Krypto-Investor verliert innerhalb von 46 Stunden 800.000 Dollar aus seinen Wallets

Ein Krypto-Investor, bekannt unter dem Namen „Sell When Over“, wandte sich via Twitter an seine Follower, um einen alarmierenden Vorfall zu schildern: Innerhalb von nur 46 Stunden hatte ein Hacker 800.000 US-Dollar aus seinen Krypto-Wallets gestohlen. Das Hauptproblem scheint eine mögliche Google Chrome zu sein, die möglicherweise durch verzögerte Updates oder unentdeckte Malware ausgenutzt wurde und zur unautorisierten Installation schädlicher Erweiterungen führte.

Die Entschlüsselung von Sicherheitsschichten

Sell ​​When Over berichtete, wie er ein Chrome-Update aufgeschoben hatte, nur um dann durch ein nachfolgendes Windows-Update dazu gezwungen zu werden. Nach dem Neustart waren die Änderungen in Chrome sofort sichtbar: Tabs waren verschwunden und die Anmeldedaten für Erweiterungen zurückgesetzt. Diese Anomalie zwang ihn, seine Wallet-Seeds neu zu importieren – ein Vorgang, den er sorgfältig von einem zweiten, nicht kompromittierten Gerät aus durchführte.

Die Entdeckung zweier verdächtiger Erweiterungen, „Sync Test Beta“ und „Simple Game“, in Verbindung mit einer ungebetenen Aktivierung der automatischen koreanischen Übersetzung, deutete jedoch auf einen schwerwiegenderen Sicherheitsvorfall hin. Interessanterweise blieb eine bestimmte Wallet-App, die vom erneuten Importprozess verschont geblieben war, unbeeinträchtigt, was den Ursprung des Sicherheitsverstoßes auf einen einzigen kompromittierten PC zurückführte.

Weitere Untersuchungen dieser Erweiterungen brachten alarmierende Funktionen ans Licht. Die auffällig farbige Erweiterung „Sync Test Beta“ wurde als Keyloggerdent, der heimlich Daten an ein externes PHP-Skript übertrug. „Simple Game“ hingegen schien die Aktivitäten in Browser-Tabs zu überwachen. Sell When Over bedauerte im Nachhinein, dass es nicht ratsam war, den gesamten PC bei der geringsten Auffälligkeit komplett neu aufzusetzen, insbesondere wenn solche Besonderheiten mit wichtigen Updates wie der Überarbeitung der Chrome-Benutzeroberfläche zusammenfallen.

Eine teure Lektion in digitaler Wachsamkeit

Im Zuge der Verbreitung des Threads deckte Sell When Over eine gravierende Sicherheitslücke auf: einen Google-Login-Hack, der mit einem unbekannten Windows-Gerät in Verbindung stand. Möglicherweise wurde ein bekannter Gerätename trac, um eine frühzeitige Erkennung zu umgehen. Der Hackerangriff führte zu einem VPS von Kaopu Cloud, einem in Hackerkreisen berüchtigten Anbieter, der in diverse Cyberkriminalität verwickelt ist. Obwohl die Zwei-Faktor-Authentifizierung (2FA) aktiviert war, konnte der Angreifer diese umgehen. Die genaue Angriffsmethode – von OAuth-Phishing bis hin zu Cross-Site-Scripting – bleibt daher Spekulation.

Derdent wirkte wie ein brutaler Weckruf, und Sell When Over teilte mehrere wichtige Erkenntnisse mit:

1. Enttäuschung darüber, dass Bitdefender keinerlei Bedrohungen erkennen konnte, im Gegensatz zur Effektivität von Malwarebytes.
2. Eine Warnung vor Selbstzufriedenheit in Sicherheitsfragen, unabhängig vom Umfang der verarbeiteten Kryptowährungen.
3. Ein dringender Ratschlag, unter keinem Vorwand Seed-Phrasen einzugeben, stattdessen wird eine Neukonfiguration des Systems empfohlen.
4. Ich verlasse Chrome und wechsle zu sichereren Browsern wie Brave.
5. Die Bedeutung der Gerätetrennung, insbesondere bei Kryptotransaktionen.
6. Regelmäßige Überwachung der Google-Aktivitätsbenachrichtigungen.
7. Es wird empfohlen, die Synchronisierung von Erweiterungen zu deaktivieren, insbesondere auf Geräten, die für Kryptografie vorgesehen sind.
8. Ein Eingeständnis der Grenzen der Zwei-Faktor-Authentifizierung.
9. Die Notwendigkeit regelmäßiger Sicherheitsüberprüfungen und Verfahrensaktualisierungen zur Abwehr latenter Bedrohungen.

Trotz des finanziellen Verlusts stellte Sell When Over klar, dass seine Hardware-Wallet weiterhin sicher sei und wies Spekulationen über mögliche Steuerhinterziehungsmotive zurück. Obwohl ein Teil der gestohlenen Gelder bereits gewaschen wurde, setzte er eine Belohnung von 150.000 US-Dollar für deren Rückgabe aus und erwog zudem eine forensische Untersuchung auf Basis der Belohnung.

Die Geschichte endete mit dem Appell zur anhaltenden Wachsamkeit, insbesondere vor dem Hintergrund von Googles fragwürdiger Entscheidung, Sicherheitswarnungen mit Threads zu versehen – ein Vorgehen, das den Einbruch möglicherweise verschleiert hat.