Am 21. Dezember enthüllte Wang Chun, Mitbegründer von F2Pool (Fischpool), einem der größten Bitcoin-Mining-Pools der Welt, auf X seine erstaunliche Erfahrung, bei der ihm 500 BTC gestohlen wurden. Auslöser war der in der Community heiß diskutierte Vorfall des „Phishing-Angriffs auf 50 Millionen USDT“. Wang Chun zitierte die On-Chain-Nachricht, die das Opfer dem Hacker geschickt hatte, und machte sich darüber lustig, dass der Hacker sich sehr „großzügig“ verhalten habe, nur 490 Coins genommen habe und ihm 10 Bitcoin als Lebensunterhalt übrig ließ.
5000 Millionen USDT Phishing-Angriff absurde Operation
(Quelle: Wang Chun)
Dieser Vorfall, der Wang Chun zur Selbstenthüllung brachte, ist an sich eine Sicherheitskatastrophe im Wert von 50 Millionen US-Dollar. Kürzlich hat ein Wal/Institution 50 Millionen USDT von Binance abgehoben und zunächst 50 USDT an die geplante Empfangsadresse “getestet”. Das Ergebnis war, dass der Angreifer schnell eine ähnliche Adresse mit den gleichen ersten und letzten 3 Ziffern generierte und dem Opfer 0,005 USDT Dust-Token überwies.
Das Opfer hat beim offiziellen Transfer anscheinend direkt eine Adresse aus den aktuellen Transaktionsaufzeichnungen kopiert, was dazu führte, dass 50 Millionen USDT vollständig an eine ähnliche Adresse des Angreifers überwiesen wurden. Diese Angriffsart wird als “Address Poisoning” bezeichnet, bei der die Gewohnheit der Benutzer, Adressen aus Transaktionsaufzeichnungen zu kopieren, ausgenutzt wird, um ähnliche Adressen einzuschleusen und falsche Überweisungen zu provozieren.
Nach dem Angriff hat das Opfer eine on-chain Nachricht an die Hacker gesendet: „Wir haben offiziell Strafanzeige erstattet. Mit Unterstützung von Strafverfolgungsbehörden, Cybersicherheitsorganisationen und mehreren Blockchain-Protokollen haben wir eine erhebliche und spezifische Menge an Informationen über Ihre Aktivitäten gesammelt. Die Wallet-Adresse, die Sie kontrollieren, wird derzeit 24 Stunden am Tag überwacht. Dies ist Ihre letzte Chance, die Angelegenheit friedlich zu lösen. Sie werden aufgefordert, innerhalb von 48 Stunden 98 % der gestohlenen Vermögenswerte zurückzugeben; Sie können 1.000.000 USD als 'White-Hat-Bounty' für das Auffinden der Schwachstelle behalten."
Diese Verhandlungstaktik des “Zuerst Geschenke, dann Waffen” ist im Kryptobereich äußerst verbreitet. Die Opfer versuchen normalerweise zuerst, mit den Hackern zu verhandeln und bieten eine Belohnung für White-Hats im Austausch für die Rückgabe von Vermögenswerten an, da es äußerst schwierig ist, gestohlene Kryptowährungen zurückzuholen. Wenn die Hacker ablehnen, wird versucht, über Strafverfolgung und Blockchain-Analysefirma nachzuverfolgen, aber die Erfolgsquote bleibt dennoch sehr niedrig.
Die drei Phasen der Adressgiftangriffe
Erste Phase, ähnliche Adressen generieren: Angreifer verwenden Tools, um Adressen zu generieren, die in den ersten und letzten Stellen mit der Zieladresse übereinstimmen und äußerlich extrem ähnlich sind.
Zweite Phase, Staubtoken senden: Senden Sie einen sehr kleinen Betrag (z. B. 0,005 USDT) an die Adresse des Opfers, damit ähnliche Adressen in den Transaktionsaufzeichnungen erscheinen.
Dritte Phase, irreführende Fehlüberweisung: Wenn das Opfer die Adresse aus den Transaktionsaufzeichnungen kopiert, könnte es versehentlich eine ähnliche Adresse kopieren, was dazu führt, dass große Geldbeträge in die Wallet des Angreifers überwiesen werden.
Die Abwehrmethoden gegen diesen Angriff sind äußerst einfach: Überprüfen Sie bei jeder Überweisung die vollständige Adresse sorgfältig und nicht nur die ersten und letzten paar Stellen. Doch die Faulheit und Gewohnheit des Menschen führen dazu, dass dieser einfache Fehler immer wieder auftritt. Wenn der Überweisungsbetrag 50 Millionen USD erreicht, sind die Kosten für diese Nachlässigkeit katastrophal.
