Was nach dem ersten Cyberangriff zu tun ist – damit es keinen zweiten gibt

Phemex teilt seine Erkenntnisse aus seinem beispiellosen Eindringen.

Selbst Vordenker sind den Risiken eines Online-Geschäftsbetriebs ausgesetzt. Phemex, eine Hybridbörse, die erstklassige Prozesse sowohl zentralisierter als auch dezentraler Plattformen vereint, wurde Ende Januar Opfer eines Angriffs durch einen schwerwiegenden Bedrohungsakteur.

Anstatt sich vor diesem unerwünschten Ereignis zu drücken, entschied sich das Phemex-Team, offen und transparent darüber zu sein – und vielleicht ist das die wichtigste Lektion, die sie daraus ziehen konnten.

„Wir möchten dieses Stück nutzen, um den Vorfall anzusprechen, darüber zu sprechen, wie wir damit umgegangen sind, und zu erklären, was wir unternommen haben, um solche Vorfälle in Zukunft zu verhindern“, sagt Phemex-CEO Federico Variola.

Er betonte, dass, obwohl der Angriff von einem hochentwickelten Bedrohungsakteur ausging, der Großteil der Benutzerfonds niemals gefährdet war und die Börse alle Verluste der Nutzer übernommen hat.

„Wir haben auch unsere Kernaktivitäten so schnell wie möglich wieder aufgenommen und sofort unsere Sicherheitsinfrastruktur für Hot Wallets überarbeitet, um diese Sicherheitsrisiken in Zukunft erheblich zu minimieren“, fuhr er fort.

Angriff und Verteidigung

Der Angreifer verfügt über eine Vorgeschichte von Krypto-Hacks und gilt als äußerst raffiniert, weshalb die Art des Cyberangriffs komplex und schwer zu verhindern war. Diese Täter wurden von den Strafverfolgungsbehörden nicht öffentlich identifiziert, dürften sich jedoch in einem Staat aufhalten, der derartige Handlungen unterstützt, und sind wahrscheinlich vor strafrechtlicher Verfolgung oder anderen rechtlichen Maßnahmen geschützt.

Bybits kürzlicher Hackerangriff scheint laut Variola mit derselben Gruppe in Verbindung zu stehen, jedoch unterscheiden sich die Vorfälle.

„In unserem Fall wurde eine Hot Wallet ins Visier genommen“, sagte er. „Im Fall von Bybit war es ihre Haupt-ETH-Cold-Wallet.“

Phemex verwendet getrennte Hot- und Cold-Wallet-Systeme, um das Risiko von Verlusten bei „Edge Cases“ – ein Begriff aus der Cybersicherheit, der ein Problem oder eine Situation beschreibt, die an der extremen Grenze des Normalen oder Erwarteten auftritt – zu minimieren.

„Es wurden nur Mittel aus unserem Hot Wallet gestohlen, und genau diese Verlustminimierung ist der Grund, warum wir überhaupt separate Hot und Cold Wallets haben“, so Variola. „Was passiert ist, ist zweifellos ein negativer Vorfall, aber es liegt innerhalb der Grenzen dessen, was unser Exchange verkraften kann.“

Der Angriff wurde mittels Social Engineering durchgeführt und richtete sich über Telegram an Mitarbeiter von Phemex. Ein vollständiger Vorfallbericht erscheint auf Medium.

Schätzungen gehen von Gesamtwert der gestohlenen Gelder in Höhe von 85 Millionen US-Dollar, sodass Transparenz und Vertrauenswürdigkeit gegenüber den Nutzern zu den höchsten Prioritäten von Phemex während des Angriffs gehörten.

„Wir haben die Nutzer umgehend informiert“, fährt Variola fort, „und konnten ihnen versichern, dass ihre Gelder sicher sind, indem wir sie ermutigten, dies selbst mithilfe unseres selbstbestätigenden nachzuvollziehen.“Merkle-Baum Proof-of-Reserves Tool.”

