Die Universalwallet Atomic Wallet wurde offenbar gehackt. Viele User berichten von Verlusten, die sich bisher auf mehr als 35 Millionen Dollar summieren. Über die Ursache wird noch gerätselt.
Wenn auf eines Verlass, dann auf die endlose Serie von Hacks. Börsen werden gehackt, Online-Wallets werden gehackt, Smart Contracts werden gehackt. Wieder und wieder.
In der Regel konnte man mit der alten Weisheit antworten, seine Schlüssel selbst zu verwahren. Wer seine Coins keiner Börse anvertraut, ist nicht betroffen, wenn diese gehackt wird. Diese Weisheit wurde am vergangenen Wochenende hinfällig.
Zwar verlieren zuweilen Nutzer ihre Coins in eigenen Wallets. Das liegt in der Regel an Sicherheitslücken im eigenen System. Ein systematischer Hack von Wallets jedoch war bisher unbekannt.
Bis, wie gesagt, dem vergangenen Wochenende.
„Weniger als 1 Prozent der monatlich aktiven User“
Am Freitag, dem 2. Juni, berichteten User, Coins in der Atomic Wallet verloren zu haben. Einen Tag später bestätigte das Team von Atomic Wallet die Vorfälle, in der Nacht auf Montag erklärte es, dass weniger als ein Prozent der monatlich aktiven User betroffen seien. Man untersuche den Fall und melde die betroffenen Adressen bei Börsen und Analysten.
Wie viele aktive User Atomic Wallet im Monat hat, ist unbekannt. Laut Webseite „trauen“ fünf Millionen Menschen der Software, was vermutlich dieAnzahl der Downloads meint. Analysten, die den Hack untersuchen, zählen Verluste von mehr als 35 Millionen Dollar in zahlreichen Kryptowährungen: Bitcoin, Ether, Tron, BSC, Cardano, Ripple, Polkadot, Cosmos, Algo, Avax, Lumen, Litecoin und Stablecoins wie USDT. Einige User verzeichnen Verluste im Wert mehrerer Millionen Dollar.
Über die Ursache wird spekuliert, belastbare Informationen liegen nicht vor. So gibt es etwa Gerüchte über ein maliziöses Update, das beim Start der Wallet automatisch installiert wurde. Aus Sorge, dass die Software manipuliert ist, hat das Team von Atomic Wallet die Downloads ausgesetzt; um mehr über die Umstände herauszufinden, bittet es Betroffene, in einem Google-Dokument 20 Fragen zu beantworten.
Der Vorfall hat eine bittere Vorgeschichte. Bereits am 10. Februar 2022 warnte der Security-Analyst Least Authority vor Atomic Wallet. Der Dienstleister hatte im Frühjahr 2021 ein Audit der Wallet durchgeführt und dabei enorme Mängel gefunden: schlecht implementierte kryptographische Protokolle, schlampige Standards und Dokumentationen, veraltete Fremdpakete und mehr. Nachdem die Mängel auch 10 Monate später nicht ausgebügelt waren, warnte Least öffentlich davor, die Wallet zu benutzen. Was, wie man heute weiß, verhallte.
Einige Ratschläge …
Es bleibt also die frustrierende Erkenntnis, dass nicht nur Börsen und Smart Contracts, sondern auch Wallets gehackt werden können. Vertraut man seine Coins einer anderen Partei, riskiert man sie; verwahrt man sie selbst, riskiert man sie ebenfalls. Wie man es auch macht, ist es falsch.
Allerdings ist die Atomic Wallet aus zwei Gründen ein Sonderfall. Erstens unterstützt sie mehr als 300 Coins und Token, erlaubt es, diese mit Kreditkarte zu kaufen, sie gegeneinander zu wechseln und viele davon zu staken. Die Wallet ist wie der Thermomix unter den Wallets: ein Werkzeug, das alles kann. Das geht selten gut.
Die zweite Besonderheit ist, dass der Code nicht vollständig Open Source ist. Viele Teile, wie die Libraries und Softwarepakete, sind natürlich Open Source. Doch die Implementierung ist es zu weiten Teilen nicht. So bleiben Fehler oft lange unentdeckt.
Man sollte größere Summen Geld keiner Universal-Wallet anzuvertrauen, schon gar nicht, wenn der Code nicht vollständig Open Source ist. Es gibt eine Vielzahl von langjährig zuverlässigen Alternativen.
Man sollte als User der Wallet nun nicht in Panik gerate. Ladet kein Update herunter, öffnet die Atomic Wallet nicht! Importiert stattdessen den Seed mit einer anderen, zuverlässigen Wallet, und überweist die Coins von dort aus auf eine andere Adresse. Diese solltet ihr mit einer dritten Wallet bilden, für den Fall, dass der Seed kompromittiert ist.
Auf gar keinen Fall sollte man, wenn man Coins verloren hat, Leuten glauben, die behaupten, sie für euch bergen zu können. Das sind Betrüger, die wollen, dass ihr dem guten Geld noch schlechtes hinterherwerft.