Bybit-Hack: Ein Fanal für die Ethereum-Blockchain?

Erneut wird eine Kryptobörse gehackt. Und das Vorgehen erinnert an einen Agenten-Thriller. Kim Jong Uns Cyberarmee, die digitale Raubzüge als Finanzierungsquelle für den Diktatorenstaat entdeckt hat, soll hinter dem Coup stehen. Am Freitag vergangener Woche teilte die in Dubai ansässige Krypto-Plattform Bybit mit, Opfer eines grossangelegten Kryptodiebstahls geworden zu sein. Ein Angreifer habe die Kontrolle über ein Ether-Wallet erlangt und Bestände im Wert von rund 1,4 Milliarden Dollar an nicht identifizierte Adressen übertragen.

Die Forschungsplattform Arkham berichtet, dass eindeutige Beweise vorlägen, die den Hack mit der aus Nordkorea stammenden Lazarus Group in Verbindung bringen. Ein weiteres Beweisstück deute darauf hin, dass der Angriff über Jahre vorbereitet worden sei. Nordkorea bestreitet hingegen seit langem jede Verbindung zu Lazarus.

Schwachstelle in der Benutzeroberfläche

Der Angreifer transferierte etwa 400’000 Ether aus einem Cold Wallet von Bybit und teilte sie anschliessend auf Dutzende andere Wallets auf. Der CEO von Bybit, Ben Zhou, wies auf eine Schwachstelle in der Benutzeroberfläche (User-Interface, UI) der Multisignatur-Wallet des Unternehmens hin, die von Safe bereitgestellt wird – einem Wallet-Anbieter, der von zahlreichen grossen Kryptodienstleistern verwendet wird.

Philipp Dettwiler, Head of Custody & Settlement bei Crypto Finance, legt dar, wie das Ganze abgelaufen sein könnte: «Der Ursprung des Bybit-Hacks war eine Transaktion, die darauf abzielte, die Smart-Contract-Logik der Multi-Signatur-Wallet der Börse zu ändern. Durch diese Änderung ging das Eigentum an der Wallet auf den Angreifer über, so dass dieser die darin enthaltenen Gelder transferieren konnte».

Ein kapitales Versäumnis

Diese böswillige Transaktion sei in einer anderen, harmlosen Transaktion maskiert worden, die zur Genehmigung an die Unterzeichner der Wallet zur Autorisierung gesendet wurde – eine solche Transaktion nicht zu verifizieren und sich auf das UI zu verlassen, ist gemäss Dettwiler ein kapitaler Fehler. In der maskierten Benutzeroberfläche zeigte diese Transaktion einen Transfer von der Cold Wallet zu einer Hot Wallet mit der richtigen Adresse und einer sicheren URL.

«Sobald diese Transaktion von den Teammitgliedern genehmigt und digital signiert wurde, übergab der versteckte Schadcode die Kontrolle über das Cold Wallet an den Angreifer. Von dort aus konnte der Angreifer die in der Cold Wallet gespeicherten Vermögenswerte auf sein eigenes Konto transferieren und so schätzungsweise 1,4 Milliarden Dollar von der stehlen», beschreibt Crypto-Finance-Experte den Diebstahl.

Ein bekanntes Problem

Gregor von Bergen, Spezialist für digitale Assets beim Beratungsunternehmen Capo, ordnet die Schwachstellen ein: «Beim ByBit-Hack wurden die Mitarbeitenden der Börse mit einem böswilligen Smart Contract getäuscht und haben so eine betrügerische Multisignatur-Transaktion eigenwillig genehmigt. Es benötigte mehrere Mitarbeitende dazu. Seit der Entstehung von Ethereum mit seinen Smart-Contract-Funktionen hört man dies immer wieder, auch bei kleinen Anlegern.» Das Problem liege darin, dass ohne grosse Kosten schädlicher Code auf Smart-Contract-Blockchains publiziert werden könne und so Krypto-User getäuscht würden. Weiter gebe es nur wenig ausgeklügelte Systeme, welche Benutzer ausreichend davor schützten.