Wang Chun 500 Stück BTC Test der absurden Logik
Während die Community um 50 Millionen USDT trauert, hat die Selbstoffenbarung von Wang Chun, einem Mitbegründer von F2Pool, alle erschüttert. „Letztes Jahr hatte ich den Verdacht, dass mein privater Schlüssel kompromittiert wurde. Um zu überprüfen, ob die Sicherheit dieser Adresse wirklich beeinträchtigt war, habe ich 500 Bitcoins dorthin überwiesen.“ Die Absurdität dieser Handlung liegt darin, dass man, obwohl man den Verdacht hat, dass der private Schlüssel kompromittiert ist, sofort aufhören sollte, diese Adresse zu verwenden und alle Vermögenswerte zu transferieren. Wang Chun hingegen hat das Gegenteil getan und absichtlich einen großen Betrag überwiesen, um „zu testen“.
Diese Logik ähnelt: Anstatt schnell das Schloss zu reparieren, wenn man Zweifel hat, dass das Schloss zu Hause kaputt ist, legt man eine große Menge Bargeld zu Hause hin, um zu sehen, ob es gestohlen wird. Wenn es tatsächlich gestohlen wird, wird nicht nur bestätigt, dass das Schloss kaputt ist, sondern auch Vermögen verloren. Die Testmethode von Wang Chun ist aus der Sicht von Sicherheitsexperten völlig unverständlich, da sie Zweifel in Gewissheit verwandelt und potenzielle Verluste in tatsächliche Verluste.
Was mich überrascht hat, ist, dass der Hacker sich äußerst “großzügig” verhalten hat und nur 490 Coins mitgenommen hat, während er mir 10 Bitcoins für meine Lebenshaltungskosten gelassen hat. Wang Chun’s sarkastischer Tonfall ist umso erstaunlicher. 490 Bitcoins waren damals (Februar 2024) etwa 24,5 Millionen USD wert, während 10 Coins etwa 500.000 USD wert waren. Für eine gewöhnliche Person sind 500.000 USD genug, um das Schicksal zu verändern, aber in Wang Chuns Worten sind es nur “Lebenshaltungskosten”.
In Bezug auf die von Wang Chun bereitgestellte Hacker-Adresse 14H12PpQNzrS1y1ipjF4mPuVgQEpgfGA79 wurde nach Verfolgung der historischen Aufzeichnungen festgestellt, dass am 12. Februar 2024 tatsächlich relevante Transaktionsaufzeichnungen stattfanden. Dies bestätigt, dass Wang Chuns Aussagen nicht falsch sind, es handelt sich nicht um eine erfundene Geschichte, sondern um einen tatsächlich eingetretenen erheblichen Verlust. Allerdings hat Wang Chun selbst keine weiteren Erklärungen zu diesem Vorfall gegeben, weder wie er den Verdacht eines privaten Schlüssellecks äußert, noch ob er Anzeige erstattet hat und verfolgt wird, noch erklärt er, warum er sich für eine so absurde Testmethode entschieden hat.
Die Welt der Reichen und die blutigen Lektionen der Sicherheit von Private Keys
Wang Chunyun gibt in aller Gelassenheit zu, was alle in der Community dazu bringt, zu seufzen: “Die Welt der Reichen ist wirklich nicht etwas, mit dem gewöhnliche Menschen mitfühlen können.” F2Pool, als eines der größten Bitcoin Mining Pools der Welt, hat tatsächlich einen Reichtum geschaffen, der die Vorstellungskraft der meisten Menschen übersteigt. Doch diese Haltung von “25 Millionen USD Verlust und trotzdem fröhlich plaudern” ist für gewöhnliche Investoren sowohl beneidenswert als auch warnend.
Bewundernswert ist der Zustand der finanziellen Freiheit. Wenn dein Vermögen die Lebensbedürfnisse bei weitem übersteigt, ist ein Verlust von 25 Millionen USD zwar schmerzhaft, aber nicht tödlich. Wang Chun kann so gelassen sein, was darauf hindeutet, dass sein Gesamtvermögen möglicherweise bei mehreren hundert Millionen USD liegt, und der Verlust von 490 BTC ist nur ein kleiner Teil seines Vermögens. Diese finanzielle Freiheit ermöglicht es ihm, Risiken und Verluste zu tragen, die für gewöhnliche Menschen unvorstellbar sind.
