Jemand hat lange vergessene ruhende Ethereum-Blockchain-Wallets geleert, und die Ursache könnte Jahre zurückliegen

Hunderte von Ethereum-Wallets, die jahrelang unberührt geblieben waren, wurden in dieselbe markierte Adresse geleert – und verwandelten alte Schlüsselexposition in die schärfste Krypto-Sicherheitswarnung dieser Woche.

Am 30.04. meldete WazzCrypto den Vorfall, der Mainnet-Wallets auf X betraf, und ihre Warnung verbreitete sich schnell, da die betroffenen Konten keine frisch präparierten Hot Wallets zu sein schienen. Es waren alte Wallets mit ruhiger Geschichte, einige verknüpft mit Assets und Tools aus einer früheren Ethereum-Ära.

Über 260 ETH, etwa 600.000 $, wurden aus Hunderten inaktiver Wallets geleert. Mehr als 500 Wallets scheinen betroffen zu sein, mit Verlusten von insgesamt rund 800.000 $, und viele Wallets waren vier bis acht Jahre lang inaktiv. Die zugehörige Etherscan-Adresse ist mit Fake_Phishing2831105 gekennzeichnet, zeigt 596 Transaktionen und verzeichnet eine Bewegung von 324,741 ETH zum THORChain Router v4.1.1 rund um das Fenster vom 30.04.

Das Konstante dabei ist vorerst wichtiger: Lange inaktive Wallets wurden an ein gemeinsames Ziel bewegt, während der Kompromittierungspfad weiterhin ungeklärt bleibt.

Dieser ungeklärte Vektor macht den Drain zur stärksten Warnung dieser Woche, nach einem Anstieg von DeFi-Hacks. Protokoll-Exploits geben Ermittlern in der Regel einen Vertrag, einen Funktionsaufruf oder eine privilegierte Transaktion zur Untersuchung.

Hier liegt die zentrale Frage auf der Wallet-Ebene. Hat jemand alte Seed-Phrases erlangt, schwach generierte Schlüssel geknackt, gesickerte Private-Key-Daten genutzt, ein Tool missbraucht, das einst Schlüssel verwaltete, oder einen anderen Pfad ausgenutzt, der noch nicht aufgetaucht ist?

Öffentliche Diskussionen haben Theorien hervorgebracht, darunter schwache Entropie in älteren Wallet-Tools, kompromittierte Mnemonics, Key-Handling von Trading-Bots und Seed-Speicherung aus der LastPass-Ära. Ein betroffener Nutzer hat die LastPass-Theorie persönlich aufgebracht.

Der praktische Rat für Nutzer ist begrenzt, aber dringend. Untätigkeit mindert kein Private-Key-Risiko. Eine Wallet mit Wert hängt von der vollständigen Geschichte des Schlüssels ab – der Seed-Phrase, dem Gerät, das sie generiert hat, der Software, die sie berührt hat, und jedem Ort, an dem das Geheimnis möglicherweise gespeichert wurde.

Für Nutzer besteht die Reaktion wahrscheinlich darin, hochwertige alte Wallets zu inventarisieren, Gelder erst zu verschieben, nachdem frisches Schlüsselmaterial über vertrauenswürdige Hardware oder moderne Wallet-Software eingerichtet wurde, und das Eingeben alter Seeds in Prüfer, Skripte oder unbekannte Recovery-Tools zu vermeiden. Das Widerrufen von Genehmigungen hilft bei der Protokollexposition, einschließlich Wasabis Nutzerwarnung, aber ein direkter Wallet-Drain deutet zunächst auf Schlüsselsicherheit hin, nicht auf Token-Genehmigungen.

April erweiterte die Kontrollfläche

Das Wallet-Cluster traf inmitten von Aprils Krypto-Exploit-Bilanz ein, die bereits erhöht war. Berichte mit Bezug auf DefiLlama setzten April bei rund 28 bis 30 Vorfällen und mehr als 625 Millionen $ in gestohlenen Geldern an. Stand 01.05. zeigte die Live-DefiLlama-API 28 April-Vorfälle mit insgesamt 635.241.950 $.

