Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 062Phishing / Social Engineering

bZx Developer Phishing

Phishing-E-Mail mit Word-Macro auf einem Dev-Rechner ließ Lazarus-verbundene Angreifer 55 Mio. USD aus bZxs Polygon/BSC-Deployments entziehen.

Datum
Opfer
bZx
Chain(s)
PolygonBNB Chain
Status
Mittel entwendet
Zurechnung
Suspected Lazarus Group (DPRK)

Am 5. November 2021 verlor das DeFi-Lending-Protokoll bZx etwa 55 Millionen US-Dollar — sein dritter großer Vorfall, nach den beiden grundlegenden Flash-Loan-Angriffen im Februar 2020. Diesmal richtete sich der Angriff nicht gegen die Smart Contracts. Ein bZx-Entwickler öffnete eine Phishing-E-Mail mit einem bösartigen Word-Dokument, und ein Angreifer ritt die Kompromittierungskette bis zu den Signing-Schlüsseln des Protokolls.

Was geschah

Ein bZx-Entwickler erhielt eine Phishing-E-Mail, die einen legitimen Kontakt imitierte, mit einem angehängten Word-Dokument. Das Öffnen des Dokuments löste ein bösartiges Makro aus, das ein Skript auf dem Personal Computer des Entwicklers ausführte. Das Skript:

  1. Stahl die Mnemonik-Phrase für die persönliche Wallet des Entwicklers — und leerte sie.
  2. Extrahierte zwei Private Keys, die der Rechner des Entwicklers für bZxs Polygon- und BNB-Chain-Deployments hielt.

Die Polygon- und BSC-Deployments nutzten upgradefähige Proxy-Verträge, die von diesen Admin-Schlüsseln kontrolliert wurden. Mit beiden Schlüsseln in der Hand:

  1. Aktualisierte der Angreifer die bZx-Proxy-Verträge auf eine bösartige Implementierung, die beliebige Abhebungen erlaubte.
  2. Entleerte die Bestände des Protokolls auf Polygon und BSC — etwa 55 Mio. USD über ETH-äquivalente und Stablecoin-Salden.
  3. Als Bonus fegte er die Salden von Nutzern weg, die den bZx-Verträgen unbegrenzte Token-Approvals gewährt hatten, und fügte mehrere Millionen weiterer Verluste hinzu.

Das bZx-Ethereum-Deployment blieb unangetastet — der kompromittierte Rechner des Entwicklers hielt Schlüssel nur für Polygon und BSC, und das Multi-Sig, das die Ethereum-Verträge regelt, erforderte zusätzliche Signer.

Zurechnung & Folgen

  • Kasperskys Analyse der Phishing-E-Mail-Payload und der Wäschesignatur schrieb die Operation anschließend Nordkoreas Lazarus Group zu, eine der frühesten öffentlich dokumentierten Lazarus-Operationen gegen ein reines DeFi-Ziel.
  • bZx wickelte schließlich nach dem dritten Schlag die Lending-Operationen ab. Das Protokoll überlebt formal (als Ooki DAO), verlor aber seinen Status als ernsthafter DeFi-Lender.
  • Gestohlene Mittel wurden über Tornado Cash gewaschen; keine öffentliche Rückgewinnung.

Warum es wichtig ist

Der bZx-Vorfall vom November 2021 ist aus zwei Gründen grundlegend:

  1. Es war eine frühe Warnung, dass DeFi nun direkt im Lazarus-Fadenkreuz lag. Frühere Lazarus-Operationen hatten sich auf zentralisierte Börsen konzentriert; die präzise Anvisierung eines DeFi-Entwicklers mit einer maßgeschneiderten Phishing-Payload und die operative Raffinesse der Monetarisierung der Schlüssel über Chains hinweg waren eine Vorschau auf die viel größeren Operationen bei Harmony, Radiant Capital und schließlich Bybit.

  2. Dasselbe Protokoll kann eine beliebige Anzahl von Smart-Contract-Exploits überleben — und trotzdem durch eine Endpoint-Kompromittierung getötet werden. bZxs Solidity-Code wurde im November 2021 nicht kompromittiert. Ein Laptop wurde es.

Die Lektion — dass Admin-Schlüssel auf Hardware-Wallets hinter Multi-Sig gehören, Punkt, unabhängig davon, wie bequem Einzelschlüssel-Signing für die Entwicklung ist — ist eine, die die Branche in den Jahren seitdem wiederholt Hunderte von Millionen Dollar gekostet hat.

Quellen & On-Chain-Belege

  1. [01]therecord.mediahttps://therecord.media/hacker-steals-55-million-from-bzx-defi-platform
  2. [02]coindesk.comhttps://www.coindesk.com/business/2021/11/05/defi-lender-bzx-suffers-hack-for-reported-55m
  3. [03]halborn.comhttps://www.halborn.com/blog/post/explained-the-bzx-hack-november-2021

Verwandte Einträge