Finst

Ill-Bloom-Lücke soll 431 Wallets um rund 3,1 Millionen US-Dollar gebracht haben

Coinspect führt den Angriff auf einen unsicheren Zufallszahlengenerator auf Bitcoin, Ethereum und Solana zurück. Besonders betroffen sind self-custodial Wallets und weniger bekannte mobile Apps.

Ill-Bloom-Lücke soll 431 Wallets um rund 3,1 Millionen US-Dollar gebracht haben

Wichtigste Erkenntnisse

  • Coinspect meldete eine Ill-Bloom-Lücke, die am 27. Mai ausgenutzt wurde. Dabei sollen 431 Wallets zusammen rund $3,1 Millionen verloren haben.
  • Auslöser war ein unsicherer pseudorandom number generator, durch den auf mehreren Blockchains schwache Recovery Phrases entstanden.
  • Bitcoin war mit $2,57 Millionen am stärksten betroffen. Wer einen Treffer hat, sollte eine neue Wallet anlegen und die Funds verschieben.

Coinspect hat eine Schwachstelle in Krypto Wallets offengelegt, die am 27. Mai ausgenutzt worden sein soll. Nach Angaben des Unternehmens verloren 431 Wallets dabei zusammen rund $3,1 Millionen (€2,7 Millionen). Die sogenannte Ill-Bloom-Lücke führte demnach zu schwachen Recovery Phrases auf mehreren Blockchains, sodass Angreifer gefundene Adressen leeren konnten. Besonders betroffen sind self-custodial wallets, weil Nutzer dort ihre Private Keys selbst verwalten.

Wie die Lücke funktionierte

Laut Coinspect lag die Ursache in einem unsicheren pseudorandom number generator bei der Erstellung von Wallets. Dadurch wiesen einige Recovery Phrases deutlich weniger kryptografische Stärke auf als vorgesehen. Theoretisch konnten Angreifer die möglichen Phrases vollständig neu berechnen und so Zugriff auf Adressen mit Guthaben erhalten.

Die Forscher geben an, den Angriff Ende-zu-Ende reproduziert zu haben. Dafür verfolgten sie alle Adressen zurück, die durch die schwachen Phrases erzeugt werden konnten, und glichen sie mit betroffenen Wallets auf öffentlichen Blockchains ab. Die ersten betroffenen Adressen reichen laut Coinspect bis ins Jahr 2018 zurück und stammen vor allem aus weniger bekannten mobilen Krypto-Wallets.

Mehrere Netzwerke betroffen

Die Schwachstelle betrifft mehrere Chains, darunter Bitcoin, Ethereum und Solana. Coinspect verweist außerdem auf eine überwachte Gruppe von 2.114 betroffenen Adressen auf Bitcoin, Ethereum, Tron, Rootstock und Polygon. Am 27. Mai wurden die betroffenen Accounts innerhalb weniger Stunden auf eine Handvoll gemeinsamer Collector-Adressen geleert.

Am stärksten traf es Bitcoin mit $2,57 Millionen (€2,3 Millionen). Ein einzelner Account verlor dabei allein mehr als $1,1 Millionen (€1 Million). Coinspect betrachtet die $3,1 Millionen (€2,7 Millionen) als Untergrenze, weil weiterhin neue betroffene Accounts auftauchen. Der Vorfall reiht sich in ein breiteres Muster schwacher Randomness in Krypto-Wallets ein, nach früheren Fällen wie Milk Sad und einer Schwachstelle in der Trust Wallet Browser Extension. Auch andere jüngere Vorfälle haben gezeigt, dass nicht nur Smart Contracts, sondern vor allem Schlüsselverwaltung und Wallet-Infrastruktur angreifbar sein können, wie bei Private Keys.

Was Nutzer jetzt prüfen sollten

Coinspect hat einen Checker veröffentlicht, der öffentliche Adressen mit dem bekannten verwundbaren Datensatz abgleicht. Ein negatives Ergebnis ist jedoch keine Entwarnung, weil der Datensatz nach Angaben des Unternehmens noch nicht vollständig ist. Nutzer mit einem Treffer sollten eine komplett neue Krypto Wallet anlegen und ihre Funds auf neue Adressen verschieben. Die alte Seed Phrase erneut zu importieren, würde das Geld erneut angreifbar machen.

Für europäische Krypto-Leser ist das vor allem deshalb relevant, weil es zeigt, dass Wallet-Risiken nicht nur bei Exchanges oder großen Hacks entstehen, sondern schon ganz am Anfang bei der Key Generation. Hardware-Wallet-Nutzer bleiben laut Coinspect außen vor, während Wallet-Entwickler zugleich an sichereren Standards unter anderem für Ethereum arbeiten. In den kommenden Tagen dürfte sich zudem klarer zeigen, welche Apps die schwachen Phrases erzeugt haben.


Haftungsausschluss: Dieser Inhalt dient ausschließlich zu Informationszwecken und stellt keine finanzielle, anlagebezogene, rechtliche oder steuerliche Beratung dar. Die bereitgestellten Informationen können unvollständig, ungenau oder veraltet sein und sollten nicht als solche herangezogen werden. Nichts auf dieser Website sollte als Empfehlung zum Kauf, Verkauf oder Halten von Kryptowährungen angesehen werden. Investitionen in Krypto-Assets sind mit Verlustrisiken verbunden.