Solana-Blockchain: Diebstahl von Millionen US-Dollar aus Wallets

Vermögenswerte aus etwa 8.000 Wallets gestohlen – hauptsächlich mobiler Wallet-Benutzer von Phantom und Slope

[datensicherheit.de, 06.08.2022] Laut Medienberichten sollen Krypto-Währungen und andere Token im Wert von mehreren Millionen US-Dollar aus mit dem Internet verbundenen sogenannten Wallets auf der „Solana“-Blockchain entwendet worden sein: Vermögenswerte aus etwa 8.000 Wallets seien gestohlen worden – hauptsächlich mobiler Wallet-Benutzer von „Phantom“ und „Slope“. Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, kommentiert diesen Vorfall in seiner aktuellen Stellungnahme:

Foto: Tenable

Satnam Narang: Solana-Hack, der zum Diebstahl von über fünf Millionen Dollar führte, war das Ergebnis eines Lecks von Seed-Phrasen

Seed-Phrasen helfen, auf Kryptowährungs-Wallets zuzugreifen oder wiederherzustellen

„Der Solana-Hack, der zum Diebstahl von über fünf Millionen Dollar führte, war das Ergebnis eines Lecks von Seed-Phrasen, einer Gruppe zufälliger Wörter, die verwendet werden, um Benutzern zu helfen, auf ihre Kryptowährungs-Wallet zuzugreifen oder sie wiederherzustellen, indem eine Wallet von Slope Finance erstellt wurde“, berichtet Narang.

Benutzer, welche mit verschiedenen Blockchains interagieren möchten, erstellten normalerweise sogenannte Hot Wallets, auf die über Browser-Erweiterungen oder mobile und Desktop-Anwendungen einfach zugegriffen werden könne. „Als Teil der Protokollierungsfunktion seiner Anwendung speicherte Slope Finance die Seed-Phrasen der Benutzer im Klartext in diesen Protokollen, was als Quelle des Verstoßes ermittelt wurde.“

Betroffen seien Benutzer, welche Wallets mit „Slope Wallet“ erstellt oder ihre Wallets aus anderen Wallets wie „Phantom“ in „Slope“ importiert haben.

Empfehlung, Cold Wallets in Betracht zu ziehen

Jeder, der eine Seed-Phrase oder eine mnemonische Phrase besitzt, könne die Kontrolle über die Krypto-Währung und die NFTs (Non-Fungible Tokens) der Benutzer übernehmen, „weshalb der herkömmliche Rat, die eigene Seed-Phrase niemals zu teilen, so prominent ist“. Allerdings seien die Benutzer in diesem Fall nicht schuld, und die Speicherung ihrer Seed-Phrasen im Klartext habe zum Diebstahl ihrer Gelder geführt.

Narang: „Enthusiasten von Krypto-Währungen, die mit verschiedenen Blockchains interagieren möchten, empfehlen wir dringend, eigene Nachforschungen anzustellen, um zu überprüfen, ob ein Projekt Drittanbieter-Audits oder Pentests seiner Anwendungen oder Infrastruktur durchgeführt hat, bevor Menschen diesen Anwendungen ihr Geld anvertrauen.“

Darüber hinaus werde den Benutzern dringend empfohlen, die Verwendung einer sogenannten Cold Wallet in Betracht zu ziehen, zu der Hardware-Wallets, Papier-Wallets oder Offline-USB/CD-Wallets gehörten, „die nicht so leicht zugänglich sind, um ihre Krypto-Währungen langfristig zu speichern“.

Weitere Informationen zum Thema:

CRYPTO BRIEFING, Mike Dalton, 04.08.2022
Solana and Slope Confirm Wallet Security Breach

datensicherheit.de, 25.01.2022
Check Point Research warnt vor Token-Betrug: Wie Hacker damit Geld abzocken / Im Oktober 2021 hatte CPR bereits den Diebstahl von Krypto-Geldbörsen auf OpenSea, dem weltweit größten Marktplatz für Non-Fungible Token aufgedeckt