Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 111Kompromittierung privater Schlüssel

Deribit Hot-Wallet-Hack

Angreifer zogen 28 Mio. $ aus Deribits BTC-/ETH-/USDC-Hot-Wallets ab; die Optionsbörse deckte den Schaden aus eigener Bilanz, Cold Storage blieb intakt.

Datum
Opfer
Deribit
Chain(s)
BitcoinEthereum
Status
Mittel entwendet

Am 1. November 2022 verlor die weltgrößte Krypto-Optionsbörse Deribit rund 28 Millionen $, als ihre BTC-, ETH- und USDC-Hot-Wallets kompromittiert wurden. Der Angreifer verschwand mit 691 BTC und 9.111,59 ETH in gemischten Assets. Deribit absorbierte den Verlust aus seiner Bilanz, ohne den 40-Mio.-$-Versicherungsfonds des Unternehmens oder Cold-Storage-Kundenbestände anzurühren.

Was geschah

Deribit hatte seine Verwahrung nach dem Standard-99/1-Modell strukturiert: rund 99 % der Kundengelder in Cold Storage und etwa 1 % in Hot Wallets für den operativen Abhebungsbedarf. Die Hot Wallets auf BTC, ETH und USDC wurden in einem koordinierten Multi-Chain-Drain kompromittiert.

Die Börse legte den spezifischen Kompromittierungs-Vektor nicht öffentlich offen — ob Endpoint-Malware, interner Credential-Diebstahl, Anbieter-Kompromittierung oder Signing-Infrastruktur-Breach. Das On-Chain-Muster war ein koordinierter Sweep mit sofortiger Cross-Chain-Umwandlung von Stablecoins in ETH — entspricht dem Standardverhalten bei Private-Key-Kompromittierungen von Multi-Chain-Verwahrern.

Folgen

  • Deribit pausierte Abhebungen innerhalb von Stunden; Einzahlungen und Handel blieben durchgängig verfügbar.
  • Die Börse erklärte — und On-Chain verifizierbar —, dass Cold-Storage-Kundenbestände nicht betroffen waren.
  • Der gesamte 28-Mio.-$-Verlust wurde durch Deribits eigene Bilanz gedeckt; der 40-Mio.-$-Versicherungsfonds blieb unangetastet für mögliche künftige Vorfälle.
  • Abhebungen wurden binnen Tagen nach Key-Rotation und Infrastruktur-Audit wieder aufgenommen.

Warum es wichtig ist

Der Deribit-Vorfall ist einer der am besten gemanagten Börsen-Hacks aus Sicht der Kundenauswirkungen. Das Cold/Hot-Storage-Verhältnis funktionierte wie vorgesehen (99 % unangetastet), der Versicherungsfonds funktionierte wie vorgesehen (nicht abgerufen), und die Bilanz absorbierte den unmittelbaren Verlust ohne Beeinträchtigung des Handels oder der Abhebungen.

Die Lektion: Der Unterschied zwischen einem überstehbaren Hot-Wallet-Breach und einem fatalen liegt in der Verwahrungsarchitektur, nicht in der Größe des Verlusts. Deribits 28 Mio. $ waren absolut betrachtet eine relevante Summe, im Kontext aber weniger als 1 % der Kundengelder und gut innerhalb des Risikokapitals des Unternehmens. Vergleich:

  • Mt. Gox — einzelne Hot Wallet mit faktisch allen Geldern, keine Trennung.
  • Bitmart — Multi-Chain-Hot-Wallets mit viel höherem Anteil an Gesamtreserven.
  • Phemex — Hot Wallets über 16 Chains, alle gleichzeitig kompromittiert.
  • Deribit — geringer Anteil in Hot Wallets, absorbiert ohne Kundenauswirkung.

Wie viel man hot hält, ist rückblickend die wichtigste Einzelentscheidung, die eine Börse zu ihrer Verwahrungsarchitektur trifft.

Quellen & On-Chain-Belege

  1. [01]coindesk.comhttps://www.coindesk.com/business/2022/11/02/crypto-exchange-deribit-loses-28m-in-hot-wallet-hack
  2. [02]bloomberg.comhttps://www.bloomberg.com/news/articles/2022-11-02/crypto-derivative-exchange-deribit-lost-28-million-in-a-hot-wallet-hack
  3. [03]quillaudits.medium.comhttps://quillaudits.medium.com/deribit-28-million-hot-wallet-hack-analysis-quillaudits-1ae00c6b946d

Verwandte Einträge