Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 075Phishing / Social Engineering

Crypto.com 2FA-Bypass

2FA-Bypass-Exploit entzog 34 Mio. USD aus 483 Crypto.com-Konten; Angreifer autorisierten Transaktionen, ohne dass der zweite Faktor je den Nutzer abfragte.

Datum
Opfer
Crypto.com
Chain(s)
BitcoinEthereum
Status
Zurückerlangt

Am 17. Januar 2022 erkannte Crypto.com verdächtige Abhebungen über 483 Kundenkonten. Gesamtverluste lagen bei etwa 34 Millionen US-Dollar — etwa 15 Mio. USD in ETH, 19 Mio. USD in BTC, und der Rest in anderen Assets. Der Angriff war ungewöhnlich darin, dass er Zwei-Faktor-Authentifizierung auf einer großen Börse umging, ohne dass der Nutzer abgefragt wurde.

Was geschah

Crypto.com lehnte zunächst ab, technische Details zu teilen — frühe Aussagen charakterisierten das Ereignis als „unautorisierte Aktivität", ohne einen Bruch zu bestätigen. Nach mehreren Tagen Community-Druck und Analysen von Drittparteien bestätigte das Unternehmen, dass Transaktionen auf den betroffenen Konten von Crypto.coms Systemen genehmigt worden waren, ohne dass die entsprechende 2FA-Challenge je den Nutzern gezeigt wurde.

Der genaue Mechanismus wurde nie öffentlich offengelegt — Möglichkeiten umfassten kompromittierte interne API-Endpunkte, Session-Token-Diebstahl gefolgt von Privilege-Escalation oder ein Backend-Bug, der bestimmten Transaktionstypen erlaubte, das 2FA-Gate zu überspringen. Was aus den On-Chain-Beweisen klar war: Der Angreifer:

  • Brauchte keine Nutzer-Credentials oder 2FA-Tokens für die 483 Opferkonten.
  • Entzog sowohl Hot-ETH- und BTC-Salden über Crypto.coms normale Abhebungs-Schnittstelle, wobei die Systeme der Plattform die Transaktionen als autorisiert behandelten.

Folgen

  • Crypto.com widerrief alle Kunden-2FA-Tokens, erzwang Neueinschreibung und fügte eine verpflichtende 24-Stunden-Verzögerung vor der ersten Abhebung an eine neu registrierte Adresse hinzu.
  • Alle betroffenen Konten wurden aus Unternehmensreserven entschädigt.
  • Der CFO und die Sicherheitsteams verpflichteten sich öffentlich zu einem 750K-USD-Cyber-Versicherungsprogramm weltweit und anderen PR-Behebungsschritten.

Warum es wichtig ist

Crypto.com zeigte, dass 2FA nur so gut ist wie der Server, der sie durchsetzt. Die nutzerseitige kryptografische Verifikation ist bedeutungslos, wenn das Backend die Prüfung überspringt — und der Fehlermodus ist still: Nutzer sehen keine Aufforderung, keine Abhebung in ihrer Session und entdecken den Verlust erst beim Prüfen der Salden.

Der Vorfall beschleunigte die Branchenadoption von:

  • Verpflichtenden Cooling-Off-Perioden für neue Abhebungsadressen (Crypto.coms eigene 24-Stunden-Verzögerung, heute üblich über Börsen).
  • Out-of-Band-Abhebungs-Bestätigung (E-Mail + Push-Benachrichtigung + 2FA), sodass ein Angreifer, der allein den 2FA-Pfad kompromittiert, nicht ausreicht.
  • Per-IP- und Per-Device-Anomalieerkennung, die auf die Art von Massen-Abhebungs-Muster anspringt, das Crypto.com über 483 Konten gleichzeitig sah.

Quellen & On-Chain-Belege

  1. [01]techcrunch.comhttps://techcrunch.com/2022/01/20/2fa-compromise-led-to-34m-crypto-com-hack/
  2. [02]halborn.comhttps://www.halborn.com/blog/post/explained-the-crypto-com-hack-january-2022
  3. [03]bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/cryptocom-confirms-483-accounts-hacked-34-million-withdrawn/

Verwandte Einträge