Ein Markt-Thread vom 01.05. erfasste den Druckpunkt: Die Wallet-Drains dieser Woche, der Admin-Key-Exploit von Wasabi Protocol und die größeren DeFi-Verluste im April trafen alle Kontrollflächen, die gewöhnliche Nutzer selten prüfen. Die Verbindung über den Monat hinweg ist architektonischer, nicht zuschreibender Natur.

Admin-Pfade wurden zu Angriffspfaden

Wasabi Protocol liefert das klarste aktuelle Protokollbeispiel. Der Exploit vom 30.04. soll rund 4,5 bis 5,5 Millionen $ geleert haben, nachdem ein Angreifer Deployer/Admin-Autorität erlangte, ADMIN_ROLE an angreifer-kontrollierte Verträge vergab und UUPS-Proxy-Upgrades nutzte, um Vaults und Pools über Ethereum, Base und Blast zu leeren. Frühe Sicherheitswarnungen flaggten das Admin-Upgrade-Muster, während der Angriff sich entfaltete.

Die gemeldete Mechanik stellt das Schlüsselmanagement in den Mittelpunkt des Vorfalls. Upgradefähigkeit kann normale Wartungsinfrastruktur sein. Konzentrierte Upgrade-Autorität verwandelt diesen Wartungspfad in ein hochwertiges Ziel. Wenn ein Deployer oder privilegiertes Konto die Implementierungslogik über Chains hinweg ändern kann, kann die Grenze um einen geprüften Vertrag verschwinden, sobald diese Autorität kompromittiert wird.

Das ist das nutzerseitige Problem, das in vielen DeFi-Interfaces verborgen ist. Ein Protokoll kann offene Verträge, öffentliche Frontends und Dezentralisierungssprache präsentieren, während kritische Upgrade-Macht noch in einem kleinen Satz operativer Schlüssel sitzt.

Unterzeichner und Verifizierer trugen die größten Verluste

Drift übertrug dasselbe Kontrollproblem in den Unterzeichner-Workflow. Chainalysis beschrieb Social Engineering, dauerhafte Nonce-Transaktionen, gefälschte Sicherheiten, Oracle-Manipulation und eine Zero-Timelock-2-von-5-Security-Council-Migration. Blockaid bezifferte den Verlust auf rund 285 Millionen $ und argumentierte, dass Transaktionssimulation und strengere Co-Signer-Richtlinien das Ergebnis hätten ändern können.

Der Drift-Fall ist hier wichtig, weil der Pfad nicht von einem einfachen Public-Function-Bug abhing. Er hing von einem Workflow ab, bei dem gültige Signaturen und schnelle Governance-Maschinerie auf eine feindliche Migration ausgerichtet werden konnten. Ein Unterzeichnerprozess wurde zur Kontrollfläche.

KelpDAO verlagerte den Stresstest in die Cross-Chain-Verifikation. Die Vorfallserklärung beschrieb eine Bridge-Konfiguration, bei der die rsETH-Route LayerZero Labs als einzigen DVN-Verifizierer verwendete. Forensische Überprüfungen beschrieben kompromittierte RPC-Knoten und DDoS-Druck, der falsche Daten in einen Single-Point-Verifikationspfad einspeiste.

Das Ergebnis war laut Chainalysis, dass 116.500 rsETH im Wert von rund 292 Millionen $ gegen einen nicht existierenden Burn freigegeben wurden. Der Token-Vertrag konnte intakt bleiben, während die Bridge eine falsche Prämisse akzeptierte. Deshalb kann ein Verifizierer-Ausfall zu einem Marktstrukturproblem werden, sobald das überbrückte Asset in Kreditmarktplätzen und Liquiditätspools sitzt.

