Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 006Kompromittierung privater Schlüssel

Cryptopia Wallet-Drain

Eine Wallet-Infrastruktur-Kompromittierung entzog ~16 Mio. USD an ETH und ERC-20s von 76.000+ Cryptopia-Nutzern und führte zur langen Insolvenz in Neuseeland.

Datum
Opfer
Cryptopia
Chain(s)
Ethereum
Status
Teilweise zurückerlangt

Am 13. Januar 2019 erkannte die neuseeländische Börse Cryptopia unautorisierte Outflows aus ihren zwei Haupt-Hot-Wallets — eine, die ETH hielt, die andere ERC-20-Tokens. Anschließende Forensik von Elementus offenbarte, dass der Verlust nicht die 2,5 Mio. USD waren, die Cryptopia anfänglich meldete, sondern etwa 16 Millionen US-Dollar über mehr als 76.000 einzelne Nutzer-Wallets.

Was geschah

Cryptopia speicherte Kundensalden mittels Per-Nutzer-Wallet-Ableitung — die Einlagen jedes Kunden saßen an einer einzigartigen Adresse, die von Cryptopias interner Key-Management-Infrastruktur kontrolliert wurde. Der Angreifer kompromittierte diese Infrastruktur und erhielt Signing-Authority über die Private Keys für über 76.000 Nutzer-Einlage-Adressen.

Der Drain war systematisch. Statt eine einzelne Hot Wallet zu leeren, fegte der Angreifer Tausende einzelner Adressen über ein mehrtägiges Fenster, mit einem langen Tail kleinerer Abhebungen nach dem anfänglichen Peak. Elementus' On-Chain-Analyse bestätigte, dass der Gesamtbetrag ~16 Mio. USD in ETH und ERC-20-Tokens erreichte, gegen Cryptopias anfängliche öffentliche Schätzung von 2,5 Mio. USD.

Folgen

  • Cryptopia pausierte Operationen am 14. Januar, öffnete kurz wieder und meldete dann im Mai 2019 Insolvenzschutz an, mit dem Bruch als unmittelbarer Ursache.
  • Die Börse wurde unter Grant Thornton in Liquidation gestellt, das mehr als fünf Jahre damit verbrachte, Kundengelder über Wallets, Mixer und Börsen zu verfolgen und zurückzugewinnen.
  • Im Dezember 2024 kündigte Grant Thornton an, etwa 400 Mio. NZD (~225 Mio. USD) in Kryptowährung an mehr als 10.000 verifizierte Kontoinhaber verteilt zu haben — weit über den ursprünglichen Verlust in nominalen Begriffen, was sowohl teilweise Fund-Recovery als auch sechs Jahre Kryptopreis-Wertsteigerung widerspiegelt.

Warum es wichtig ist

Cryptopia war ein relativ kleiner Verlust in absoluten Dollar, kristallisierte aber zwei operative Risiken für die frühe-2019er Börsenbranche:

  1. Per-Nutzer-Adress-Custody ist nicht inhärent sicherer als gepoolte Custody — wenn das Master-Key-Management-System kompromittiert ist, ist jede abgeleitete Adresse gleichzeitig kompromittiert.
  2. Insolvenz-Recoveries in Krypto können ein halbes Jahrzehnt dauern, und der Wert zurückgewonnener Assets zum Zeitpunkt der Verteilung kann keine Ähnlichkeit mit ihrem Wert zum Zeitpunkt des Verlusts haben. Kunden profitieren von Preissteigerung; sie bezahlen den Preis in operativer Unsicherheit und Zeit.

Die letztere Dynamik wiederholte sich in viel größerem Maßstab bei Mt. Gox und später FTX, wo mehrjährige Verzögerungen bedeuteten, dass Gläubiger ihre Ausschüttungen in Zyklen erhielten, die wenig mit dem ursprünglichen Kollaps zu tun hatten.

Quellen & On-Chain-Belege

  1. [01]ccn.comhttps://www.ccn.com/new-zealand-exchange-cryptopia-lost-16-million-in-hack-not-initially-reported-2-5-million-research/
  2. [02]coindesk.comhttps://www.coindesk.com/markets/2019/01/16/new-zealand-police-keeping-open-mind-on-cryptopia-hack/
  3. [03]bravenewcoin.comhttps://bravenewcoin.com/insights/cryptopia-hack-liquidators-distribute-225-million-in-crypto-to-victims

Verwandte Einträge