Poly Network – Krypto-Klau? Laut CipherTrace, einer Krypto-Verfolgungs-Firma aus Kalifornien, kamen dieses Jahr bis einschließlich April 2021 bereits Kryptowährungen im Wert von insgesamt 368 Millionen Euro durch Diebstähle, Hackerangriffe und Betrügereien abhanden.

Doch, was in der Nacht zum 10. August 2021 bei Poly Network in Amerika geschah, setzte der Kryptowelt die kriminelle Krone auf.

Erst am 23. Juni 2021 hatte John Wang, Gründungsmitglied von Poly Network, in einem öffentlichen Workshop mit Dr. Marcel Cure von AnyswapNetwork und Jack Luvon Chainswap diskutiert: „Was sind unsere Verteidungsmöglichkeiten“ gegen Hacks, die mit der Geburt von Flashloans (unbesicherten Krediten) vermehrt auftreten? © Twitter.com/polynetwork vom 22. Juni 2021

Erst am 23. Juni 2021 hatte John Wang, Gründungsmitglied von Poly Network, in einem öffentlichen Workshop mit Dr. Marcel Cure von AnyswapNetwork und Jack Lu von Chainswap diskutiert: „Was sind unsere Verteidungsmöglichkeiten“ gegen Hacks, die mit der Geburt von Flashloans (unbesicherten Krediten) vermehrt auftreten? © Twitter.com/polynetwork vom 22. Juni 2021

Hacker haben nun bei einem Onlinediebstahl mehr als eine halbe Milliarde Euro von der US-amerikanischen Token-Tauschplattform Poly Network erbeutet. Das Gemeinschaftsprojekt von Ontology und Neo, jeweils aus Shanghai in China, und Switcheo aus Singapur musste eingestehen, dass Hacker sämtliche Sicherheitsmaßnahmen überwinden konnten und die Einlagen von zehntausenden Kunden auf fremde Konten umgeleitet hatten – die Schattenseite einer „Welt ohne Bargeld“.  Doch möglicherweise erhält die Plattform alles zurück.

Verschiedene Blockchains betroffen

Die Hacker erbeuteten „Cryptonews“ zufolge 273 Millionen Dollar (rund 233 Millionen Euro) von Ethereum – die dazugehörige Devise Ether ist nach Bitcoin die zweitgrößte Kryptowährung -, rund 253 Millionen Dollar (rund 216 Millionen Euro) aus der Binance Smart Chain und rund 85 Millionen Dollar (rund 72 Millionen Euro) aus dem Polygon-Netzwerk. Das zeigten die Blockchain-Daten aus den jeweiligen Netzwerken.

Das Unternehmen selbst und auch viele Nutzer in der Krypto-Community sprachen vom größten Krypto-Diebstahl der Geschichte.

Tan Yuan, der technische Leiter von Poly Network, wurde als Vertreter der kettenübergreifenden Technik eingeladen, an der Podiumsdiskussion von @Jinse_Finance "Together for The Innovation Conference" teilzunehmen und teilte seine Ansicht über den Anstieg des #DeFi & #NFT Markthandels (DeFi = dezentralisierte Finanzen, NFT = nicht austauschbare Token). © Twitter.com/polynetwork vom 12.April 2021

Tan Yuan, der technische Leiter von Poly Network, wurde als Vertreter der kettenübergreifenden Technik eingeladen, an der Podiumsdiskussion von @Jinse_Finance „Together for The Innovation Conference“ teilzunehmen und teilte seine Ansicht über den Anstieg des #DeFi & #NFT Markthandels (DeFi = dezentralisierte Finanzen, NFT = nicht austauschbare Token). © Twitter.com/polynetwork vom 12.April 2021

Poly Network forderte die Diebe sofort nach dem Hack via Twitter zur Rückgabe auf.

„Liebe Hacker“, schrieb Poly Network. „Wir möchten mit euch in Verbindung treten und euch auffordern, die von euch gehackten Vermögenswerte zurückzugeben.“

Die Firma fuhr fort: „Die Behörden eines jeden Landes werden eure Missetaten als schweres Wirtschaftsverbrechen betrachten und ihr werdet strafrechtlich verfolgt.“ Die Hacker sollten mit der Firma sprechen, „um eine Lösung zu finden“.

Poly Network rief andere Unternehmen in der Branche einstweilen auf, sogenannte Token der Blockchains Ethereum, Binance Chain und des Netzwerks Polygon zu meiden.

Mit einem Teil-Erfolg.

Binnen 24 Stunden flossen Token im Wert von 222 Millionen Euro zurück. Ob der gestohlene Rest noch folgt, ist ungewiss. Es ist unklar, wohin die restlichen Gelder geflossen sind.

Ein “White Hat“ bekannte sich und behauptete, ein ethischer Hacker zu sein.