Die Warnung betrifft die Brutalität der Sicherheit von privaten Schlüsseln. „Not your keys, not your coins“ (Private Keys nicht in Händen, Coins gehören nicht dir) ist eine eiserne Regel im Krypto-Bereich. Sobald der private Schlüssel kompromittiert ist, spielt es keine Rolle, ob du ein Milliardär oder ein normaler Investor bist, deine Vermögenswerte werden sofort auf null fallen. Noch schlimmer ist, dass Kryptowährungs-Transaktionen unumkehrbar sind, keine Bank kann sie einfrieren, kein Gericht kann sie zurückholen, und nachdem sie von Hackern entwendet wurden, ist es nahezu unmöglich, sie zurückzuerlangen.
Der Fall von Wang Chun offenbart mehrere wichtige Lehren. Erstens, wenn der Verdacht auf einen Schlüsselverlust besteht, sollte man die entsprechende Adresse sofort deaktivieren und die Vermögenswerte auf eine neue Adresse transferieren, anstatt einen großen Betrag zur Testüberweisung zu verwenden. Zweitens muss das Schlüsselmanagement Sicherheitsmaßnahmen wie Multisignaturen, Hardware-Wallets und die Trennung von heißen und kalten Wallets umfassen, da das Risiko eines einzelnen Schlüssels zu hoch ist. Drittens, selbst Branchenexperten wie die Mitgründer von F2Pool können in Sicherheitsfragen fatale Fehler machen, niemand kann sich sicher fühlen.
Für normale Investoren bietet diese Geschichte eine äußerst wertvolle, aber kostspielige Lektion. Bei Verdacht auf einen Schlüsselverlust sollten Sie umgehend: die Nutzung dieser Adresse einstellen, die Vermögenswerte auf eine neue Adresse übertragen (nach einem kleinen Test erst größere Beträge), alle möglichen Leckagen überprüfen (Computer-Viren, Phishing-Websites, Social Engineering), in Erwägung ziehen, Anzeige zu erstatten und professionelle Sicherheitsfirmen um Hilfe zu bitten. Auf keinen Fall sollten Sie wie Wang Chun große Beträge zur “Testung” überweisen, da Sie möglicherweise nicht über die finanziellen Mittel verfügen, um Verluste zu tragen.
Die “großzügige” Handlung des Hackers, 10 BTC zu hinterlassen, ist ebenfalls eine Analyse wert. Dies könnte eine psychologische Taktik des Hackers sein: Das vollständige Leeren könnte das Opfer wütend machen und dazu bringen, ohne Rücksicht auf die Kosten zu verfolgen, während das Hinterlassen eines kleinen “Lebensunterhalts” das Opfer dazu bringen könnte, sich mit der Situation abzufinden. Für Wang Chun, der über Vermögenswerte in Höhe von mehreren hundert Millionen verfügt, ist der Verlust von 490 BTC zwar schmerzhaft, aber es lohnt sich nicht, viel Zeit und Energie mit der Verfolgung zu verschwenden. Der Hacker hat dieses psychologische Spiel genau verstanden, indem er den Großteil der Vermögenswerte genommen und das Risiko einer umfassenden Verfolgung verringert hat.
Dieser Vorfall steht im Gegensatz zu einem Phishing-Angriff auf 50 Millionen USDT. Im ersten Fall hat das Opfer versehentlich eine falsche Adresse kopiert, im zweiten Fall hat das Opfer, trotz Kenntnis der Risiken, aktiv überwiesen. Die Gemeinsamkeit beider Fälle ist: Menschliches Versagen ist die größte Ursache für den Verlust von Krypto-Assets, weit mehr als Hacks von Börsen oder Sicherheitslücken in Smart Contracts. So fortschrittlich die Technologie auch sein mag, sie kann nicht gegen menschliche Nachlässigkeit und die Hoffnung auf Glück schützen.
Für die Krypto-Industrie warnen diese Fälle alle Teilnehmer: Die Sicherheit des Private Keys ist eine lebenswichtige Grundfertigkeit. Egal, ob Sie 0,1 BTC als Kleinanleger oder 500 BTC als Wal halten, sobald der Private Key offengelegt oder an die falsche Adresse gesendet wird, sind die Folgen unwiderruflich. In dieser Welt, in der “Code das Gesetz ist”, gibt es kein Heilmittel für Bedauern, der einzige Schutz besteht darin, vor jeder Transaktion mehrmals zu überprüfen, misstrauischer zu sein und vorsichtiger zu handeln. Wang Chuns 25 Millionen Dollar Schulgebühr hat der gesamten Branche eine teure, aber tiefgreifende Sicherheitslektion erteilt.
