Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 251Kompromittierung privater Schlüssel

Drain des SBI Crypto Mining-Pools

SBI Crypto, der Mining-Arm von SBI Holdings, verlor 24 Mio. $ in BTC, ETH, LTC, DOGE und BCH. Erst nach 7 Tagen entdeckte ZachXBT ein Lazarus-Muster.

Datum
Opfer
SBI Crypto
Chain(s)
BitcoinEthereumLitecoinDogecoin
Status
Mittel entwendet
Zurechnung
Suspected Lazarus Group (DPRK)

Am 24. September 2025 wurde der Bitcoin-Mining-Tochter der japanischen SBI HoldingsSBI Crypto — etwa 24 Millionen Dollar über fünf Blockchains entwendet: Bitcoin, Ethereum, Litecoin, Dogecoin und Bitcoin Cash. Der Vorfall blieb sieben Tage lang unentdeckt, bis der On-Chain-Ermittler ZachXBT die verdächtigen Abflüsse am 1. Oktober öffentlich meldete.

Was geschah

SBI Crypto betrieb einen Bitcoin-Mining-Pool mit zugehöriger Wallet-Infrastruktur, die Mining-Belohnungsausschüttungen über mehrere Chains hielt. Die Kompromittierung zielte auf das Hot-Wallet-System des Mining-Pools — den genauen Vektor hat SBI nie öffentlich offengelegt, doch das On-Chain-Muster entsprach der typischen Private-Key-Kompromittierung von Multi-Chain-Signierinfrastruktur.

Aufschlüsselung der gestohlenen Vermögenswerte:

  • ~$17,45M aus Bitcoin-Wallets (der größte Einzelverlust).
  • ~$6,4M aus Ethereum.
  • ~$67.874 aus Bitcoin Cash.
  • ~$76.343 aus Litecoin.
  • ~$42.718 aus Dogecoin.

Der Geldwäsche-Pfad — über fünf „Instant Exchanges" geschleust und anschließend in Tornado Cash eingezahlt — entsprach eng dokumentierten Lazarus-Group-Operationen aus demselben Zeitraum. ZachXBT verwies in seiner ersten Veröffentlichung ausdrücklich auf die Ähnlichkeiten zu früheren staatlich gestützten Krypto-Diebstählen Nordkoreas.

Nachwirkungen

  • SBI gab eine Erklärung heraus, in der ein „unautorisierter Abfluss" bestätigt wurde, lieferte aber weder einen öffentlichen technischen Vorfallbericht noch eine detaillierte Verlustzuordnung.
  • Die siebentägige Offenlegungsverzögerung zog erhebliche Branchenkritik auf sich — die meisten großen japanischen Krypto-Betreiber veröffentlichen Sicherheitsvorfälle nach den Erwartungen der FSA seit Coincheck innerhalb von 24-48 Stunden.
  • Keine öffentlichen Rückgewinnungen aus den Wallets des Angreifers.
  • Die Lazarus-Zuordnung blieb auf Analystenebene; SBI bestätigte oder dementierte sie nicht.

Warum es zählt

Der Vorfall bei SBI Crypto ist eine saubere Fallstudie dafür, wie Mining-Pools im operativen Tempo von Lazarus 2025 zu Zielen wurden. Frühere Lazarus-Kampagnen konzentrierten sich auf kundenorientierte Börsen und DeFi-Protokolle; Mining-Pools — die nennenswerte Belohnungsbestände in routinemäßig genutzten Hot-Wallets halten — stellen eine ähnliche Angriffsfläche mit weniger Medienaufmerksamkeit und oft schwächerer operativer Sicherheit dar:

  • Betreiber von Mining-Pools sind engineering-lastige Organisationen mit Verwahrungspraktiken, die möglicherweise nicht an die Strenge dedizierter Börsen-Verwahrungsteams heranreichen.
  • Multi-Chain-Mining-Belohnungsoperationen erfordern Hot-Wallet-Bestände auf jeder Chain, auf der der Pool aktiv ist — was die Angriffsfläche pro Chain vervielfacht.
  • Die Auszahlungstaktung an Miner erzeugt regelmäßige Hot-Wallet-Aktivität, die abweichende Abflüsse vor naiver Überwachung verschleiern kann.

Die defensive Antwort ist dieselbe wie für die Börsenverwahrung:

  • HSM-isolierte Signierung pro Chain.
  • Abhebungs-Geschwindigkeitslimits pro Wallet mit automatischer Aussetzung.
  • Unabhängige On-Chain-Überwachung durch externe Dienste (Chainalysis, Cyvers etc.), die nicht von der hauseigenen Anomalieerkennung des Betreibers abhängen.
  • Schnelle öffentliche Offenlegung bei Sicherheitsvorfällen, sowohl um Geldwäschefenster des Angreifers zu begrenzen als auch um Kundenvertrauen zu wahren.

Die siebentägige Verzögerung bei SBI Crypto ist insbesondere die wiederkehrende Lektion für Unternehmen außerhalb des regulierten Börsenperimeters: Schnelle Offenlegung ist selbst eine defensive Maßnahme, unabhängig davon, wie operativ unbequem sie für das Opfer ist.

Quellen & On-Chain-Belege

  1. [01]coindesk.comhttps://www.coindesk.com/business/2025/10/01/sbi-crypto-reportedly-hit-by-usd21m-hack-with-suspected-dprk-links
  2. [02]unchainedcrypto.comhttps://unchainedcrypto.com/sbis-bitcoin-mining-pool-hacked-for-21-million-zachxbt/
  3. [03]cybernews.comhttps://cybernews.com/crypto/bitcoin-mining-arm-of-japanese-giant-sbi-gets-bitten-by-hackers/

Verwandte Einträge