Lykke und Hubdex gefährden Nutzer durch mangelnde Sicherheitsmaßnahmen auf Krypto-Handelsplattformen

Wie sich herausstellte haben die Handelsplattformen Lykke und Hubdex eine Vielzahl privater Informationen öffentlich zugänglich gemacht.

CyberNews, eine unabhängige Forschungszeitschrift zum Thema Cybersicherheit, warnt Kryptofans in einem Bericht vor den Gefahren, die mit Transaktionen auf unsicheren Online-Marktplätzen verbunden sind. Darin heißt es, dass aufgrund mangelnder Cybersicherheit mindestens 18 Millionen US-Dollar in Kryptowährung dem Diebstahl ausgesetzt waren.

CyberNews berichtete über zwei Börsen, die „gefährlich unsicher“ seien: Lykke und Hubdex.

Die Schweizer Plattform Lykke, bewahrte seine API-Schlüssel in einer öffentlich zugänglichen Datenbank auf. API-Schlüssel können für den direkten Zugriff auf eine Börse verwendet werden, um Transaktionen durchzuführen. Das System ließ böswilligen Akteuren viel Spielraum für den Transfer von Kryptowährung auf ihre eigenen Konten oder für die Beeinträchtigung von Transaktionen zwischen anderen Nutzern.

Zudem wurde festgestellt, dass Lykke auch die privaten Schlüssel seiner Kunden preisgegeben hat. Private Schlüssel fungieren als Passwörter für Krypto-Wallets. Die kompromittierte Sicherheit von Lykke ermöglichte also jedem, der am richtigen Ort nachsah, ohne das Wissen oder die Zustimmung anderer Nutzer, deren Kryptowährung auszugeben, zu handeln oder zu transferieren.

Einige Kunden machten zwar von Multisig-Wallets Gebrauch, für die mindestens zwei Autorisierungen erforderlich sind, bevor der Zugriff auf die Gelder ermöglicht wird, doch in Lykkes exponierter Datenbank waren auch die Skripte und die privaten Schlüssel zu diesen Wallets gespeichert – beides reicht aus, um es Hackern mit nur bescheidenen technischen Fähigkeiten zu gestatten, mit den Kryptobeständen anderer zu hantieren.

CyberNews berichtete, dass die Kenntnis dieser Daten „den direkten Zugang zu den Geldern der Nutzer ermöglichte, das heißt die uneingeschränkte Freiheit, diese Gelder zu stehlen oder Daten zu manipulieren.“

Lykke reagierte sofort auf den Bericht, indem sie die öffentliche Datenbank privat machte und sich an betroffene Kunden wandte. Die Plattform erklärte, dass die Datenbank nur „schreibgeschützt verfügbar“ sei.

Sie versicherte CyberNews, dass „keine persönlichen Daten preisgegeben wurden und keine Gelder verloren gingen“, und dass man zusätzliche Maßnahmen ergreifen werde, um solche Vorfälle in Zukunft zu vermeiden.

Die chinesische Handelsplattform Hubdex wurde ebenfalls auf den heißen Stuhl gedrängt, weil sie 1,1 Millionen private Schlüssel in einer öffentlich zugänglichen Datenbank preisgab. Außerdem bestand die Möglichkeit, ganz einfach Passwörter zu ändern, sodass sich Bösewichte problemlos Zugriff zu Konten ihrer Wahl verschaffen konnten.

Darüber hinaus machte die Börse API- und Multisig-Schlüssel öffentlich zugänglich, was Hackern eine Vielzahl von Möglichkeiten zur Ausnutzung der Börse bot.

Ein weiterer Grund zur Sorge ist der Umfang der persönlichen Daten, die Hubdex ungeschützt ließ. Da Krypto-Handelsplattformen im Rahmen von Vorschriften gegen den Missbrauch digitaler Vermögenswerte verpflichtet sind, KYC-Daten (Know Your Customer) zu sammeln, waren die offiziellen Ausweisdokumente, Namen und Adressen der Benutzer der Öffentlichkeit leicht zugänglich.

Nachdem Versuche zur direkten Kontaktaufnahme mit der Plattform fehlgeschlagen waren und CyberNews sich an Chinas Computersicherheits-Ereignis- und Reaktionsteam (CERT) gewandt hatte wurde die Datenbank vom Netz genommen.

Mit über 19.000 Krypto-Handelsplattformen weltweit besteht ein dringender Bedarf an erhöhter Cybersicherheit und Vorschriften für deren Datenbanken. Die Bedrohung betrifft nicht nur die Krypto-Wallets von Nutzern, sondern auch deren Identität und persönliche Sicherheit.

Breaking News

Investieren ist spekulativ. Bei der Anlage ist Ihr Kapital in Gefahr. Diese Website ist nicht für die Verwendung in Rechtsordnungen vorgesehen, in denen der beschriebene Handel oder die beschriebenen Investitionen verboten sind, und sollte nur von Personen und auf gesetzlich zulässige Weise verwendet werden. Ihre Investition ist in Ihrem Land oder Wohnsitzstaat möglicherweise nicht für den Anlegerschutz geeignet. Führen Sie daher Ihre eigene Due Diligence durch. Diese Website steht Ihnen kostenlos zur Verfügung, wir erhalten jedoch möglicherweise Provisionen von den Unternehmen, die wir auf dieser Website anbieten. Klicken Sie hier für weitere Informationen.