Sobald Phemex den Schaden eingedämmt und bewertet hatte, bestand der nächste Schritt darin, den Schaden zu minimieren. Einige Gelder wurden bereits zurückgewonnen. Gestohlene Mittel, die auf anderen Börsen auftauchten, wurden umgehend eingefroren.

„Die Wiedererlangung der Gelder ist derzeit noch im Gange und wir sind zuversichtlich, einen erheblichen Teil der gestohlenen Vermögenswerte zurückzugewinnen“, sagt Variola. Dennoch „verfügen wir weiterhin über die Ressourcen, um mit voller Leistung zu operieren.“

In der Zwischenzeit arbeitet Phemex mit Strafverfolgungsbehörden, Cybersicherheitsunternehmen und anderen Krypto-Plattformen bei dem Wiederherstellungsprozess zusammen. Die Börse konnte die Kernfunktionalität für die Nutzer innerhalb von 24 Stunden wiederherstellen – möglicherweise eine der schnellsten Erholungen nach einem Hack bei einer etablierten Krypto-Börse. Im Anschluss daran führte Phemex eine strenge, manuelle Überprüfung von Einzahlungs- und Auszahlungs-Transaktionen durch, um die Sicherheit zu verstärken und sicherzustellen, dass unmittelbar danach keine bösartigen Transaktionen durchgeführt wurden.

Erfahrungen gewonnen, Maßnahmen ergriffen

Unmittelbar nach der Sicherheitsverletzung entwickelte und implementierte das technische Team von Phemex eine neue, robustere Sicherheitsinfrastruktur für Hot-Wallets.

„Eine wichtige Lektion, die wir gelernt und reflektiert haben, ist, dass Phemex während des letzten Bullenmarktes sehr schnell gewachsen ist und einige unserer Betriebsabläufe unserem Wachstum hinterherhinkten“, sagt Variola. „Dieser Cyberangriff zeigte, dass die Sicherheitsmaßnahmen, die für unsere frühere Größe ausreichend waren, für unseren derzeitigen Umfang nicht mehr akzeptabel sind.“

Die neue Struktur von Phemex ist mit einer Zero-Trust-Architektur konzipiert und nutzt modernste Enklaven-Technologie. Dazu gehört AWS Nitro, um eine robuste Chip-Level-Sicherheit für Hot Wallets zu gewährleisten.

Während dies das unmittelbare Problem löst, würde es Phemex nicht gegenüber den Hackern in eine günstigere Position bringen. Daher ergriff das Team Maßnahmen, um alle Wallets zu schützen, die von einem seiner Nutzer gehalten werden könnten.

„Wir planen den Einsatz eines gestuften Wallet-Systems mit Cold Wallets“, sagt Variola. „Dies wird auch für Hot Wallets gelten – die künftig nur einen wesentlich kleineren Anteil unserer Mittel halten werden.“

Das gestufte System gilt ebenfalls für warme Wallets, die die Internetverbindung, Geschwindigkeit und Effizienz von Hot Wallets mit der erhöhten Sicherheit und manuellen Kontrolle von Cold Wallets kombinieren.

Phemex erhöht zudem die Anzahl der Mitarbeiter, die sich der Sicherheit der Infrastruktur widmen, wobei verschiedene Teams unterschiedliche Elemente überwachen und weniger Personen Zugang zum gesamten System haben. Von Anfang bis Ende verspricht Variola, dass jede Aufgabe von branchenführenden Drittparteien überprüft wird.

Dies könnte das Tempo der Servicebereitstellung von Phemex um einen Schritt verlangsamen, doch das Team von Variola ist überzeugt, dass dies notwendig ist.

„Die Abläufe unserer Börse werden durch das neue System komplexer, doch dies lässt sich nicht vermeiden, da Sicherheit oberste Priorität hat“, sagt Variola. „Wir sind äußerst zuversichtlich in das neue System und beantragen Drittzertifizierungen für diese Sicherheitsstandards.“