Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 208Kompromittierung privater Schlüssel

DeltaPrime Single-Key-Kompromittierung

DeltaPrime verlor 6 Mio. $ auf Arbitrum durch einen extrahierten Private Key; das Team nutzte Multi-Sig auf Avalanche, nicht auf Arbitrum.

Datum
Opfer
DeltaPrime
Chain(s)
Arbitrum
Status
Mittel entwendet
Zurechnung
Suspected Lazarus Group (DPRK)

Am 16. September 2024 verlor das Cross-Chain-DeFi-Borrowing-Protokoll DeltaPrime rund 6 Millionen $, als ein Angreifer den einzelnen Private Key kompromittierte, der die Arbitrum-seitigen Contracts des Protokolls kontrollierte. Das Team betrieb dasselbe Protokoll auf Avalanche hinter einer Multi-Sig mit Cold-Storage-Trennung; das Avalanche-Deployment blieb unangetastet.

Was geschah

Die Arbitrum- und Avalanche-Deployments von DeltaPrime teilten dieselbe Protokoll-Logik, hatten aber unterschiedliche operative Sicherheitspraktiken:

  • Avalanche-Seite: Multi-Sig-Wallet, Cold-Storage der Admin-Keys, getrennter Signing-Pfad.
  • Arbitrum-Seite: Ein einzelner Private Key mit voller administrativer Autorität über die Contracts.

Der Angreifer — dessen Geldwäsche-Muster später von ZachXBT mit nordkoreanischen Akteuren verbunden wurde — erlangte den Arbitrum-seitigen Einzel-Key. Der Kompromittierungs-Vektor wurde nicht öffentlich offengelegt, aber On-Chain-Hinweise deuteten auf Standard-Endpoint-Malware auf dem Rechner eines Key-Inhabers hin.

Mit dem Key in der Hand:

  1. Übernahm der Angreifer die Kontrolle über die privilegierten Admin-Funktionen der DeltaPrime-Arbitrum-Contracts.
  2. Zog rund 6 Mio. $ in ARB-, AVAX- und Stablecoin-Guthaben durch erzwungene Withdraw-Pfade ab, die nur die Admin-Rolle auslösen konnte.
  3. Bridgte die Erlöse aus Arbitrum heraus und durch die üblichen Lazarus-Geldwäsche-Routen.

Das DeltaPrime-Team bestätigte öffentlich, dass ihre Avalanche-seitige Multi-Sig- + Cold-Storage-Architektur jene Contracts gezielt davor schützte, vom selben Angreifer kompromittiert zu werden — ein sauberer A/B-Test für den Wert von Investitionen in operative Sicherheit.

Folgen

  • DeltaPrime pausierte Arbitrum-Contracts und kündigte einen Entschädigungsplan an.
  • Das Team migrierte Arbitrum auf das gleiche Multi-Sig- + Cold-Storage-Modell, das bereits auf Avalanche eingesetzt wurde.
  • Ein separater Exploit am 11. November 2024 zog weitere 4,85 Mio. $ durch eine andere Bug-Klasse (ungeprüfte Logik in swapDebtParaSwap) ab — diesmal über beide Chains hinweg. DeltaPrime erholte sich nie vollständig.

Warum es wichtig ist

DeltaPrime ist eine der saubersten Fallstudien dafür, warum Deployment-Hygiene mit dem Protokoll über Chains hinweg mitwandern muss. Ein Multi-Chain-Protokoll, das auf einem neuen Netzwerk deployt, repliziert oft den Contract-Code, aber nicht die Off-Chain-Operations-Sicherheit — das Safe-Multi-Sig-Setup, den Hardware-Wallet-Signing-Flow, die Rotations-Verfahren —, weil diese menschlichen Aufwand erfordern, der sich nicht so leicht forken lässt wie Solidity.

Das Ergebnis, bezahlt mit 6 Mio. $ echter Kundengelder: Die Chain mit der laxen Ops ist die Angriffsfläche, und der Angreifer wartet einfach darauf.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-deltaprime-hack-september-2024
  2. [02]coindesk.comhttps://www.coindesk.com/markets/2024/09/16/crypto-broker-deltaprime-drained-of-over-6m-amid-apparent-private-key-leak
  3. [03]cybersecuritynews.comhttps://cybersecuritynews.com/deltaprime-exploited/

Verwandte Einträge