Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 003Insolvenz zentralisierter Exchange

Bitfinex 2016 Heist

Hacker stahlen 119.754 BTC (71 Mio. USD damals, 9 Mrd.+ bei Recovery) aus Bitfinex-Multi-Sig-Wallets; DOJ entschlüsselte Jahre später die Wallet-Datei.

Datum
Opfer
Bitfinex
Chain(s)
Bitcoin
Status
Zurückerlangt
Zurechnung
Ilya Lichtenstein

Am 2. August 2016 wurden 119.754 BTC — etwa 71 Millionen US-Dollar zu dem Zeitpunkt — aus Bitfinex in 2.072 unautorisierten Transaktionen entzogen. Sechs Jahre später gewann das US-Justizministerium den Großteil der gestohlenen Coins zurück und klagte die Geldwäscher an, darunter Heather „Razzlekhan" Morgan, eine schlecht beratene Rapperin, und ihr Ehemann Ilya Lichtenstein.

Was geschah

Bitfinex hielt den Großteil der Bitcoin-Kundenreserven in einem von BitGo betriebenen Multi-Signature-Schema. Die spezifische Konfiguration der Börse — einschließlich der Implementierung von Abhebungs-Limits und Genehmigungs-Flows — war vertraulich, aber der Bruch zeigte, dass die operativen Kontrollen rund um BitGos Co-Signing-Service nicht so streng waren, wie die Multi-Sig-Mathe nahelegte.

Der Angreifer kompromittierte Bitfinex' interne Systeme und erhielt die Credentials, die nötig waren, um gültige Abhebungsanforderungen im großen Maßstab einzureichen. BitGos Co-Signing-API autorisierte sie, ohne die Alarme auszulösen, die das Volumen hätten markieren sollen. Als sich der Staub legte, hatte der Angreifer 119.754 BTC in ein selbstkontrolliertes Wallet bewegt.

Der Dieb — Lichtenstein — saß dann jahrelang auf den Mitteln und versuchte langsam, sie durch Chain-Hopping, Mixer und Dark Markets zu waschen. Er hielt den Seed des Wallets in einer verschlüsselten Datei.

Folgen

  • Bitfinex sozialisierte den Verlust zunächst über Kundenkonten (ein kontroverser „Haircut" aller Salden um ~36%) und gab BFX-Schuld-Tokens aus, später LEO-Tokens, um den unbezahlten Saldo zu repräsentieren.
  • Im Februar 2022 öffnete das DOJ die Anklage: Agenten hatten Lichtensteins Wallet-Datei entschlüsselt (angeblich über eine Cloud-Storage-Beschlagnahme) und 94.000+ der gestohlenen BTC zurückgewonnen — etwa 3,6 Milliarden US-Dollar zur Zeit der Beschlagnahme wert und über 9 Milliarden bis zur Verurteilung 2024.
  • Lichtenstein bekannte sich schuldig und wurde zu 5 Jahren Bundesgefängnis verurteilt; Morgan erhielt 18 Monate.
  • Das DOJ hat entschieden, dass die zurückgewonnenen Mittel „in-kind" (als BTC) an Bitfinex zurückgegeben werden sollen. Bitfinex hat sich verpflichtet, 80% der zurückgewonnenen Mittel für den Rückkauf und das Verbrennen seiner ausstehenden LEO-Tokens zu verwenden und Wert an die Kunden zu verteilen, die den ursprünglichen Verlust absorbierten.

Warum es wichtig ist

Bitfinex ist der einzige große Krypto-Hack, dessen Rückgewinnung den ursprünglichen Verlust um zwei Größenordnungen überstieg — eine Folge eines Angreifers, der die Erlöse nicht waschen konnte, bevor der Bitcoin-Preis anzog. Er ist auch die einzige erfolgreichste forensische Krypto-Wiederherstellungs-Operation in der DOJ-Geschichte und die Vorlage dafür, wie On-Chain-Forensik + gezielte Beschlagnahmen von Off-Chain-Schlüsselmaterial selbst mehrjährige Wäscheoperationen knacken können.

Quellen & On-Chain-Belege

  1. [01]en.wikipedia.orghttps://en.wikipedia.org/wiki/2016_Bitfinex_hack
  2. [02]trmlabs.comhttps://www.trmlabs.com/resources/blog/ilya-lichtenstein-sentenced-for-role-in-bitfinex-hack-in-razzlekhan-case-as-government-recovers-about-10-billion-in-stolen-funds
  3. [03]chainalysis.comhttps://www.chainalysis.com/blog/bitfinex-hack-plea-july-2023/

Verwandte Einträge