«Bei einer Krypto-Börse hingegen würde man sich per se die nötigen Compliance-Richtlinien erhoffen und bei einer Transaktion von 1,4 Milliarden Dollar erwarten, dass hier verstärkt geprüft wird», ergänzt der Capco-Experte. Hier gelte es, sicherlich stark nachzubessern – analog zu den Compliance-Programmen der vergangenen Jahre bei klassischen Finanzinstituten.

Parallelen zu früheren Fällen

Der Bybit-Fall erinnert an Hackerangriffe auf die Krypto-Dienstleister Radiant im Dezember 2023 und WazirX im März 2024 – auch damals stand Nordkorea im Verdacht. Die Schäden fielen damals jedoch viel geringer aus. Die Decentralise-Finance-Community (DeFi) war ob der Raffinesse und der langen Vorbereitung der Angriffe geschockt; die notwendigen Konsequenzen wurden aber offenbar nicht gezogen.

Der bis dato wohl grösste Kryptodiebstahl der Geschichte dürfte einen immensen Schaden nach sich ziehen. Beim Diebstahl wurden rund 9 Prozent des Gesamtvermögens der Bybit-Anleger entwendet, das sind 16 Prozent aller bisherigen Krypto-Hacks zusammen. Der Angreifer ist nun der 14. grösste Ether-Inhaber der Welt – er besitzt mehr als Fidelity, Vitalik Buterin und zwei Mal die Ethereum Foundation. Der direkte Schaden könnte sich dagegen in Grenzen halten. Bybit ist eine der grössten Krypto-Börsen und behauptet volle Zahlungsfähigkeit und dass alle Vermögenswerten 1:1 abgesichert seien, kein Kunde werde Geld verlieren.

Die Folgen für das Ökosystem

Obwohl der Diebstahl wahrscheinlich durch eine manipulierte Benutzeroberfläche und eine kompromittierte Wallet Infrastruktur ermöglicht wurde, bleibt abzuwarten, welche Folgen dieser Hack für Bybit, die Safe-Technologie, das Ether-Ökosystem sowie die Ethereum Blockchain hat.

Die Hauptbenutzeroberfläche von Safe wurde als Vorsichtsmassnahme offline genommen. «Wir sind nach wie vor zuversichtlich, dass es keine Sicherheitslücke im offiziellen Safe-Wallet-Frontend gibt, aber wenn Sie Transaktionen durchführen müssen, können Sie Ihr Safe immer noch über diese alternativen Schnittstellen verwalten», schrieb das Safe-Team auf X. Wenn die Einschätzung von Safe richtig ist, reduziert dies die Wahrscheinlichkeit einer systemischen Schwachstelle in den Smart Contracts von Safe.

Zudem: Wenn die Angreifer den Smart-Contract geknackt hätten, hätten sie sich wahrscheinlich nicht mit dem Angriff auf Bybit begnügt. Denn es gäbe noch einträglichere Ziele. Safe sichert kollektiv über 100 Milliarden Dollar an digitalen Vermögenswerten in mehr als sieben Millionen Smart Accounts. Dennoch deutet dies auf ein Sicherheitsrisiko bei der Überprüfung und Genehmigung von Safe-Transaktionen hin, insbesondere bei grossen Institutionen.

