Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 218Kompromittierung privater Schlüssel

Phemex Hot-Wallet-Drain

~73 Mio. $ aus Phemex-Hot-Wallets über 16 Blockchains in koordiniertem Sweep abgezogen — erster großer Börsen-Hack 2025, TTPs konsistent mit Lazarus.

Datum
Opfer
Phemex
Chain(s)
EthereumSolanaBitcoinBNB ChainPolygon
Status
Mittel entwendet
Zurechnung
Suspected Lazarus Group (DPRK)

Am 23. Januar 2025 um 11:30 UTC entdeckte die in Singapur ansässige Börse Phemex ungewöhnliche ausgehende Aktivität aus ihren Hot Wallets. Als die Wallets geleert waren, hatten sich etwa 73 Millionen $ über sechzehn verschiedene Blockchains bewegt — was es zum ersten größeren Börsenvorfall von 2025 und einem Vorgeschmack auf das kommende Jahr machte.

Was geschah

Der genaue Kompromiss-Vektor wurde nie öffentlich offengelegt, aber das On-Chain-Muster war unverkennbar: Der Angreifer hielt gleichzeitige Signaturbefugnis über Hot Wallets auf mindestens 16 Chains, einschließlich Ethereum, Solana, Bitcoin, Ripple, BNB Chain, Polygon, Avalanche und Optimism — und nutzte sie in einem koordinierten, zeitkritischen Sweep, bevor Abhebungen pausiert werden konnten.

Verlustaufschlüsselung nach Chain (ausgewählt):

  • Solana: ~17 Mio. $
  • Ripple (XRP): ~13 Mio. $
  • Ethereum: ~10 Mio. $
  • Bitcoin: ~5,3 Mio. $
  • 12 weitere Chains: der Rest

Das vereinheitlichte Muster — derselbe Operator auf mehreren Chains, nur Hot Wallet, sofortiges Cross-Chain-Bridging in Mixer — entspricht TraderTraitor / Lazarus Post-Kompromiss-TTPs, die bei DMM Bitcoin und später bei Bybit beobachtet wurden. Phemex schrieb nicht öffentlich zu, aber Sicherheitsanalysten bemerkten die Ähnlichkeit.

Folgen

  • Phemex pausierte Ein- und Auszahlungen innerhalb von Stunden und füllte Kundensalden aus eigenen Reserven auf.
  • Alle Auszahlungsdienste wurden bis Februar 2025 wiederhergestellt.
  • Mittel wurden über Cross-Chain-Bridges gewaschen; keine wurden öffentlich zurückgewonnen.

Warum es wichtig ist

Phemex demonstrierte, dass ein Single-Point-Kompromiss eines Private-Key-Management-Systems Dutzende von Chains gleichzeitig kompromittieren kann. Viele Börsen lagerten historisch Hot-Wallet-Schlüssel für verschiedene Chains aus operativer Bequemlichkeit im selben Tresor; dieser Vorfall drängte mehrere Konkurrenten zu Per-Chain-HSM-Partitionierung und Auszahlungs-Geschwindigkeits-Limits mit Auto-Suspension als Mindeststandard für Hot-Wallet-Hygiene.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-phemex-hack-january-2025
  2. [02]phemex.comhttps://phemex.com/announcements/phemex-hot-wallet-security-incident-update-and-timeline
  3. [03]crypto.newshttps://crypto.news/hackers-steal-70m-from-phemex-in-2025s-largest-attack-so-far/

Verwandte Einträge