Schwachstelle ausgenutzt Betrüger ergaunern rund hundert Millionen Dollar von Binance
Binance-Logo: Für die Firma ist der Vorfall blamabel
Foto: Darrin Zammit Lupi/ REUTERSBlamage für Binance: Die zur weltgrößten Börse für Kryptowährungen gehörende Blockchain »BNB Chain«, auch »Binance Smart Chain« genannt, musste eilig angehalten werden. Der Grund: Eine sogenannte Brücke (Bridge) zu dieser Blockchain wurde gehackt.
Wie groß dieser Hack letztlich ausfällt, ist noch nicht endgültig ausgemacht. Klar ist jedoch: Wenn er so funktioniert hätte, wie der oder die Täter es offenbar geplant hatten, wäre es einer der größten überhaupt geworden. Es wäre dann um umgerechnet weit mehr als eine halbe Milliarde Dollar gegangen, die es nicht geben sollte. Nun ist es weniger – aber beileibe nicht wenig.
»Der Schaden beläuft sich nach derzeitiger Schätzung auf den Gegenwert von etwa hundert Millionen Dollar«, bestätigte Binance-CEO Changpeng Zhao den Vorfall auf Twitter . »Das Problem ist eingehegt. Eure Einlagen sind sicher«, betonte er. Tatsächlich betrifft der Hack nicht die Guthaben von Binance-Kunden.
Zentraler Appell an die dezentrale Blockchain-Community
Der oder die Täter haben vielmehr eine Sicherheitslücke in einer Brücke namens BSC Token Hub ausgenutzt. Solche Brücken werden genutzt, um Kryptowährungen von einer Blockchain auf eine andere zu transferieren, in diesem Fall auf die »BNB Chain«. Zhao und mehrere Beobachter bestätigten, dass jemand durch das Ausnutzen der Schwachstelle zwei Millionen neue Binance Coins (BNB) aus dem Nichts generieren, zumindest teilweise transferieren und in andere Kryptowährungen umtauschen konnte.
Ein BNB war am Freitag 285 Dollar wert, zwei Millionen davon hätten umgerechnet also 570 Millionen Dollar entsprochen. Die »ungewöhnliche Aktivität«, wie die Betreiber der »BNB Chain« es ausdrückten, wurde jedoch bemerkt, es begann ein Wettlauf.
Der oder die Täter versuchten, die BNB, die es gar nicht geben sollte, so schnell wie möglich zu anderen Kryptobörsen zu überweisen, um sie waschen zu können und vermutlich irgendwann in echtes Geld umzutauschen. Die auf Blockchain-Sicherheit spezialisierte Firma SlowMist beobachtete die Versuche und dokumentierte sie auf Twitter .
Binance alarmierte währenddessen alle sogenannten Validatoren der »BNB Chain«, also jene, die alle Transaktionen auf der Blockchain verifizieren und bat sie, die »BNB Chain« quasi anzuhalten, was dann auch geschah. Das ist bemerkenswert, weil eine der wichtigsten Eigenschaften von Blockchains die Dezentralität und damit ihre Zensurresistenz ist: Keine einzelne Institution sollte in der Lage sein, eine Blockchain zu stoppen. Doch ein Fall wie dieser zeigt, dass es indirekt doch möglich ist. Zudem setzten andere Plattformen die Adresse der Täter auf Blocklisten.
Nicht der Hack gegen eine Brücke
Deshalb und aufgrund des Stopps der »BNB Chain« konnten der oder die Täter ihre BNB nicht mehr bewegen. Zu diesem Zeitpunkt aber hatten sie es immerhin geschafft, BNB im Wert der von Zhao erwähnten rund hundert Millionen Dollar aus der »BNB Chain« zu schleusen. SlowMist kommt auf ähnliche Zahlen .
Hacks gegen Blockchain-Brücken gab es zuletzt mehrfach. Die Analysefirma Chainalysis taxiert den Gesamtschaden auf zwei Milliarden Dollar , ein Großteil davon in diesem Jahr.
Der oder die Täter stehen noch vor der Aufgabe, die ergaunerten Krypto-Assets zu waschen und dauerhaft unerkannt zu bleiben.
