Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 159Kompromittierung privater Schlüssel

Stake.com Hot-Wallet-Heist

Stake.com verlor 41 Mio. $ aus Hot Wallets auf Ethereum, BSC und Polygon in 90 Minuten; das FBI schrieb den Heist Lazarus zu und listete 40 Adressen auf.

Datum
Opfer
Stake.com
Chain(s)
EthereumBNB ChainPolygon
Status
Mittel entwendet
Zurechnung
Lazarus Group / APT38 (DPRK)

Am 4. September 2023 erlitt das Krypto-Casino Stake.com eine Reihe unautorisierter Hot-Wallet-Abhebungen in Höhe von insgesamt rund 41,35 Millionen Dollar über drei Chains in einem 90-Minuten-Fenster. Das FBI schrieb die Operation öffentlich innerhalb von 72 Stunden der Lazarus Group / APT38 zu und listete alle 40 vom Angreifer kontrollierten Adressen in seiner Pressemitteilung auf.

Was geschah

Die Verluste von Stake stammten aus Hot Wallets auf Ethereum (~15,7 Mio. $, größtenteils USDT, ETH, USDC, DAI), BNB Chain (~17,8 Mio. $) und Polygon (~7,8 Mio. $). Die erste Transaktion war ein 3,9-Mio.-$-USDT-Transfer; der Rest folgte in einem eng choreographierten Sweep, der darauf ausgelegt war, Wert zu extrahieren, bevor Abhebungen pausiert werden konnten.

Der genaue Kompromittierungsvektor war umstritten. Stake-Mitgründer Edward Craven erklärte, der Angriff habe „einen Dienst angegriffen, den das Unternehmen zur Autorisierung von Transaktionen nutzt", was darauf hindeutet, dass die Lücke in einem Signing-Authorization-System lag, nicht in direktem Private-Key-Diebstahl. Das FBI-Framing tendierte zur Private-Key-Kompromittierung. Das On-Chain-Muster — derselbe Operator auf mehreren Chains, gleichzeitige koordinierte Abhebungen — ist mit beiden Lesarten konsistent.

Nachwirkungen

  • Stake.com pausierte den Hot-Wallet-Betrieb kurz und absorbierte den Verlust aus Unternehmensreserven.
  • Das FBI nannte alle 40 Angreifer-Adressen öffentlich — eine ungewöhnlich granulare Zuordnung, die Compliance-Teams in der gesamten Branche innerhalb von Tagen nach dem Vorfall eine Einfrierungs-Zielliste gab.
  • Die Mittel wurden über Cross-Chain-Bridges und Mixer gewaschen, teilweise kombiniert mit Erlösen aus anderen Lazarus-Operationen (insbesondere Atomic Wallet und CoinEx aus dem selben Zeitraum).

Warum es zählt

Stake.com war der erste Vorfall, bei dem die Zuordnung des FBI spezifische On-Chain-Adressen enthielt, anstatt nur einen benannten Bedrohungsakteur. Die Kombination aus operativer Zuordnung und On-Chain-Transparenz bedeutete, dass jede Börse oder jedes DeFi-Protokoll, das Mittel von diesen Adressen erhielt, in Echtzeit genau wusste, mit wem es zu tun hatte — was die Standardisierung von Sanktions-Adress-Screening als regulierte AML-Kontrolle statt als freiwillige Best Practice beschleunigte.

Quellen & On-Chain-Belege

  1. [01]fbi.govhttps://www.fbi.gov/news/press-releases/fbi-identifies-lazarus-group-cyber-actors-as-responsible-for-theft-of-41-million-from-stakecom
  2. [02]coindesk.comhttps://www.coindesk.com/policy/2023/09/07/north-koreas-lazarus-hackers-stoke-41-million-from-crypto-gambling-site-fbi-says
  3. [03]trmlabs.comhttps://www.trmlabs.com/resources/blog/fbi-confirms-that-north-korea-was-behind-41-million-stake-com-exploit

Verwandte Einträge