2,4 Millionen US-Dollar in IOTA-Token gestohlen

2,4 Millionen US-Dollar in IOTA-Token gestohlen

Die ersten Meldungen kamen über den Discord-Server rein. User berichteten Mitte Februar plötzlich mehrfach von leergeräumten IOTA-Wallets und nicht autorisierten Transaktionen. Als klar war, dass es sich hierbei nicht um einen Einzelfall handelte, reagiert die IOTA-Foundation sofort. Innerhalb der ersten vier Stunden nach Einleitung der Untersuchungen kam es zur Entscheidung, den Koordinator zu stoppen. Er fungiert seit der Anfangsphase des Systems als vorübergehender Sicherheitsmechanismus.

Damit sind keine Werttransaktionen mehr möglich, lediglich Datentransaktionen funktionieren. Der Schritt war notwendig geworden, um zu verhindern, dass die Angreifer weitere Tokens übertragen.

Ursache war schnell gefunden: Unsicheres e-Wallet

Die IOTA-Foundation implementierte einen Sofort-Maßnahmenplan für schwerwiegende Vorfälle, der regelmäßige Statusaktualisierungen über eine spezielle Webseite beinhaltet. Dort sind öffentliche Updates und Anweisungen für die Installation des Migrations-Tools veröffentlicht. Innerhalb des Entwickler Teams der IOTA-Foundation gab es mehrere Szenarien, die mögliche Ursache für den Angriff sein könnten.

• Ein möglicher Verstoß gegen das IOTA-Kernprotokoll
• Änderung des Trinity Installationsprogramm für einzelne oder alle Betriebssystemversionen
• Ein DNS-Hijacking, bei dem eine modifizierte Trinity Version vom Server des Hackers heruntergeladen wurde
• Einen Infektion mit einem Virus oder Trojaner durch Phishing-Angriffe
• Remote Code Execution, das am meisten verbreitete Sicherheitsproblem innerhalb von PHP
• Unsichere Seed-Erzeugung, ähnlich dem Phishing-Vorfall Anfang 2019
• Durch Social Engineering Attacken, bei denen Hacker Phishing-ähnliche Betrügereien durchführen um genug persönliche Informationen von Nutzern zu erhalten. Eventueller Zusammenhang mit den von Binance angekündigten unbefristeten 50x IOTA/USDT Hebelverträgen. Diese sollten am 12.02.2020 starten, also nur 1 Tag nach dem Diebstahl.

Eliminierung startete sofort – Exploit durch API

Der IOTA-Foundation ist es durch zeitnahe Analysen und Untersuchungen der Angriffsmuster, tiefgehenden Scans von betroffenen Benutzersystemen, umfangreichen Überprüfungen und Vergleichen von unterschiedlichen Benutzerkonto-Arten gelungen, die wahrscheinliche Ursache zu identifizieren und sowie in einem unmittelbar eingeleiteten Eliminierungsprozess zu beheben.

Die Integration des Drittanbieter-Dienstes MoonPay, mit dem Benutzer den IOTA-Token direkt in Trinity erwerben konnten, war ursächlich verantwortlich für die Sicherheitslücke. Zum Zeitpunkt der Integration in Trinity war MoonPay nur als gebündelter Code verfügbar, der von einem CDN (Content Delivery Network) bereitgestellt wurde. Die IOTA Foundation hat ihn daher als solchen integriert, aber nicht alle möglichen Sicherheitslücken bedacht.

Obwohl die Risiken bekannt waren- der Code wurde trotzdem eingearbeitet. Erst später hat die IOTA-Foundation ein NPM-Modul (Node Package Manger) angefordert, um die bekannten Risiken zu mindern. Als die meisten Integrationsarbeiten bereits umgesetzt waren, sendete MoonPay den geforderten Code. Auf Grund von menschlichem Versagen und unter dem immens hohem Druck wegen der zeitnahen Bekanntgabe der Integration wurde vor dem Start nicht auf das sichere NPM-Paket umgestellt.

