- ZachXBT verfolgte Wallet-Abflüsse über EVM-Netzwerke hinweg, wobei die Verluste pro Adresse gering blieben.
- Eine einzelne Ethereum-Adresse empfängt kontinuierlich Gelder, was auf Aktivitäten über verschiedene Chains hinweg hindeutet.
- Analysten untersuchen Genehmigungen, Signaturen und Erweiterungen, doch die Exploit-Methode ist weiterhin unbekannt.
Der Blockchain-Ermittler ZachXBT hat die Krypto-Community vor einer unerklärlichen Wallet-Drain-Aktivität gewarnt, die mehrere mit EVM kompatible Blockchains betrifft. Die Aktivität hat bereits zu Verlusten von über 107.000 US-Dollar geführt. Einzelne Wallets verlieren in der Regel weniger als 2.000 US-Dollar. Dennoch wächst die Zahl der betroffenen Adressen weiterhin. Die Quelle der Abflüsse ist bislang unbekannt.
On-Chain-Analysen haben die gestohlenen Gelder mit einer einzelnen Ethereum-Adresse verknüpft, die wiederholt Überweisungen von nicht in Zusammenhang stehenden Opfern erhält. Die Adresse 0xAc2e5153170278e24667a580baEa056ad8Bf9bFB tauchte in mehreren Transaktionen auf, die mit der Aktivität in Verbindung stehen. Die Gelder fließen weiterhin auf diese Adresse, was darauf hindeutet, dass der Abfluss nicht gestoppt wurde.
Statt großer, isolierter Diebstähle basiert die Aktivität auf kleinen Abhebungen, die über viele Wallets verteilt sind. Dieses Muster scheint die Entdeckung zu verzögern. Infolgedessen steigen die Verluste unauffällig an, während die Opfer erst dann bemerken, wenn die Guthaben sinken.
Cross-Chain-Muster erregt Aufmerksamkeit
Berichte zeigen, dass die Aktivität sich über mehrere EVM-basierte Netzwerke erstreckt. Laut BitPinas tauchen betroffene Wallets auf Ethereum, BNB Chain, Base, Arbitrum, Polygon, Optimism und anderen EVM-Ökosystemen auf. Die Vielzahl der involvierten Netzwerke wirft Fragen nach einem gemeinsamen Schwachpunkt auf.
Da EVM-Chains auf ähnliche Wallet-Standards und Signaturabläufe setzen, vermuten Ermittler, dass der Exploit nicht ein einzelnes Protokoll angreift. Stattdessen könnte es sich um eine Schwachstelle in der gemeinsamen Wallet-Logik oder im Berechtigungsmanagement handeln. Viele Wallets nutzen ähnliche Genehmigungsprozesse und Benutzerabfragen.
Trotz wachsender Datenmenge wurde noch keine bestätigte Ursache gefunden. Analysten untersuchen weiterhin den Missbrauch von Token-Genehmigungen, irreführende Signaturanfragen und mögliche Supply-Chain-Probleme, die Wallet-Software betreffen. Ein Teil der Forschung konzentriert sich auch auf Browser-Erweiterungen. Keine dieser Theorien wurde bislang bestätigt.
Verwandt: ZachXBT deckt versteckten BlockDAG-Mitbegründer und verschwundene Millionen auf
Vorfälle im Dezember liefern weiteren Kontext
Die Wallet-Abflüsse folgen auf einen Monat, der von mehreren großen Sicherheitsvorfällen in der Kryptobranche geprägt war. PeckShield berichtete von 26 bedeutenden Exploits im Dezember. Eine kleine Anzahl von Fällen machte den Großteil der Verluste aus. Der größte Fall betraf einen einzelnen Nutzer, der bei einem Address-Poisoning-Betrug 50 Millionen US-Dollar verlor.
Bei Address-Poisoning-Angriffen senden Angreifer kleine Transaktionen von Adressen, die den legitimen sehr ähnlich sehen. Opfer kopieren später bei einer Überweisung die falsche Adresse aus der Transaktionshistorie. Die Gelder gehen dann unwiderruflich an den Angreifer. Diese Betrugsmasche basiert auf visuellen Ähnlichkeiten, nicht auf technischen Schwachstellen.
PeckShield dokumentierte außerdem einen weiteren Vorfall im Dezember, bei dem ein privater Schlüssel im Zusammenhang mit einer Multi-Signature-Wallet kompromittiert wurde. Dieser Einbruch führte zu Verlusten von etwa 27,3 Millionen US-Dollar. Der Fall zeigt, dass selbst Wallets mit mehreren Genehmigungen verwundbar bleiben, wenn die Schlüsselverwaltung versagt.
Browser-Wallets bleiben verwundbar
Browserbasierte Wallets sind immer das Hauptziel von Angreifern, vor allem weil sie ständig mit dem Internet verbunden sind. PeckShield gehörte zu den Vorfällen am Weihnachtstag, bei denen etwa 7 Millionen US-Dollar aus der Browser-Erweiterung von Trust Wallet abgezogen wurden. Ein weiterer Vorfall im Dezember richtete sich gegen das Flow-Protokoll mit einem geschätzten Verlust von 3,9 Millionen US-Dollar.
Das Auftreten dieser Vorfälle ist ein deutlicher Hinweis auf die weiterhin bestehenden Risiken in Online-Wallet-Umgebungen. Die meisten Sicherheitsexperten empfehlen Hardware-Wallets, die die privaten Schlüssel offline speichern, als die sicherste Option für die langfristige Aufbewahrung.
Bezüglich des aktuellen EVM Wallet Drains empfehlen die Sicherheitsteams, nicht mehr benötigte Genehmigungen zu widerrufen, die verbundenen Anwendungen zu überprüfen und die Signaturaktivität zu verringern. Viele raten zudem, die Assets auf neue Wallets mit neuen Seed-Phrasen zu übertragen, solange die Überwachung andauert.
