Böse Überraschung
Per Foreneintrag informierte der Marketing Manager von Dash, Michael Seitz, dass das Online-Wallet „MyDashWallet“ Ziel eines Angriffs war. Dem Hacker war es gelungen die Private Keys der Nutzer abzufangen.
Auf Details und Ursachen ging Seitz zunächst nicht ein. Die Situation ist allerdings nicht entschärft. Es sind alle Nutzer der Plattform betroffen, sofern sie zwischen dem 13. Mai und dem 12. Juli genutzt wurde. Das bedeutet, dass die User auch dann einen neuen Key brauchen, wenn sie gar keine Kryptowährung zu dem Zeitpunkt auf ihm hielten.
Sollten Sie betroffen sein und den Wallet in dem Zeitraum in irgendeiner Form genutzt haben, dann verwenden sie die Private Keys unter keinen Umständen. Denn der oder die Täter können auch auf zukünftige Transaktionen zugreifen.
Verräterischer Code
Die Ursache für den Vorfall lässt sich auf den April 2018 zurückdatieren. Zu diesem Zeitpunkt wurde MyDashWallet so modifiziert, dass es ein externes Script von der Seite GreasyFork nachlud.
Der oder die Täter kompromittierten den Account des Autors dieses Scripts, modifizierten es und luden so schadhaften Code auf die Seite. Da MyDashWallet kein externes Audit erhielt, fiel diese Lücke nicht auf.
Erst als damit begonnen wurde Nutzerkonten leerzuräumen wurde die Attacke bemerkt. Dann war es allerdings zu spät. Wie hoch der Schaden insgesamt ist, lässt sich zurzeit noch nicht präzise schätzen.
Bitterer Verlust
Die Situation ist für die Betroffenen besonders schlimm, weil sie auch dann davon betroffen sein können, wenn sie ihrerseits alle Sicherheitsstandards eingehalten haben. Der Vorfall zeigt, wie wichtig Audits sind und das Wissen um alle verbundenen Risiken.
Zwar hält das Webwallet niemals die Private Keys, aber es muss eine Schnittstelle zu den lokal gespeicherten Keys bilden. Diese Brücke ist immer ein Schwachpunkt und kann Ziel eines Angriffs sein.
Wer Verluste erlitten hat, der kann sich in dem Foreneintrag melden. Die Daten werden durch das Team von Dash an die Ermittlungsbehörden weitergeleitet.
