Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 068Kompromittierung privater Schlüssel

Vulcan Forged Wallet-Verwahrungs-Bruch

148 Vulcan-Forged-Nutzer-Wallets verloren 4,5M PYR (140 Mio. $) nach Kompromittierung von Venly. Vollständige Erstattung aus der Treasury.

Datum
Opfer
Vulcan Forged
Chain(s)
EthereumPolygon
Status
Zurückerlangt

Am 13. Dezember 2021 erlitt die Play-to-Earn-NFT-Plattform Vulcan Forged einen Verwahrungsbruch, der 148 Nutzer-Wallets betraf, die von ihrem eingebetteten Wallet-Anbieter Venly verwaltet wurden. Angreifer extrahierten Private Keys für 96 dieser Wallets und entzogen rund 4,5M PYR (~140 Mio. $), plus kleinere Mengen ETH und MATIC.

Was geschah

Vulcan Forged nutzte Venly (ehemals Arkane Network) als eingebetteten verwahrenden Wallet-Dienst — Venly hielt die Keys im Namen der Vulcan-Forged-Nutzer, damit sie mit der Plattform interagieren konnten, ohne Seeds direkt zu verwalten.

Der Angreifer kompromittierte den Vulcan-Forged-Server, der Venly-Authentifizierungsanmeldedaten hielt. Mit diesen Anmeldedaten gab er sich als institutioneller Venly-Kunde Vulcan aus und forderte Private Keys für einzelne Nutzer-Wallets an — empfing sie durch Venlys legitimen Key-Export-Flow.

Mit den Keys in Händen entzog der Angreifer die top 96 Nutzer-Wallets nach Beständen und nahm fast 9 % von PYRs Gesamtsupply zusammen mit ETH und MATIC.

Nachwirkungen

  • Vulcan Forged kündigte einen vollständigen Erstattungsplan innerhalb von 24 Stunden an: Betroffene Wallets erhielten PYR- und LAVA-Token aus der Treasury des Projekts, was die ursprünglichen Salden der Nutzer wiederherstellte.
  • Die Adresse des Angreifers wurde innerhalb weniger Tage über große Börsen hinweg auf die Blacklist gesetzt.
  • Alle großen Erstattungen wurden innerhalb von 48 Stunden nach dem Vorfall abgeschlossen.

Warum es zählt

Vulcan Forged ist eines der klarsten Beispiele für das Problem der eingebetteten Verwahrungs-Vertrauenskette: Wenn ein Projekt einen externen Verwahrer zur Aufbewahrung von Nutzer-Keys nutzt, bestimmt die eigene Infrastruktur-Sicherheit des Projekts, ob diese Keys sicher bleiben. Der Verwahrer (Venly) wurde nicht gebrochen — Vulcan Forgeds Authentifizierungsanmeldedaten waren es —, aber das nutzerseitige Ergebnis war identisch mit einer Verwahrer-Kompromittierung.

Moderne Embedded-Wallet-Produkte (MPC-Wallets, Social-Recovery-Wallets wie die von Coinbase Wallet, Privy usw. verwendeten) architektieren explizit um dieses Risiko herum: Selbst ein Angreifer, der das Projekt vollständig imitiert, kann keinen einzigen vollständigen Private Key abrufen.

Quellen & On-Chain-Belege

  1. [01]coindesk.comhttps://www.coindesk.com/business/2021/12/14/gaming-platform-vulcan-forged-refunds-users-after-140m-hack
  2. [02]cryptobriefing.comhttps://cryptobriefing.com/nft-marketplace-vulcan-forged-hacked-for-140m/
  3. [03]forkast.newshttps://forkast.news/headlines/vulcan-forged-replaces-token-stolen-hack/

Verwandte Einträge