Am 12. Februar ist bekannt geworden, dass die von der IOTA Foundation verwaltete Trinity Wallet einem Hack zum Opfer gefallen ist. Dabei hat sich ein bislang unbekannter Angreifer über eine Schnittstelle des Zahlungsdienstleisters Moonpay Zugang zu 50 Seeds verschafft und IOTA Token im Wert von aktuell 2,3 Millionen US-Dollar gestohlen. Die Foundation hat schnell reagiert und den Coordinator vorläufig abgeschaltet – das Tangle lag still. Nun klärt die Foundation in einer dreiteiligen Stellungnahme über die Hintergründe des Vorfalls und mögliche Schutzmaßnahmen auf.
Hack war lange ausgeheckt
Als die IOTA Foundation den Hack bekannt gab, kursierten schnell Spekulationen über mögliche Zusammenhänge und Ursachen. Mittlerweile haben Analysten das Leck identifiziert: „die Integration eines Drittanbieterdienstes (Moonpay), der es den Benutzern ermöglichte, IOTA Token direkt innerhalb von Trinity zu erwerben“. Zum Vorgehen des Täters lässt sich laut Blogeintrag bislang Folgendes festhalten:
Die interne Analyse der betroffenen Trinity Caches durch die Foundation fand unwiderlegbare Beweise dafür, dass sie mit einer von mehreren illegalen Versionen des Software Development Kit (SDK) von Moonpay kompromittiert worden waren, das automatisch von den Servern von Moonpay (ihrem Content-Delivery-Netzwerk) geladen wurde, als ein Benutzer Trinity öffnete. Der Code wurde in die lokale Trinity-Instanz geladen, und nachdem die Wallet des Benutzers entsperrt wurde, entschlüsselte er den Seed des Benutzers und schickte den Seed und das Passwort an einen vom Angreifer kontrollierten Server. Vor der Übertragung der Token wartete der Angreifer auf die Freigabe einer neuen Trinity-Version, die die Cache-Dateien von Trinity überschreiben und so die verbleibenden Spuren des Hackerangriffs entfernen würde.
Untersuchungen haben außerdem ergeben, dass der Hack von langer Hand geplant war und sich auf einige Monate zuvor zurückdatieren lässt:
Der Angreifer startete am 27. November 2019 mit einem DNS-Abfang-Proof-of-Concept, der einen Cloudflare-API-Schlüssel verwendete, um die api.moonpay.io-Endpunkte neu zu schreiben und alle Daten zu erfassen, die an api.moonpay.io für eine potenzielle Analyse oder Exfiltration gehen.
Am 25. Januar begann schließlich der eigentliche Hack auf Trinity. Der Angreifer hat dabei einen illegalen Code über den DNS-Provider von Moonpay bei Cloudflare versendet. Bis der Angriff auffiel und IOTA als Reaktion kurzerhand den Coordinator abschaltete, waren bereits 50 Seed-Adressen betroffen. Der Gesamtschaden beläuft sich demnach auf 8,55 Ti (Terra-IOTA) im aktuellen Wert von 2,3 Millionen US-Dollar.
IOTA wappnet sich für die Zukunft
Um die Token in Zukunft vor Angriffen zu schützen, rät die Foundation den Nutzern der Desktop- und Mobile-Version von Trinity zur Nutzung des Seed-Migration-Tools, das in den kommenden Tagen zur Verfügung stehen soll.
Derzeit ist die genaue Anzahl der betroffenen Nutzer noch unbekannt. Hier gilt: Vorsicht ist besser als Nachsicht. Alle Trinity-Benutzer sollten daher überprüfen, ob auch sie möglicherweise zu den Geschädigten zählen. Um gefährdeten Trinity-Benutzern die Möglichkeit zu geben, die Token in Sicherheit zu übertragen, richtet die Foundation einen Übergangszeitraum ein. Die Nutzer haben dann eine Woche Zeit, ihre Token von den potenziell gefährdeten Seeds auf neu geschaffene Seeds weiterzuleiten.
Wegen laufender Fehleranalysen und Ermittlungen der Strafverfolgungsbehörden kann die IOTA Foundation bislang nicht mehr Auskünfte geben. Die Foundation will die Krypto-Welt aber in kommender Zeit über die neuesten Entwicklungen auf dem Laufenden halten.