Gehackte Handelsplattform Crypto.com muss Diebstahl von 33 Millionen Dollar einräumen
Wirbt für Crypto.com: Matt Damon
Foto: Vianney Le Caer / dpaDieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.
»Fortune favors the brave« lautet der derzeit allgegenwärtige Werbespruch von Crypto.com – »Den Mutigen hilft das Glück«. Für die Kampagne mit Hollywoodstar Matt Damon hat die aus Singapur operierende Handelsplattform für Kryptowährungen und NFTs schon reichlich verdienten Spott abbekommen. In dem Werbespot wird eine »mutige« Investition in Bitcoin und Blockchain-Besitzzertifikate für digitale Affen unter anderem mit den historischen, lebensgefährlichen Pioniertaten aus der Luft- und Raumfahrt gleichgesetzt.
Diese Woche klingt der Werbespruch noch einmal auf ganz andere Weise unpassend. Crypto.com, einer der größten Handelsplätze seiner Art weltweit, hat nach tagelangem Drumherumreden eingeräumt, dass 483 seiner Kunden gehackt wurden. Insgesamt sind bei dem digitalen Raubzug 4836,26 Ether sowie als Beifang andere Kryptowährungen im Wert von 66.200 Dollar gestohlen worden. Ether sowie der Beifang machen einem Gesamtwert von mehr als 33 Millionen Dollar aus. Den Kriminellen hilft das Glück also auch?
Jedenfalls wussten Betroffene spätestens seit Montag, dass bei Crypto.com etwas nicht stimmt. Nicht nur, weil sie das an von ihnen nicht angestoßenen Transaktionen sehen konnten. Sondern auch, weil Crypto.com ankündigte , »in Kürze« alle Abhebungen zu blockieren, da »eine kleine Anzahl von Nutzern verdächtige Aktivitäten in ihren Accounts« gemeldet hätten. Aber alle Einlagen seien sicher, hieß es da noch – selbst als Crypto.com alle Nutzerinnen und Nutzer ausloggte und zum Zurücksetzen ihrer Zwei-Faktor-Authentifizierung zwang. Man entschuldige sich für die Umstände, »aber Sicherheit kommt zuerst« .
Für den CEO »offensichtlich eine großartige Lektion«
Zuallererst kamen allerdings die Diebe. Die Blockchain-Analysefirma PeckShield berichtete schon am Dienstag , dass mindestens 4600 Ether im Wert von 15 Millionen Dollar gestohlen und große Teile davon umgehend in einem sogenannten Mixer gewaschen wurden, um weitere Transaktionen zu verschleiern. Doch kurz darauf gab es erste Berichte, wonach der Schaden mindestens doppelt so hoch war.
Crypto.com-CEO Kris Marszalek verkündete am Dienstag noch, dass »keine Kunden-Einlagen verloren« gegangen seien, was die Betroffenen natürlich ganz anders sahen , bis Crypto.com ihre Verluste ersetzte. Glück im Unglück also, oder wie »ZDNet« es ausdrückt: »Fortune favors the breached«, den Gehackten hilft das Glück.
Erst am Mittwochabend gestand Marszalek in einem Interview mit Bloomberg das ungefähre Ausmaß des Hacks ein. »Etwa 400« Opfer habe es gegeben, alle seien entschädigt worden, und das Ganze sei »offensichtlich eine großartige Lektion« gewesen. Angesichts der Größe des Unternehmens sei die Schadenssumme im Übrigen »nicht besonders erheblich«.
Nun haben die Plattformbetreiber einen Blogpost zu dem Vorfall veröffentlicht. Was genau die Schwachstelle war, die sich die Täter zunutze machen konnten, steht allerdings nicht darin. Crypto.com gab nur bekannt, dass Transaktionen genehmigt werden konnten, ohne dass ein zweiter Faktor zur Authentifizierung abgefragt wurde. Die Plattform nennt den Diebstahl »unautorisiertes Abheben«, wobei »die Mehrheit der Fälle verhindert« worden sei. Das Unternehmen wiederholt zudem, dass »keine Kunden einen Verlust erfahren haben«. Crypto.com definiert »erfahren« offenbar ebenso kreativ wie »mutig«.
Immerhin steht die Plattform nicht allein da. Seit Jahresbeginn wurden mindestens drei weitere Kryptowährungs- und NFT-Handelsplätze kompromittiert – Betrugsfälle, die von solchen Anbietern selbst ausgingen, nicht mitgezählt. Heute ist der 20. Januar.
