Coinspect hat die Ill Bloom-Sicherheitslücke veröffentlicht. Dabei handelt es sich um einen Fehler in Krypto-Wallets, der schwache Wiederherstellungsphrasen auf mehreren Blockchains erzeugte. Angreifer nutzten diese Schwachstelle am 27. Mai aus und räumten 431 Wallets mit etwa 3,1 Millionen USD leer.
Coinspect konnte den Fehler auf einen unsicheren Pseudozufallszahlengenerator zurückführen, der bei der Wallet-Erstellung verwendet wurde. Die Schwachstelle betrifft mehrere Blockchains, darunter Bitcoin (BTC), Ethereum (ETH) und Solana (SOL).
Wie die Ill Bloom-Sicherheitslücke Krypto-Wallets gefährdet
Laut Coinspect führte der fehlerhafte Generator dazu, dass Wiederherstellungsphrasen mit deutlich geringerer kryptografischer Stärke als vorgesehen erstellt wurden. Dadurch können Angreifer sämtliche mögliche Phrasen rekonstruieren und jede Wallet-Adresse mit Guthaben leeren.
Die Forscher stellten den Angriff vollständig nach. Sie leiteten alle Adressen ab, die mit den schwachen Phrasen erzeugt werden konnten, und verglichen diese mit öffentlichen Blockchains auf Wallets mit Guthaben. Betroffene Adressen stammen teilweise aus dem Jahr 2018, meist von weniger bekannten mobilen Kryptowährungs-Wallets.
Nutzer sollen ihre bisherigen Wallet-Adressen prüfen. Nutzer von Hardware-Wallets sind nicht betroffen. Anfang dieses Jahres gab Binance eine kritische iOS-Warnung für mobile Nutzer heraus.
Koordinierter Angriff am 27. Mai leerte 431 Wallets
Laut Analyse von Coinspect umfasst die überwachte Gruppe 2.114 Wallets mit Guthaben auf Bitcoin, Ethereum, Tron, Rootstock und Polygon. Am 27. Mai wurden die betroffenen Konten innerhalb weniger Stunden zu einigen gemeinsamen Sammeladressen transferiert.
Bitcoin war mit 2,57 Millionen USD am stärksten betroffen. Ein einzelnes Konto verlor über 1,1 Millionen USD. Historisch betrachtet hielt die betroffene Gruppe bis zu 12,56 Millionen USD, am Höhepunkt im April 2022.
Das Unternehmen sieht die Summe von 3,1 Millionen USD als Untergrenze an, da immer wieder neue betroffene Konten entdeckt werden. Zudem verschärft diese Attacke die massiven Kryptodiebstahl-Verluste in diesem Jahr, die alleine im Januar über 400 Millionen USD erreichten.
Kompromittierte Schlüssel führen zu schnellem Wertverlust, wie etwa der Private-Key-Zwischenfall beim Humanity Protocol zeigte. Auch frühere Vorfälle wie „Milk Sad” hatten ihre Ursache in derselben Art von schwacher Zufallsgenerierung.
Wie Krypto-Nutzer ihr Geld schützen können
Coinspect hat einen Checker veröffentlicht, der öffentliche Adressen mit den bekannten betroffenen Daten vergleicht. Allerdings gilt: Ein negatives Ergebnis ist kein sicherer Nachweis, da der Datensatz unvollständig ist.
Betroffene Nutzer sollten eine neue Wallet erstellen und ihre Guthaben darauf übertragen. Wenn sie die alte Phrase in eine andere App importieren, bleibt das Geld weiterhin gefährdet.
Gleichzeitig nutzen Betrüger Situationen wie diese aus. Das zeigte ein Fake-Airdrop-Diebstahl auf Hyperliquid. Coinspect betonte, dass sie niemals Geheimnisse abfragen werden.
„Wir werden niemals nach Seed Phrases, Private Keys, Signaturen oder Freigaben fragen oder Nutzer auffordern, Geld zu senden, um eine Wallet zu ‚retten‘ oder zu schützen.”
Wallet-Anbieter arbeiten weiter an sichereren Standards, zum Beispiel mit Ethereums neuem Clear Signing Standard. In den nächsten Tagen wird sich zeigen, welche Apps die schwachen Phrasen erzeugten. Bis dahin bleibt das Verschieben von Krypto-Guthaben von betroffenen Adressen die einzige verlässliche Lösung.









