Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 141Kompromittierung privater Schlüssel

Atomic Wallet Massenkompromittierung

Lazarus-Operation zielte auf Atomic Wallets Software statt einzelne Seeds, entzog 100 Mio.+ USD von rund 5.500 Nutzern und umging Self-Custody-Garantien.

Datum
Opfer
Atomic Wallet
Chain(s)
BitcoinEthereumTronBNB Chain
Status
Mittel entwendet
Zurechnung
Lazarus Group (DPRK)

Am 3. Juni 2023 begannen Nutzer der estnischen Self-Custodial-Wallet Atomic Wallet zu melden, dass ihre Guthaben ohne ihre Zustimmung abgezogen worden seien. Innerhalb von Tagen bestätigte die Blockchain-Analytik-Firma Elliptic Verluste über 100 Mio. USD bei mehr als 5.500 Nutzer-Wallets. Es war die bisher größte Massenkompromittierung einer Self-Custodial-Wallet.

Was geschah

Atomic Wallet ist eine non-custodiale Multi-Chain-Wallet. Die Seed-Phrase jedes Nutzers wird lokal auf seinem Gerät erzeugt und gespeichert, nie an Atomics Server gesendet — zumindest im Prinzip.

Der genaue technische Vektor wurde von Atomic Wallet selbst nie öffentlich offengelegt, aber das On-Chain-Muster war eindeutig: gleichzeitige Outflows aus Tausenden unabhängiger Nutzer-Wallets auf mehreren Chains, alle über denselben Satz vom Angreifer kontrollierter Adressen geleitet. Das Muster ist mit einer von zwei Möglichkeiten konsistent:

  1. Ein kompromittierter Software-Update-Mechanismus, der einen bösartigen Build auf Nutzergeräte pushte und Seed-Phrasen exfiltrierte.
  2. Eine Schwachstelle in Atomics Key-Generation-, Key-Storage- oder Backup-Encryption-Code, die einem Angreifer erlaubte, Seeds massenhaft abzuleiten.

So oder so wurde das Vertrauensmodell „Self-Custodial"-Wallets auf der Anwendungsebene gebrochen — jede Key-Derivation hing davon ab, dass Atomics Code sicher und unmodifiziert war.

Elliptic und andere Firmen schrieben die Operation Lazarus Group zu, basierend auf Wäschemustern und der Nutzung von Cross-Chain-Bridges gefolgt von Mixer-Einzahlungen, die zu früheren nordkoreanischen Operationen passten.

Folgen

  • Atomic Wallet bestätigte den Vorfall, behauptete aber anfangs, „weniger als 0,1% der Nutzer" seien betroffen — eine Zahl, die den Kontakt mit den On-Chain-Daten nicht überlebte.
  • Eine Sammelklage wurde 2023 gegen Atomic Wallet und seinen Inhaber eingereicht; betroffene Nutzer argumentierten, das Unternehmen habe seine Sicherheitslage falsch dargestellt.
  • Die gestohlenen Mittel wurden über Sinbad, Tornado Cash und verschiedene Cross-Chain-Routen gewaschen.
  • Keine öffentlichen Rückgewinnungen.

Warum es wichtig ist

Atomic Wallet brach die Annahme, dass self-custodial automatisch sicher vor Massenkompromittierung bedeutet. Wenn Tausende von Nutzern dieselbe Wallet-Software ausführen, ist diese Software ein zentralisiertes Ziel — und eine Kompromittierung der Software-Supply-Chain (Build-Pipeline, Update-Server, Signing-Key) kann der Kompromittierung jedes von ihr bedienten Nutzers gleichkommen. Die Lektion wiederholt sich beim Bybit-Supply-Chain-Angriff zwei Jahre später, in viel größerem Maßstab.

Quellen & On-Chain-Belege

  1. [01]elliptic.cohttps://www.elliptic.co/blog/analysis/north-korea-linked-atomic-wallet-heist-tops-100-million
  2. [02]decrypt.cohttps://decrypt.co/144444/north-korean-hackers-pocket-over-100-m-in-atomic-wallet-heist
  3. [03]classaction.orghttps://www.classaction.org/news/class-action-filed-over-2023-atomic-wallet-data-breach-in-which-100m-in-crypto-assets-was-stolen

Verwandte Einträge