Mehr als 500 Ethereum-Wallets, von denen viele seit Jahren inaktiv waren, wurden in einem koordinierten Angriff ausgeräumt, der zu etwa 800.000 US-Dollar Verlusten führte; die gestohlenen Mittel wurden anschließend über das Cross-Chain-Protokoll ThorChain gewaschen, so On-Chain-Ermittler. Der Vorfall sticht insbesondere wegen des Alters der betroffenen Wallets heraus: Einige waren bis zu sieben Jahre lang inaktiv. Analysten stellten fest, dass der Angreifer Wallets ohne aktuelle Aktivität ins Visier nahm, was Bedenken hinsichtlich latenter Schwachstellen im Zusammenhang mit älteren Key-Management-Praktiken oder zuvor kompromittierten Zugangsdaten aufkommen ließ.
Angriffsziele: Ruhende Wallets im großen Stil
On-Chain-Daten zeigen, dass ein koordiniertes Set von Adressen systematisch Gelder aus Hunderte von Wallets über einen kurzen Zeitraum abgezogen hat. Die betroffenen Wallets hielten Ether und andere Tokens, wobei die einzelnen Guthaben im Allgemeinen eher bescheiden waren.
Forscher beobachteten, dass viele der kompromittierten Wallets zwischen vier und acht Jahren zuvor erstellt wurden, was darauf hindeuten könnte, dass ältere Speicherverfahren oder offengelegte private Schlüssel eine Rolle gespielt haben. In einigen Fällen berichteten betroffene Nutzer von keiner jüngsten Interaktion mit dezentralen Anwendungen oder verdächtigen Contracts, was die Unklarheit darüber verstärkt, wie der Zugriff erlangt wurde.
Der Angreifer hat nicht jedes Wallet vollständig geleert, weshalb Analysten erwägen, ob die Aktion eine gezielte Auswahl basierend auf Schwellenwerten beim Kontostand oder Extraktionsstrategien beinhaltete, die darauf ausgelegt waren, eine Entdeckung zu vermeiden.
Unklarer Angriffspfad
Einer der bedeutendsten Aspekte des Vorfalls ist das Fehlen eines bestätigten Einstiegspunkts. Im Gegensatz zu gängigen Wallet-Ausbuchungen, die mit Phishing-Links oder bösartigen Freigaben zusammenhängen, wurde dieser Angriff bisher noch keinem spezifischen Exploit-Mechanismus zugeordnet.
Sicherheitsforscher haben mehrere mögliche Erklärungen genannt, darunter kompromittierte private Schlüssel, Schwachstellen in veralteter Wallet-Software oder Zugangsdaten, die in früheren Datenleaks offengelegt wurden und erst kürzlich ausgenutzt wurden.
Das gezielte Vorgehen gegen inaktive Wallets hat die Besorgnis verstärkt, weil solche Adressen häufig als sicherer gelten, gerade wegen ihrer fehlenden Interaktion mit neueren Protokollen. Das Ereignis stellt diese Annahme infrage und macht die Risiken deutlich, die mit einer langfristigen Speicherung ohne periodischen Key-Rotation einhergehen.
Gelder über ThorChain geleitet, um die Spur zu verwischen
Nach dem Diebstahl leitete der Angreifer die Mittel über ThorChain, ein dezentrales Cross-Chain-Liquiditätsprotokoll, das Asset-Swaps über mehrere Blockchains hinweg ermöglicht, ohne zentrale Intermediäre. Ermittler sagten, dass Teile des gestohlenen Ethers in andere Assets umgewandelt wurden, um die Nachverfolgung zu erschweren. Die Nutzung von Cross-Chain-Infrastruktur und Asset-Swapping ist eine gängige Taktik bei Krypto-Exploits: Sie fragmentiert Transaktionsspuren und reduziert die Nachvollziehbarkeit.
Sicherheitsimplikationen und Empfehlungen
Der Vorfall unterstreicht anhaltende Schwachstellen in Self-Custody-Systemen, insbesondere bei Wallets, die in früheren Phasen des Krypto-Ökosystems erstellt wurden. Während sich die Branche weiterentwickelt, können ältere Wallets auf veralteten Sicherheitsannahmen oder Tools basieren, die heute nicht mehr als Best Practice gelten.
Sicherheitsanalysten haben gewarnt, dass inaktive Wallets zu Zielen werden können, wenn private Schlüssel durch schwache Entropie, kompromittierte Geräte oder historische Leaks offengelegt wurden. Das aktuelle Ereignis hebt die Bedeutung proaktiver Sicherheitsmaßnahmen hervor, darunter das Migrieren von Geldern auf neu generierte Wallets und das Aktualisieren der Speicherpraktiken.
Obwohl die finanzielle Auswirkung im Vergleich zu größeren DeFi-Exploits relativ begrenzt ist, hat der Charakter des Angriffs aufgrund seiner ungewöhnlichen Zielstrategie und der unklaren technischen Ursache viel Aufmerksamkeit auf sich gezogen. Für Marktteilnehmer bestärkt der Vorfall die Bedeutung von Wallet-Hygiene und Key-Management, während Angreifer ihre Methoden weiterentwickeln.
Ermittler analysieren weiterhin Transaktionsmuster, um die Kernursache zu ermitteln. Ein klareres Verständnis des Exploits kann zukünftige Sicherheitsempfehlungen beeinflussen und helfen, ähnliche Vorfälle zu verhindern. Der Angriff ist auch eine Erinnerung: Inaktivität allein garantiert in Krypto keine Sicherheit, und selbst lange stillgelegte Assets können in einer zunehmend komplexen Bedrohungslandschaft zum Ziel werden.
