Unbekannten ist es gelungen, bei der Blockchain-Brücke Wormhole Kryptogeld im Wert von etwa 300 Millionen US-Dollar abzugreifen. Das wäre der bisher viertgrößte Kryptogeld-Diebstahl überhaupt. Wormhole hat den Diebstahl bereits eingeräumt und versichert, dass die dafür ausgenutzte Sicherheitslücke gepatcht sei. Die Plattform ist derzeit offline, soll aber bald wieder online gehen.

Für die Rückgabe der Beute und Erläuterungen zur ausgenutzten Lücke bietet Wormhole den unbekannten Dieben 10 Millionen US-Dollar an. Im Gegenzug könnte auf rechtliche Schritte verzichtet werden, deutet das Team von Wormhole an. Dass darauf eingegangen wird, ist zumindest anzuzweifeln.

Teure Sicherheitslücke

Wormhole bietet eine sogenannte "Brücke" ("Bridge") an, über die Nutzer und Nutzerinnen Kryptogeld von einer Blockchain auf die Blockchain einer anderen Währung umwandeln können, heißt es bei The Record, wo der Hack öffentlich gemacht wurde. Demnach ist es den Unbekannten gelungen, auf der Blockchain der Kryptowährung Solana gewissermaßen aus dem Nichts 120.000 Ether eintragen zu lassen. Über 90.000 davon habe man dann über Wormhole auf die Ethereum-Blockchain transferiert und damit zu einlösbarem Kryptogeld gemacht. Im Account der Unbekannten liegen die 93.750 Ether (ETH) weiterhin, nach einem Kursrückgang sind die aktuell noch mehr als 240 Millionen US-Dollar wert.

Der Einbruch bei Wormhole erfolgte nun nur wenige Tage nach einem Diebstahl bei Qubit Finance, wo Kryptogeld im Wert von 80 Millionen US-Dollar gestohlen wurde. Die Online-Handelsplattform hatte den Dieben zwei Millionen US-Dollar, sollten sie die Beute zurückgeben. Erfolgreich scheint das nicht zu sein, inzwischen droht die Plattform mit "dauerhaften Konsequenzen", die alle Vorteile des Behaltens aufwiegen würden. Aktuell bleibt Qubit aber nur, "mit einer Sammlung von Expert:innen" die Blockchain im Blick zu behalten, auf der das Diebesgut lagert.

Mehr kann jetzt wohl auch Wormhole nicht machen, der Appell, die Beute zurückzugeben, wurde über eine Transaktion auf der Ethereum-Blockchain an die Diebe versandt. Den Weg wählen laut Elliptic auch mutmaßliche Opfer, die sich über Kommentare in Transaktionen an jene wenden, die Zugriff auf den Account haben.

(mho)