Sicherheitsbedrohung für Krypto-Wallets
Wie erst jetzt bekannt wurde, hatte das auf Blockchain-Sicherheit spezialisierte Unternehmen Halborn, eine Sicherheitslücke bei browserbasierten Krypto-Wallets gefunden. Die betroffenen Wallet Betreiber wurden informiert. Und so lange, bis die Sicherheitslücke geschlossen werden konnte, wurde der Fund geheim gehalten.
Das auf Blockchain-Sicherheit spezialisierte Unternehmen Halborn, hatte letztens eine Sicherheitslücke bei etlichen beliebten Krypto-Wallets entdeckt, die browserbasiert arbeiten.
Dabei geht es um einen möglichen Hackerangriff, der über die geheimen Wiederherstellungsphrasen der Browser-Wallet-Nutzer erfolgen kann. Eine Wiederherstellungsphrase ist eine Reihe von Wörtern, die generiert werden, um dem Besitzer Zugriff auf seine Kryptobestände zu ermöglichen.
Laut Halborn waren so beliebte Browser-Wallets betroffen wie Brave, MetaMask oder Phantom. Unter bestimmten Computerbedingungen können die Wallets dieser Betreiber durch Hacker kompromittiert, und Ihre Kryptoguthaben abgegriffen werden.
Die entsprechenden Wallet-Betreiber wurden informiert und die Sicherheitslücke so lange geheim gehalten, bis die Betreiber diese schließen konnten.
Wer ist betroffen?
Benutzer von browserbasierten Krypto-Wallets können von dieser Sicherheitslücke betroffen sein, wenn sie eine oder mehrere der folgenden Bedingungen erfüllen:
- Benutzer mit unverschlüsselten Festplatten
- Benutzer, die zuvor ihre geheime Wiederherstellungsphrase in eine Weberweiterung auf einem Gerät importiert haben, das sich im Besitz einer anderen Person befindet, oder deren Computer kompromittiert wurde
- Benutzer, die das Kontrollkästchen „Geheime Wiederherstellungsphrase anzeigen“ verwendet haben, um ihre geheime Wiederherstellungsphrase während des Importvorgangs auf dem Bildschirm anzuzeigen
Bei den meisten Krypto-Wallets, die von dieser Sicherheitslücke betroffen sind, handelt es sich um sogenannte „Self-Custody-Wallets“, wie MetaMask. Dies bedeutet, dass die Nutzer selbst und allein für den Schutz ihrer Schlüssel und infolgedessen auch der Wiederherstellungsphrasen verantwortlich sind.
Andere Krypto-Wallets wie Binance oder Coinbase hingegen verwahren die Schlüssel ihrer Kunden, und sorgen für eine ausreichende Sicherheit. Diese Kunden sind nicht betroffen.
Generell sind nur diejenigen Kunden betroffen, die Ihre Kryptovermögenswerte selbst verwahren. Solltest Du also Deine Kryptowährungen und Vermögenswerte selbst verwahren, und eine browserbasierte Wallet nutzen, dann solltest Du Dich dringend kümmern. Zumindest, wenn eine oder mehrere der oben genannten Bedingungen erfüllt ist.
Diese Auswirkungen gelten nur für diejenigen, die diese Vermögenswerte selbst verwahren, und es liegt in der Verantwortung der Benutzer, dies ernst zu nehmen, die Wallet auf die gepatchte Version zu aktualisieren, die auf den Websites der Walletentwickler aufgeführt ist, und ihre mnemonische Phrase zu ändern, wenn sie denken, gefährdet zu sein.
Was ist zu tun?
Kunden, die glauben betroffen zu sein, sollten umgehend die neueste Erweiterungsversion der Wallet herunterladen und installieren. Was eigentlich für jeden Nutzer selbstverständlich sein sollte.
Bei allen Software-Produkten sollte sich jeder Nutzer immer auf dem Laufenden halten und alle Updates und Erweiterungen installieren, besonders wenn diese neue Sicherheitskomponenten enthalten.
Außerdem sollten sich die Nutzer die Zeit nehmen, um die Festplatten des Computers vollständig zu verschlüsseln. Und eine gute Firewall sowie eine Anti-Virus-Software sollte genutzt werden, und diese muss natürlich auch immer aktualisiert und auf dem aktuellen Stand gehalten sein.
Weitere hilfreiche Tipps
Wer sich im Web3 tummelt und seine Systeme sichern möchte, der sollte zusätzlich zu den allgemeinen Internet-Schutzmaßnahmen wie Firewall und Anti-Virus-Software auch noch seine Wallet diversifizieren.
Und wer größere Summen an Vermögenswerten in seiner Wallet selbst verwahrt, der sollte sich eine Hardware-Wallet, wie Trezor oder Ledger, zulegen. Aber dabei ist zu bedenken, dass es weiterhin zu einem Zugriff kommen kann, während diese Hardware-Wallet per Kabel mit dem Computer verbunden ist.
Also immer nur anschließen, wenn Du Zugriff auf die Wallet benötigst, und danach sofort schließen und das Kabel vom Computer entfernen.
Bedenke immer, dass keine Software und auch keine Wallet sich selbst gegen Angriffe schützen kann, Du als Nutzer hast die Pflicht, Dich um geeignete Sicherheitsmaßnahmen zu kümmern, und diese immer auf dem aktuellen Stand zu halten.
Und denke dabei auch immer an eine aktuelle Sicherheitskopie oder an ein Back-up aller Deiner Systeme und Daten, die selbstverständlich physisch getrennt vom Computer aufzubewahren ist.