THORSwap bietet Kopfgeld im Zusammenhang mit dem über 1 Million Dollar Exploit der Wallet des THORChain-Gründers an: Onchain-Analysten

Der DEX-Aggregator THORSwap von THORChain hat dem Angreifer einer persönlichen Wallet eines Nutzers in den letzten Tagen wiederholt Kopfgeldangebote unterbreitet. Laut ZachXBT handelt es sich bei dem Opfer wahrscheinlich um den THORChain-Gründer John-Paul Thorbjornsen.

„Kopfgeldangebot: Rückgabe von $THOR gegen Belohnung. Kontaktieren Sie contact @ thorswap.finance oder den THORSwap Discord für einen OTC-Deal“, lautet die jüngste Onchain-Nachricht an den Hacker am Freitagmorgen. „Es werden keine rechtlichen Schritte unternommen, wenn die Rückgabe innerhalb von 72 Stunden erfolgt.“

Das Blockchain-Sicherheitsunternehmen PeckShield kennzeichnete die Nachrichten auf X und deutete zunächst an, dass das THORChain-Protokoll selbst von einem Exploit in Höhe von etwa 1.2 Millionen Dollar betroffen gewesen sei. Dieser Beitrag wurde jedoch anschließend korrigiert, nachdem das THORChain-Team klargestellt hatte, dass es sich um die persönliche Wallet eines Nutzers handelte, die kompromittiert wurde. „Dieser Vorfall betrifft die persönliche Wallet eines Nutzers und steht nicht im Zusammenhang mit THORChain“, erklärte das Projekt. „Dies ist lediglich ein Kopfgeldangebot zur Rückgabe gestohlener Vermögenswerte. Kein Protokoll (weder thorchain noch thorswap) wurde kompromittiert.“ Dies bestätigte auch THORSwap-CEO „Paper X“.

THORChain-Gründer vermutlich Opfer

Als Antwort auf PeckShields Beitrag auf X erklärte der Onchain-Analyst ZachXBT, dass die kompromittierte Wallet wahrscheinlich dem THORChain-Gründer John-Paul Thorbjornsen gehört, dessen persönliche Wallet am Dienstag von nordkoreanischen Hackern um 1.35 Millionen Dollar geleert wurde.

Die Quelle des Angriffs war laut Thorbjornsen eine Nachricht vom gehackten Telegram-Account eines Freundes des THORChain-Gründers, die einen gefälschten Zoom-Meeting-Link enthielt. „Okay, dieser Angriff hat sich nun manifestiert“, ergänzte er am Dienstag. „Eine alte MetaMask wurde geleert.“

Thorbjornsen erklärte, dass sich die MetaMask-Wallet nur in einem anderen, ausgeloggten Chrome-Profil befand und der Schlüssel im iCloud-Schlüsselbund gespeichert war. Dennoch gelang es den Angreifern vermutlich, über einen 0-Day-Exploit auf einen oder beide Zugänge zuzugreifen – was seine Ansicht bestärkt, dass Threshold-Signatur-Wallets, die Schlüsselanteile auf verschiedene Geräte verteilen, den einzigen echten Schutz bieten.

Laut ZachXBT stahl der Angreifer etwa 1.03 Millionen Dollar in Kyber Network-Token und 320,000 Dollar in THORSwap-Token. Die Adresse des Diebstahls schickte die Gelder an dieselbe „Exploiter 6“-Adresse, an die auch die Onchain-Kopfgeldnachrichten gesendet wurden. Der Großteil der gestohlenen Gelder, entsprechend der von PeckShield genannten Summe von 1.2 Millionen Dollar, befindet sich derzeit auf einer Adresse, die mit „0x7Ab“ beginnt und offenbar in ETH getauscht wurde, wie ZachXBT auf seinem offiziellen Telegram-Kanal anmerkte.

The Block hat Thorbjornsen um eine Stellungnahme gebeten.