Die Schwächen eines offenen Systems

Natürlich sorgt der Vorfall für Schockwellen in der Branche – die Frage steht im Raum, ob das Krypto-Ökosystem nachhaltig geschädigt ist und welche Anpassungen nun folgen müssen. Gregor von Bergen erwartet kurz- bis mittelfristig wahrscheinlich keine Auswirkungen auf das Krypto-Ökosystem, da diese Arten der Hacks seit Jahren bestehen. «Langfristig werden sich die Spezialisten der lokalen Regulatoren sicherlich überlegen, wie die Konsumenten besser geschützt werden können. Wie erfolgreich diese Massnahmen sein werden, wird sich jedoch erst in den kommenden Jahren zeigen», so von Bergen. Da Ethereum eine offene Blockchain ist, werde dies sicherlich keine einfache Aufgabe. Das System sei anfällig, funktioniere anders als etwa der App-Store von Apple, wo eine zentrale Einheit den Code überprüft. Es müsste also etwas Automatisiertes entwickelt werden. «Vielleicht wird AI hier Linderung bringen können», so der Capco-Experte.

«Dies ist ein weiterer Wendepunkt für Kryptowährungen», schreibt Web3-Experte Marc Baumann auf Linkedin. Jedes Geschäftsleitungsmitglied, jede Aufsichtsbehörde und jeder institutionelle Akteur werde sich darauf berufen, wenn er darüber diskutiere, ob er Kryptowährungen anfassen soll. Aber es ist gemäss Baumann wichtig, sich Folgendes zu merken: Keine grosse Blockchain wurde jemals gehackt: Nicht Ethereum. Nicht Bitcoin. Nicht Solana. Die grössten Hacks der Kryptowährungen waren alle auf menschliches Versagen zurückzuführen.

Das Rad der Zeit zurückdrehen?

Wegen des Aufbaus einer Blockchain besteht theoretisch die Möglichkeit, die Transaktion ungeschehen zu machen. Man könnte alle Transaktionen bis zum Diebstahl «zurückrollen» (rollback) und den Hack rückgängig machen. Dafür kann sich Philipp Dettwiler nicht erwärmen: «Für die Ethereum-Blockchain gab es irrwitzige Diskussionen über mögliche Rollbacks – der Vorfall lässt sich jedoch nicht mit DAO Exploit von 2016 vergleichen.» Nach einem Diebstahl von Ether im Gegenwert von 150 Millionen Dollar von der dezentralen autonomen Organisation (DAO) schlug Ethereum-Gründer Vitalik Buterin eine Softfork und eine Kennzeichnung der gestohlenen Coins vor. Nachdem dies fehlschlug, wurde die Transaktionsgeschichte des Ethereum-Netzwerks auf die Zeit vor dem DAO-Angriff zurückgesetzt und die Ether der DAO einem anderen Smart Contract zugewiesen, damit die Anleger ihre Gelder abheben konnten.

Als «dümmste Idee des Jahres» bezeichnet Marc Baumen den Vorschlag für eine Rollback. Im Jahr 2016 habe der DAO-Rollback nur einen bestimmten Smart Contract mit gesperrten Fonds betroffen, bevor eine Abspaltung das Netzwerk spaltete. Aktuell befänden sich die Bybit-Gelder bereits in freier Wildbahn, würden bewegt, gehandelt und gemischt. Ein Rollback von Ethereum würde bedeuten, dass jede Transaktion seit dem Hack rückgängig gemacht würde – einschließlich legaler Trades, DeFi-Interaktionen, NFT-Verkäufe, alles.

Das macht gemäss Baumann einen Rollback unmöglich, ohne die Legitimität von Ethereum zu zerstören. Ethereum sei ein Vermögenswert von 300 Milliarden Dollar geworden. 2016 betraf der DAO-Hack 5 Prozent aller Ether, der Bybit-Hack macht 0,3 Prozent des gesamten Angebots aus. «Das gesamte Wertversprechen von Ethereum steht auf dem Spiel. Das Kernprinzip von Ethereum ist die Unveränderlichkeit», schreibt Baumann. Die grossen Validierer würden die Glaubwürdigkeit von Ethereum nicht aufs Spiel setzen.

