Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 152Kompromittierung privater Schlüssel

Steadefi Deployer-Key-Kompromittierung

1,14 Mio. $ aus Steadefi auf Arbitrum und Avalanche abgezogen, nachdem ein Deployer-Private-Key-Diebstahl die Übernahme von Leverage-Vaults ermöglichte.

Datum
Opfer
Steadefi
Chain(s)
ArbitrumAvalanche
Status
Mittel entwendet
Zurechnung
Suspected Lazarus Group (DPRK)

Am 7. August 2023 verlor das Leveraged-Yield-Protokoll Steadefi rund 1,14 Millionen Dollar auf Arbitrum und Avalanche, nachdem sein Deployer-Private-Key kompromittiert wurde. Der Angreifer übertrug das Vertragseigentum auf sich selbst und entzog die Sicherheiten der Leverage-Vaults des Protokolls. Die TTPs waren konsistent mit Lazarus-Group-Operationen gegen DeFi-Entwickler im selben Zeitraum.

Was geschah

Steadefi betrieb automatisierte Leveraged-Yield-Vaults. Die Verträge des Protokolls wurden von einem Deployer-Schlüssel mit Eigentums-/Admin-Autorität kontrolliert.

Die Kompromittierung war kein Smart-Contract-Bug — Steadefis Vault-Logik funktionierte wie konzipiert. Der Angreifer:

  1. Erlangte den Deployer-Private-Key — Vektor nicht öffentlich detailliert, aber konsistent mit dem Endpoint-Malware-/Social-Engineering-Muster, das Lazarus 2023 gegen DeFi-Entwickler durchführte (Atomic Wallet, Stake.com und andere im selben Fenster).
  2. Übertrug das Vertragseigentum an eine vom Angreifer kontrollierte Adresse mit der legitimen Eigentumsübertragungsfunktion.
  3. Mit dem Eigentum entzog er die Sicherheiten und Borrow-Positionen der Leverage-Vaults auf beiden Chains.
  4. Insgesamt extrahiert: rund 1,14 Mio. $, gewaschen über Tornado Cash.

Nachwirkungen

  • Steadefi pausierte den Betrieb und legte die Deployer-Key-Kompromittierung offen.
  • Das Protokoll wickelte effektiv ab; der Verlust war absolut klein, aber für ein Protokoll von Steadefis Größe tödlich.
  • Das Geldwäsche-Muster des Angreifers entsprach gleichzeitigen Lazarus-DeFi-Operationen.

Warum es zählt

Steadefi ist ein dollar-kleiner, aber strukturell sauberer Eintrag im größten Einzelthema des Katalogs: Einzelne Deployer-/Admin-Keys sind das tatsächliche Sicherheitsmodell, unabhängig von der Vertragsqualität, und sie sind ein primäres Lazarus-Ziel.

Dieselbe Wurzelursache — Deployer-/Admin-Key-Kompromittierung, meist über Endpoint-Malware oder Social Engineering eines Entwicklers — zieht sich durch:

  • EasyFi (2021, 81 Mio. $) — Vault des CEOs auf MetaMask vom Laptop gestohlen.
  • bZx November 2021 (55 Mio. $) — Phishing → Word-Makro → Schlüssel.
  • Steadefi (2023, 1,14 Mio. $) — Deployer-Key-Kompromittierung.
  • Radiant Capital (2024, 53 Mio. $) — Telegram-Malware → Multi-Sig-UI-Täuschung.
  • Bybit (2025, 1,46 Mrd. $) — Safe{Wallet}-Entwickler-Supply-Chain-Kompromittierung.

Die Dollar-Beträge erstrecken sich über vier Größenordnungen; die Wurzelursache ist identisch. Der billigste, zuverlässigste, am häufigsten wiederholte Weg, ein Krypto-Protokoll zu leeren, ist nicht, seine Verträge zu brechen — es ist, den Menschen zu kompromittieren, der seine Schlüssel hält. Steadefi ist einer der kleineren Datenpunkte auf dieser Linie, aber er liegt auf genau derselben Linie wie die Milliarden-Dollar-Vorfälle, und die defensive Antwort ist auf jeder Skala dieselbe: Hardware-Wallet-only-Signing, Multi-Sig mit geografisch verteilten unabhängigen Signers, zeitversetzte Admin-Operationen und die Annahme, dass die Maschine jedes einzelnen Key-Inhabers bereits kompromittiert ist.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-steadefi-hack-august-2023
  2. [02]coinedition.comhttps://coinedition.com/defi-protocol-steadefi-exploited-for-over-1-1-million/
  3. [03]rekt.newshttps://rekt.news/steadefi-rekt

Verwandte Einträge