Genau diese Schwäche hat der Angreifer ausgenutzt. Hier hat es eigenen Angaben nach an einem umfassenden, teamübergreifenden Überprüfungsprozess für größere Releases gefehlt.

Diebstahl von IOTA-Token durch MoonPay Software Integration

Nach weiteren Überprüfungen von betroffenen Usern gab es unwiderlegbare Beweise für die Existenz von mehreren illegalen Versionen des Software Development Kit von MoonPay. Der Code wurde in die lokale Trinity-Instanz geladen und nach dem Entsperren der Brieftasche des Benutzers konnte der Angreifer den Startwert des Benutzers entschlüsseln und das Kennwort an einen vom Angreifer kontrollierten Server senden. Seine Spuren verwischte der Hacker, in dem er auf die Veröffentlichung einer neuen Trinity-Version wartete. 

Die IOTA-Foundation reichte sofort einen Bericht bei der Cyber-Abteilung der Berliner Polizei ein. Außerdem wurden alle Börsen mit den Ergebnissen der Musteranalyse kontaktiert und augefordert, die zugehörigen Börsenkonten zu sperren. Durch weitere Analysen stellte sich kurze Zeit später heraus, dass mehrere dieser Adressen bei einer einzigen Börse registriert waren.

In Zusammenarbeit mit MoonPay und mithilfe der Protokolle aus den letzten 18 Monate wurde dann in einer Sicherheitsanalyse festgestellt, dass sich der Angriff schon seit dem 27.11.2019 in Prozess befand. Der aktive Teil des Angriffs begann dann am 25.01.2020 über den illegalen Code auf dem DNS-Anbieter von MoonPay bei Cloudfare.

Hacker stiehlt 2,3 Millionen US-Dollar in IOTA-Token

Mithilfe von Codeverschleierung und der Änderung der MoonPay API-Endpunkte verfeinerte der Angreifer seine Technik und konnte in dieser Zahl zahlreiche Seeds stehlen. Während MoonPay schon am 10.02.2020 von den illegalen Code-Veränderungen Kenntnis hatte, wusste die IOTA-Foundation erst ab dem 15.02.2020 über den nicht genehmigten API-Zugriff Bescheid.

Da der Weg für den Angreifer über den API-Zugriff am 10.02 wegfiel begann er ab dem 11.02 mit den Transaktionen der gestohlenen Seeds. Diese dauerten an bis der Koordinator am 12.02 unterbrochen wurde. Derzeit sind 50 unabhängige Seeds bekannt, bei denen der Hacker erfolgreich war. Ihr Gesamtwert beträgt den Gegenwert von 2,3 Millionen US-Dollar in IOTA-Token.

Trinity Benutzer müssen ein Migrationstool verwenden, um ihre IOTA-Token vor weiteren Diebstählen zu schützen. Auf der eigens veröffentlichen Webseite sind die entsprechenden Downloads zu finden und die Öffentlichkeit erhält hier Statusaktualisierungen. Das Tool unterstützt die laufenden strafrechtlichen Ermittlungen. Mehrere Sicherheitsexperten und -firmen wurden hinzugezogen, um bei der Analyse und cyberforensischen Untersuchung zu helfen.

Derzeit ist die IOTA-Foundation noch immer damit beschäftigt, das spezifische Ereignis und alle Details des Diebstahls zu analysieren. Nächste Woche will man einen konkreten Plan veröffentlichen, in dem Maßnahmen zur Unterstützung der betroffenen Opfer enthalten sind.

Allen Nutzern der Trinity-Wallet wird daher geraten sich unter der Status-Webseite über das Migrationstools zu informieren. Es ist empfehlenswert dies unmittelbar zu installieren und die aktuellen Sicherheitshinweise der IOTA-Foundation zu berücksichtigen. Der IOTA-Kurs zeigt aber trotz des Hackerangriff keine nennenswerten Schwankungen, die Echtzeit-Charts für den IOTA-Token gibt es hier.