Technologie hat nicht versagt

Philipp Dettwiller rechnet nicht damit, dass das Ethereum-Ökosystem nachhaltig geschädigt werde – eher im Gegenteil: «Technologisch hat alles wie geplant funktioniert, und in Zukunft wird das Ökosystem aus den Lessons Learned noch robuster werden.» Der Bybit-Vorfall zeigt gemäss dem Crypto-Finance-Experten die Raffinesse moderner DeFi-Hacker. «In diesem Fall hat der Angreifer wahrscheinlich die Computer der Unterzeichner mit Malware infiziert oder sie dazu verleitet, einen Phishing-Link anzuklicken, der sie dazu brachte, eine Transaktion zu autorisieren, die einen verschleierten schädlichen Inhalt enthielt. Auf diese Weise konnte der Angreifer den Schutz der Multi-Signature-Wallet des Projekts umgehen.» Prinzipiell sei an Cold Wallets nichts auszusetzen – wobei die Betroffenen nicht wirklich «cold» gewesen seien. Aber dieser Vorfall zeigt gemäss Dettwiler, dass immer das gesamte Sicherheitsdispositiv betrachtet werden muss und ein Cold Wallet allein noch nicht sicher ist.

Kursbewegung Bitcoin und Ether in Dollar, Veränderung in Prozent (Quelle: Coinmarketcap)

Von zahlreichen Beobachtern wurde die jüngste Kryptoschwäche (vgl. Chart) – erstmals sank der Bitcoin seit Wochen wieder unter 90'000 Dollar – mit dem Bybit-Hack und einem daraus entstandenen Vertrauensverlust erklärt. Doch die Korrektur ist eher auf eine allgemeine Risikoaversion der Anleger zurückzuführen, die sich auch bei US-Tech-Aktien zeigt. Zudem hat sich US-Präsident Trump in jüngster Zeit oft zu Zöllen und zum Krieg in der Ukraine geäussert und nicht mehr zu Bitcoin & Co.

Performance-Vorsprung hat andere Gründe

Gregor von Bergen glaubt nicht, dass andere Kryptowährungen, etwa Bitcoin oder Solana vom Hack profitieren könnten: «Bei Solana existiert ebenfalls das Konstrukt der Smart Contracts. Ein solcher Hack könnte also auch hier vorkommen. Obwohl Bitcoin generell als sicherer gilt, gab es in den vergangenen Jahren auch Bestrebungen, Smart-Contract-Logik auf den Layer-2 Side-Chains einzuführen. Künftig könnten solche Angriffsvektoren auch dort zum Thema werden.»

Sollten Solana und Bitcoin gegenüber Ethereum in den nächsten Monaten einen Performance-Vorteil haben, dann ist dies gemäss Capco-Experte eher das Resultat anderer Themen – wie zum Beispiel der höheren Transaktionseinnahmen bei Solana oder der institutionellen Adoption bei Bitcoin. Die eher begrenzten Preisbewegungen an den Kryptomärkten sind unter anderem darauf zurückzuführen, dass die Investoren entschädigt werden konnten – könnten aber auch als Zeichen einer zunehmenden Maturität der Branche gewertet werden.

Krypto-Börsen müssen besser werden

Wie die Experten bereits erwähnt haben, wurde keine Blockchain gehackt – einmal mehr war es menschliches Versagen bei Krypto-Plattformen, das zu Verlusten führte. Hier muss sich gemäss Gregor von Bergen etwas ändern: «Bei derart grossen Transaktion müssen mehrere Sicherheits-Checks gemacht werden, wie z.B. persönlicher Kontakt mit dem Auftraggeber der Transaktion oder auch Richtlinien zur maximalen Höhe.»

