Binance warnt vor einer kritischen, systemweiten Sicherheitslücke im mobilen Betriebssystem iOS von Apple auf iPhone-Geräten.
Am 20. März teilte die weltweit größte Kryptowährungsbörse gemessen am Handelsvolumen mit, dass ein sehr ausgeklügelter Angriff digitale Wallets kompromittieren kann, ohne dass der Nutzer darauf tippen muss.
iOS-Sicherheitslücke: Hacker können Wallets ohne Klick leeren
Nach Angaben der Börse betrifft die Sicherheitslücke vor allem Geräte mit iOS-Versionen 18.4 bis 18.7.
„Dieses Problem betrifft keine spezielle Börsen- oder Wallet-Anwendung, sondern ist eine systemweite Schwachstelle in iOS”, so Binance in einer öffentlichen Mitteilung.
Die Börse warnt, dass der Zero-Click-Exploit automatisch ausgelöst wird, wenn Nutzer kompromittierte, aber scheinbar seriöse Webseiten besuchen. Öffnet sich der Schadcode, greift die Schadsoftware unbemerkt sensible Daten ab, darunter Zugangsdaten zu Krypto-Wallets – vollkommen ohne Interaktion der betroffenen Person.
Die Warnung von Binance erfolgt nach der jüngsten Entdeckung der „DarkSword“-Exploit-Kette durch die Google Threat Intelligence Group.
Google-Forscher stellten fest, dass DarkSword drei verschiedene schädliche Schadcode-Komponenten nutzt. Während „GhostKnife“ und „GhostSaber“ eine Hintertür schaffen und zahlreiche Daten wie Nachrichten, Standortverlauf und Aufnahmen auslesen, ist der wirtschaftlich bedrohlichste Teil „GhostBlade“.
GhostBlade wurde speziell entwickelt, um nach Kryptowährungen zu suchen. Die Schadsoftware entnimmt gezielt Seed-Phrasen, Wallet-Datenbanken und Sitzungsdaten aus wichtigen mobilen Wallet-Plattformen.
„GHOSTBLADE ist eine in JavaScript geschriebene Daten-Sammlung, die von einem kompromittierten Gerät zahlreiche Informationen abzieht und an einen vom Angreifer kontrollierten Server per HTTP(S) überträgt”, erklären Google-Sicherheitsforscher.
Im Unterschied zu klassischer, staatlich gesteuerter Spionagesoftware, die auf eine langfristige Überwachung abzielt, agiert GhostBlade als digitaler Raubzug.
Nachdem sensible Wallet-Daten abgegriffen wurden, führt die Schadsoftware ein Lösch-Skript aus, um Spuren zu verwischen. Opfer bemerken den Diebstahl meist erst, wenn die Assets von den Angreifern transferiert werden.
Die Google Threat Intelligence Group beobachtet den Einsatz von DarkSword durch mutmaßliche staatlich gesteuerte Gruppen und private Überwachungsunternehmen seit mindestens November 2025.
Im Fokus der Angriffe stehen insbesondere Ziele in Saudi-Arabien, der Türkei, Malaysia und der Ukraine.
Google berichtet, die Schwachstellen wurden an Apple weitergegeben, das Sicherheitsproblem ist inzwischen mit iOS 18.7.3 behoben.
IT-Sicherheitsexperten raten Krypto-Investoren dazu, umgehend Schutzmaßnahmen zu ergreifen, etwa indem sie Geräte auf dem neuesten iOS-Stand halten, keine unbekannten Links anklicken und regelmäßig die Zugriffsrechte von Apps prüfen.
Zudem wird empfohlen, auf dem iPhone die Zwei-Faktor-Authentifizierung und eine Auszahlungs-Whitelist für alle Finanzdienste zu aktivieren.
