Hacker stehlen über 280.000 € von großem Blockchain VC

skull of death on smartphone screen. Hacked mobile phone on laptop computer

So sollte kein Nikolausgeschenk aussehen: In einer Serie mehrerer Social Engineering Angriffe, wurde auch ein bekannter Blockchain-Industrie Investor Opfer. Social Engineering bedient sich manipulativer Techniken um sich das Vertrauen (oder Informationen) des Ziels zu erschleichen. Hacking-Angriffe bekommen dadurch eine immense Reichweite.

Die Hacker stahlen angeblich rund 110.000 REP (über 280.000 €) der Blockchain Prognose-Plattform Augur. Zusätzlich soll eine unbekannte Summe Ether entwendet worden sein. Der eigentliche Eigentümer ist Bo Shen, Gründer der Venture Capital Firma Fenbushi Capital.

Der Hacker sprach über Shens Twitter Account zur Community. Den Verkauf der großen Menge REP kündigte er mit dem Fallen des Wertes von 0.0035 BTC (zum Zeitpunkt 2,60 $) auf 0.0026 BTC (1,96$) an. Der starke Abfall ereignete sich am frühen Morgen. Zur Redaktionszeit zeigt sich eine starker Rebound auf 0.0041 laut coinmarketcap.

Die Aussagen des Hackers geben den Anschein wieder, dass scheinbar ein Team von Hackern (oder zumindest “einige Personen”) eine Liste von Augur Investoren angreifen. Mehrere Angriffe waren in den letzten Wochen zu verzeichnen.

Als die Gruppe gefragt wurde warum sie die Angriffe gestartet haben, sagten sie:

“Des Geldes wegen, natürlich.”

Der Hacker bestätigte Gerüchte die Online aufgekommen sind. In den Gerüchten hieß es, dass die großen Ether und Augur Verkaufsmengen das Ergebnis dieser Gruppe seien.

Shen bestätigte den Angriff CoinDesk gegenüber. Wie viel bei dem Angriff insgesamt gestohlen worden sind, wollte er nicht mitteilen. Als Reaktion auf die Gerüchte erklärte er, dass unter den Ether im Wert von eine Million Dollar nur ein Teil von ihm gestohlen worden sein soll. Dennoch verwehrte er weitere Details.

Bestechung und Vergeltung

Der Hacker betonte jedoch, dass die Angriffe in seinen Augen (zumindest im Falle Augur) vermeidbar gewesen wären.

Laut Aussagen des Hackers, war die Gruppe vorher bereits im Kontakt mit dem Open-Source Entwickler-Team von Augur. Der Prognose-Markt wurde 2014 bereits angekündigt und sein Crowdsale Token REP wird seit Oktober offiziell gehandelt.

Augur Core Entwickler Joey Krug bestätigte den Kontakt zur Hacker Gruppe und erklärte, dass die Hacker eine Lösegeldsumme von 56.000 Euro (60.000 Dollar) forderten. Der Forderung kam man jedoch nicht nach. Krug erklärte weiterhin, dass die Tokens wie eine Inhaberobligation funktionieren, es gibt also nichts groß technisches an dem Projekt, was man irgendwie tun könnte.

“Wir haben E-Mails mit Anweisungen abgeschickt. Wenn ihr keine REP auf einer Börse verkauft und sie in einem Cold Storage lagert, ist alles gut. Speichert ihr aber eure Tokens auf einer Börse, können sie eure Handy-Nummer manipulieren, euer Passwort ändern und den Login nutzen”, sagte Krug.

Dies ist ein Beispiel für die Sicherheits-Bedrohungen denen sich Investoren und Blockchain-Unternehmen stellen müssen, sofern sie verschiedene Kryptowährungen lagern wollen.

Beispielsweise wies Augur darauf hin, dass der Angreifer Informationen (inklusive E-Mail-Adressen) aus seiner öffentlichen Slack Chat Gruppe auslesen konnte.

Eine Serie von Angriffen

Krug glaubt, dass sich hinter dem Hacker derselbe verbirgt, der die Angriffe auf die digitale Kryptobörse Kraken durchführte.

Er verwies besorgte Leute auf einen Blog-Post über die Angriffe auf die Börse. Dort wird im Detail über ein Thema gesprochen, dass er als allgegenwärtig bezeichnet.

“Im letzten Monat gab es bereits mehr als 10 Vorfälle von Menschen die in der öffentlichen Krypto-Szene involviert sind und die Opfer von Smartphone-Hacks geworden sind. Die Resultate sind teuer, peinlich, dauerhaft und zumindest in einem Fall, lebensbedrohlich”, schrieb die Börse.

Der Post gibt den Leuten den Vorschlag konventionelle Kommunikationsmethoden wie Anrufe oder Kurznachrichten zu vermeiden. Die Alternative seien Dienste wie Google Voice mit Fake-Informationen, die es Hackern erschwert die Informationen zu verfolgen.

Schlussendlich verweist der Post auf einen Prozess von 40 Schritten um Assets vor Angriffen zu schützen. Krug hingegen wies darauf hin, dass Investoren zunächst aufmerksamer über Zwei-Faktor-Authentifizierung (wie Google Authenticator) nachdenken sollen, wenn es um Kryptowährungen geht.

BTC-ECHO

Englische Originalfassung von Pete Rizzo via coindesk

Über Danny de Boer

Danny de BoerDanny de Boer arbeitet als Social-Media-Redakteur für BTC-ECHO und ist dabei insbesondere auf die Produktion von Videos und Videoreportagen spezialisiert. Er studiert Medien- und Kommunikationsinformatik an der Hochschule Kamp-Lintfort. Seit Jahren ist Danny großer Verfechter des revolutionären Potentials von Kryptowährungen und konzentriert sich entsprechend auch in seinem Studium auf die Bereiche IT-Sicherheit und Kryptographie.

Bildquellen

  • skull of death on smartphone screen. Hacked mobile phone on laptop computer: © Myst - Fotolia.com
Blockexpo 728 x 90