Laut dem Blockchain-Forensik-Unternehmen Chainalysis  habe eine Person, die behauptet, den Hack durchgeführt zu haben, gesagt, dass sie einen „Fehler“ entdeckt habe, ohne dies näher zu spezifizieren, und dass sie „die Schwachstelle aufdecken“ wolle, bevor andere sie ausnutzen könnten, so die von Chainalysis veröffentlichten digitalen Nachrichten im Ethereum-Netzwerk. Reuters konnte die Authentizität der Nachrichten nicht überprüfen.

Obwohl sich der angebliche Hacker als sogenannter „White Hat“ ausgab, ein ethischer Hacker, der die Schwachstelle für Poly Network identifizieren wollte und laut den von Chainalysis veröffentlichten Nachrichten „immer“ vorhatte, das Geld zurückzugeben, sind einige Krypto-Experten skeptisch.

Gurvais Grigg, Chief Technology Officer bei Chainalysis und ehemaliger FBI-Veteran, sagte, es sei unwahrscheinlich, dass White-Hat-Hacker eine so große Summe stehlen würden. Er sagte, sie hätten wahrscheinlich einen Teil der Gelder zurückgegeben, weil es sich als zu schwierig erwiesen habe, sie in Bargeld umzuwandeln.

Wo war die Schwachstelle?

Poly Network gab an, dass renBTC, wrapped Bitcoin (WBTC) und wrapped Ether (WETH) bei diesem Angriff verwickelt waren. Dabei sei eine Schwachstelle zwischen Contract Calls ausgenutzt worden – sprich: es gab eine Angriffsmöglichkeit im Chain-übergreifenden Protokoll von Poly Network, das eigentlich für eine sichere Übertragung von Vermögenswerten über verschiedene Blockchains hinweg sorgen soll.

Poly Network arbeitet mit den Blockchains Binance Smart Chain, Ethereum und Polygon. Die Token werden zwischen den Blockchains mithilfe eines intelligenten Vertrags ausgetauscht, der Anweisungen enthält, wann die Vermögenswerte an die Gegenparteien freigegeben werden sollen.

Einer der Smart Contracts, die Poly Network für den Transfer von Token zwischen den Blockchains verwendet, hält große Mengen an Liquidität vor, um den Nutzern einen effizienten Tausch von Token zu ermöglichen, so das Krypto-Informationsunternehmen CipherTrace.

Poly Network twitterte am 10. August 2021, dass eine vorläufige Untersuchung ergab, dass die Hacker eine Schwachstelle in diesem intelligenten Vertrag ausnutzten.

Laut einer Analyse der Transaktionen, die von Kelvin Fichter, einem Ethereum-Programmierer, getwittert wurde, schienen die Hacker die Vertragsanweisungen für jede der drei Blockchains außer Kraft zu setzen und die Gelder an drei Wallet-Adressen, digitale Speicherorte für Token, umzuleiten. Diese wurden später zurückverfolgt und von Poly Network veröffentlicht.

Poly Network bat die Branche um Hilfe.

In einer Serie von Tweets rief die auf den systemübergreifenden Transfer von Kryptowährungen spezialisierte Firma andere Unternehmen der Branche auf, sogenannte Token, die von bestimmten Adressen ausgehen, vom Handel auszuschließen. Poly Network schreibt diese Adressen offenbar den Tätern zu und versucht auf diese Weise zu verhindern, dass diese die gestohlenen Geldbeträge auf eigene Konten verschieben oder in herkömmliche Währungen umwandeln können.

Einige Anbieter begannen umgehend damit, die Geldströme auf entsprechende Transfers hin zu überwachen. Der CEO der Blockchain-Plattform Tether erklärte, seine Firma habe bereits Kryptowährungen im Wert von 33 Millionen Dollar (28,12 Millionen Euro), die aus dem Hack stammen, eingefroren.

Warum bekamen die Hacker möglicherweise kalte Füße?

Oxford-Physik-Doktor Tom Robinson, Mitgründer der Krypto-Forschungsfirma Elliptic, erklärte die Rückgabe damit, dass die Geldwäsche bei einem so großen Betrag in Kryptowährungen ausgesprochen schwierig sei. Dr. Robinson machte dafür die Transparenz der zugrundeliegenden Blockchain-Technologie verantwortlich.

Vermutlich hat die Blockchain-Sicherheitsfirma Slowmist einen erheblichen Anteil daran, dass die Täter sich reumütig zeigen und die erbeuteten Krypto-Assets so schnell wieder zurückgeben. Denn nur wenige Stunden, nachdem der Einbruch bei Poly Network öffentlich geworden war, meldeten die Sicherheitsforscher einen ersten Erfolg bei der Fahndung nach den Tätern. Sie gaben an, E-Mail-Adressen und IP-Adressen der Hacker identifiziert zu haben, dazu einen Device-Fingerprint.