KI gehört in die Geschwindigkeitsdiskussion

Ich denke, Project Glasswing verdient hier eine besondere Erwähnung für den Kontext, getrennt von der Kausalität. Anthropic sagt, Claude Mythos Preview habe Tausende von hochschwerwiegenden Software-Schwachstellen gefunden und zeige, wie KI die Schwachstellenentdeckung komprimieren kann. Das hebt die Messlatte für Verteidiger, aber der Kausalnachweis bei diesen Krypto-Vorfällen verweist auf Schlüssel, Unterzeichner, Admin-Befugnisse, Bridge-Verifikation, RPC-Abhängigkeiten und ungeklärte Wallet-Exposition.

Die Sicherheitsimplikationen sind weiterhin ernst. Schnellere Entdeckung gibt Angreifern und Verteidigern mehr parallele Fläche, durch die sie arbeiten müssen. Es macht auch alte operative Abkürzungen teurer, weil ruhende Geheimnisse, privilegierte Schlüssel und Single-Verifier-Pfade schneller getestet werden können, als Teams sie manuell überprüfen können.

Die Reparaturliste ist operativ

Die Kontrollen, die sich aus dem April ergeben, liegen oberhalb und rund um die Codebasis.

Für Protokolle besteht die Priorität darin, den Umfang zu reduzieren, was eine einzelne Autorität gleichzeitig tun kann. Das bedeutet Zeitschlösser für Admin-Operationen, stärkere und stabilere Unterzeichner-Schwellenwerte, überwachte privilegierte Transaktionswarteschlangen, explizite Grenzen für Parameteränderungen und Co-Signing-Systeme, die Transaktionseffekte simulieren, bevor Menschen sie genehmigen.

Für Bridges besteht die Priorität in unabhängiger Verifikation und Invarianzprüfungen. Eine Cross-Chain-Nachricht sollte gegen die wirtschaftliche Tatsache getestet werden, die sie behauptet darzustellen. Wenn rsETH eine Seite verlässt, sollte das System die entsprechende Zustandsänderung auf der anderen Seite verifizieren, bevor die Zielseite Wert freigibt. Diese Überwachung muss außerhalb desselben Pfads existieren, der die Nachricht signiert.

Für Nutzer ist die Reparaturliste kleiner. Verschiebe wertvolle alte Gelder zu frischen Schlüsseln durch einen Prozess, dem du bereits vertraust. Trenne diese Aktion von der protokollspezifischen Genehmigungsbereinigung. Behandle jeden Anspruch über die Ursache des Wallet-Drains als vorläufig, bis forensische Arbeit ein gemeinsames Tool, einen Speicherpfad oder eine Expositionsquelle identifiziert.

Der nächste Test

Der April bewies, dass die durchschnittliche Sicherheitscheckliste der Nutzer wahrscheinlich unvollständig ist. Audits, öffentliche Verträge und dezentralisierte Interfaces können mit konzentrierter Admin-Autorität, schwachen Unterzeichnerverfahren, brüchiger Bridge-Verifikation und alten Wallet-Geheimnissen koexistieren.

Das nächste Quartal wird Beweis über Dezentralisierungssprache belohnen: eingeschränkte Upgrade-Befugnisse, sichtbare Timelocks, unabhängige Verifizierer-Pfade, Transaktionssimulation für privilegierte Aktionen, disziplinierte Zugriffskontrollen und dokumentierte Schlüsselrotation.

Die Drains inaktiver Wallets zeigen die unbequeme nutzerseitige Version desselben Problems. Ein System kann ruhig aussehen, während ein alter Kontrollfehler im Hintergrund wartet. Aprils Exploit-Welle hat diese Schicht oberhalb des Codes bloßgelegt; die nächste Phase wird zeigen, welche Teams sie als Kernsicherheit behandeln, bevor Gelder sich bewegen.

The post Someone just drained long-forgotten dormant Ethereum wallets, and the cause may trace back years appeared first on CryptoSlate.