Solche feingranularen Dispositive würden heute bereits bei den meisten Banken in Zusammenhang mit der Annahme von Kundenaufträgen existieren. Hier könnten Krypto-Börsen sicherlich einiges von traditionellen Finanzunternehmen lernen. Auch die verantwortlichen lokalen Regulatoren sollten gemäss Capco-Experte verstärkt ein Auge darauf haben, da diese Art von Aktivitäten in praktisch jeder Jurisdiktion bewilligungspflichtig ist. Ein GAU dieser Grössenordnung könnte durch einen geordneten Bewilligungsprozess verhindert werden. Dies sei sicherlich im Sinne der Plattform, des Regulators und der Kunden – bei den genannten Summen könnten selbst die Riesen der Branche in Schwierigkeiten geraten.

Short cuts: News aus der digitalen Welt

SEC schliesst Untersuchung gegen Uniswap ab

Die US-Börsenaufsicht SEC scheint wie erwartet ihren Kurs punkto Krypto-Regulierung zu ändern. Gemäss einem Tweet von Uniswap hat die Behörde ihre Ermittlungen gegen die Krypto-Plattform abgeschlossen und plant keine weiteren Durchsetzungsmassnahmen gegen das Unternehmen. Uniswap bezeichnete dies als «grossen Gewinn für DeFi» (Decentralized Finance). Die Börsenaufsicht hat noch keine offizielle Ankündigung bezüglich Uniswap gemacht. Allerdings gab Coinbase am 21. Februar etwas Ähnliches bekannt. Die Kommission soll ihr Verfahren gegen die Kryptobörse nach knapp zwei Jahren nun einstellen. Das SEC soll auch die Untersuchungen gegen Robinhood Crypto und OpenSea zu den Akten legen.

In April, the SEC issued a Wells notice claiming that Uniswap Labs operated as an unregistered broker, operated an exchange, and issued an unregistered security

As of yesterday, that investigation has officially been closed, and the SEC is taking no enforcement action

This is a…

— Uniswap Labs 🦄 (@Uniswap) February 25, 2025

Vor dem Amtsantritt von US-Präsident Donald Trump berichtete die Nachrichtenagentur Reuters, dass die SEC in Erwägung ziehen würde, alle Krypto-Vollstreckungsfälle, bei denen es sich nicht um Betrug handle, im Rahmen der geänderten Politik der Regierung in Bezug auf digitale Vermögenswerte auf Eis zu legen. Die Krypto-Task-Force der SEC hat sich im Februar mit Vertretern mehrerer Krypto-Dienstleister getroffen, um mögliche Änderungen in der Regulierung digitaler Vermögenswerte zu prüfen.

Stablecoin-CEO drängt auf strengere Regulierung in den USA

Jeremy Allaire, CEO und Mitgründer von Circle, dem Emittenten von USD-Coin, drängt auf strengere Stablecoin-Regulierungen in den USA. Er fordert eine verpflichtende US-Registrierung von Stablecoin-Emittenten, um den Verbraucherschutz und die finanzielle Integrität zu verbessern. Der Vorstoss dürfte sich einerseits mit der neuen Regulierung für Stablecoins in der EU und andererseits mit der führenden Stellung des Konkurrenten Tether begründen. Laut Allaire würde eine obligatorische Registrierung den Verbraucherschutz verbessern und die finanzielle Integrität fördern.

Marktführer Tether steht unter zunehmender Beobachtung angesichts seiner Bitcoin-Bestände und seines Geschäftsmodells. Das Unternehmen hat kürzlich den Hauptsitz nach El Salvador verlegt. Der Mangel an Transparenz und regulatorischer Aufsicht ruft seit Längerem Kritik hervor. US-Regulierungsbehörden, einschliesslich der Notenbank und der CFTC, drängen auf ein strukturiertes Stablecoin-Framework. Die Finanzinstrumente spielen eine entscheidende Rolle in den digitalen Asset-Märkten und bilden eine Brücke zwischen Krypto und der traditionellen Finanzwelt. Tether ist mit einer Marktkapitalisierung von 142 Milliarden Dollar die Nummer Eins im Markt, USD-Coin folgt auf Platz zwei mit 56 Milliarden.