Aber das Unternehmen hat noch keine Namen genannt. SlowMist sagte, dass der Diebstahl „wahrscheinlich ein von langer Hand geplanter, organisierter und vorbereiteter Angriff“ war.

Eine heiße Fährte führte wohl über die wenig bekannte chinesische Krypto-Börse Hoo, aber auch auf anderen Plattformen fanden sich Spuren, die eine Rückverfolgung ermöglichten. Bislang behält Slowmist die gefundenen Daten jedoch für sich – die Hacker haben also die Chance, unerkannt zu bleiben, wenn sie die gesamte Beute zurückgeben.

Wer genau steckt hinter Poly Network?

Laut der US-amerikanischen Krypto-Website Coindesk wurde Poly Network von den Gründern des chinesischen Blockchain-Projekts NEO (gemeinnützige Organisation) ins Leben gerufen.

Was ist NEO Blockchain?

Das Blockchain-Projekt NEO wird gerne als „Ethereum Chinas“ bezeichnet. Zunächst im Jahr 2014 als AntShares (ANS) gestartet, folgte Mitte 2017 die Umbenennung in NEO (NEO).

Die beiden NEO-Gründer Da Hongfei und Erik Zhang wollen eine sogenannte Smart Economy aufbauen.

Dies bedeutet: Auf der NEO Blockchain sollen digitale Assets (Dokumente, Spiele, Kryptowährungen et cetera) sowie digitale Identitäten und smarte Verträge dezentral verwaltet werden. Damit werden digitale Assets ähnlich wie bei Ethereum über sogenannte Smart Contracts gemanagt.

Die Grundidee dahinter: Auf NEO sollen Privatnutzer die Blockchain weitgehend kostenlos nutzen können, während Unternehmen für das Aufsetzen und Ausführen von Smart Contracts zahlen müssen.

Was ist Ontology?

Ontology wurde 2017 von einem chinesischen Unternehmen namens OnChain gegründet, das von den Gründern Erik Zhang und Da HongFei geleitet wird. OnChain hatte großen Erfolg in der Kryptowährungsbranche, da sie auch die Gründer hinter der NEO-Blockchain waren, die jetzt ein Multi-Milliarden-Dollar-Projekt ist. Im Wesentlichen wurde Ontology als Möglichkeit für Unternehmen jeder Größe geschaffen, die Blockchain-Technologie in ihrem Unternehmen zu installieren, ohne dass sie alle ihre aktuellen Systeme komplett ändern müssen.

Der Zweck des Ontology-Frameworks besteht darin, dass es nicht als eine einzige Blockchain funktionieren soll. Stattdessen wird die Technologie es Unternehmen ermöglichen, sowohl eine private als auch eine öffentliche Blockchain in vollem Umfang zu nutzen. Jede einzelne Datentransaktion wird in einer dezentralen Umgebung bestätigt, was bedeutet, dass keine einzelne Person oder Behörde die Kontrolle über das Netzwerk übernehmen kann.

Was ist Switcheo?

Switcheo wurde am 12. Februar 2018 gegründet und ist eine dezentrale Börse mit Sitz in Singapur. Sie unterstützt derzeit 60 Cross-Chain-Paare und den außerbörslichen OTC-Handel („über den Tresen“, Telefonhandel) und ist von der Singapore Fintech Association als Blockchain- und Distributed-Ledger-Anbieter zertifiziert.

Kryptowährungen waren ursprünglich als alternative Zahlungsmittel zu dem von den Zentralbanken herausgegebenen und nicht an den Preis eines Rohstoffs gebundenen „Fiat“-Geld gedacht. Sie dienen heute in erster Linie als Spekulationsobjekt und Geldanlage.

Laut einem Bericht der Frankfurter Allgemeinen Zeitung wird der Diebstahl von Kryptowährungen unter Hackern immer beliebter. So erbeuteten nach Angaben eines chinesischen Sicherheitsunternehmens Cyber-Kriminelle seit 2012 insgesamt 1,2 Milliarden Dollar (1,02 Milliarden Euro) durch den Hack von Blockchains.

Nicht jeder dieser Vorfälle ist medial so präsent wie der jüngste Coup gegen Poly Network.

Weitgehend unnotiert blieb zuletzt eine Meldung der Polizei aus dem Rheinisch-Bergischen Kreis: Diese berichtete, dass Unbekannte sich Ende Juli 2021 Zugriff auf das Kryptowährungskonto eines 34-Jährigen aus Bergisch-Gladbach verschafft hatten und Kryptowährungen im Wert von 390.000 Euro erbeuteten. Auch hier sind die Täter bislang unbekannt. (FM)