der Adresse handelte es sich um eine Vanity Adresse, die mit Profanity erstellt wurde. Mitarbeiter von 1inch untersuchten den Vorfall bereits seit Juni und veröffentlichten kürzlich Details zur Schwachstelle.
Nutzer von durch Profanity erstellten Vanity Adressen sollten ihre Gelder möglichst schnell auf eine sichere Wallet transferieren. Smart Contracts, die von denselben Adressen administriert werden, sollten ihren Eigner verändern.
Ether-Verluste in Millionenhöhe wegen Vanity Adressen
Vanity Adressen werden genutzt, um eine schnellere Verifizierung zu vollziehen oder eine bestimmte Ästhetik zu realisieren – ähnlich zu individuellen Kennzeichen bei Kraftfahrzeugen.
Private Nutzer büssten umgerechnet bereits über 3,3 Millionen US-Dollar ein, nachdem 1inch den Fehlerbericht veröffentlichte. Offenkundig war die Schwachstelle mehreren Angreifern bereits zuvor bekannt. Diese nutzten öffentliche Informationen, um möglichst viele Wallets zu kapern.
Besonders skurril: Einer der Betroffenen ist auf Etherscan bereits selbst als Hacker gekennzeichnet. Bis vor wenigen Tagen lief all das von den geschädigten Nutzern unbemerkt ab. Erst als 1inch öffentlichkeitswirksam auf das Problem aufmerksam machte, schlug die Falle zu.
Angreifer nutzten öffentliche Transaktionssignaturen, um den Public Key der Vanity Adressen zu ermitteln. Dank diesem können sie den jeweiligen Private Key durch die Brute-Force-Methode ermitteln.
Um das zu vollbringen, benötigen die Angreifer wohl bis zu wenigen Stunden. Die Anzahl der möglichen Ziele ist dabei enorm. Profanity gehört zu den beliebtesten Generatoren von Vanity Adressen auf Ethereum, da das Programm deutlich zeiteffizienter ist als die meisten Alternativen.
Auch der Market Maker Wintermute verwendete eine Vanity Adresse von Profanity – und diese ist ausgerechnet als Administrator des eigenen Ethereum Vaults aktiv. Ein Hacker erlangte Zugriff und leerte den Smart Contract des Dienstes vollständig.
So erbeutete er umgerechnet rund 160 Millionen US-Dollar in Form von mehr als 70 verschiedenen ETH-Token. Die Stablecoins USDT, USDC und DAI bilden einen Grossteil der Beute.
Hacker nutzt Beute im DeFi-Sektor
Sicherheitsexperten von SlowMist konnten die im Wintermute-Hack entwendeten Gelder bereits zurückverfolgen. Demnach nutzte der Hacker den sanktionierten ETH-Mixer Tornado.Cash um seine Spuren zu verwischen.
Anschliessend sendete er umgerechnet 114 Millionen US-Dollar an den Liquiditätspool des DEX Curve Finance, um dort Zinsen für die Bereitstellung von Geldern zu erhalten.
Evgeny Gaevoy, Geschäftsführer von Wintermute, bat den Hacker auf Twitter um eine freiwillige Rückgabe der Gelder.
