Für viele Nutzer der Atomic Wallet wird seit gestern ein Albtraum zur Realität: Zahlreichen Meldungen zufolge verschwinden sämtliche Krypto-Bestände innerhalb von Minuten nach Öffnen der Software aus der Wallet. Während die genaue Ursache noch unbekannt ist und von offizieller Seite ebenfalls keine konkreten Informationen bereitgestellt werden, schreiten die verlorenen Beträge bereits in die Millionenhöhe. Auch machen sich in der Community Spekulationen breit, dass es sich um gezielten Betrug durch das Entwicklerteam, also einen "Rug Pull" handeln würde.
Schaut man sich die Vergangenheit und den Aufbau der Atomic Wallet im Allgemeinen etwas genauer an, wirken die aktuellen Ereignisse zunehmend weniger überraschend. Nicht nur verfolgen die Entwickler einen Closed-Source Ansatz, bei dem also der Quellcode und Aufbau der Wallet für Außenstehende nicht nachvollziehbar ist, sondern diese wurden bereits in der Vergangenheit für Schwachstellen und schlecht umgesetzte kryptografische Verfahren kritisiert.
Wir haben Berichte über kompromittierte Wallets erhalten. Wir tun alles, was wir können, um die Situation zu untersuchen und zu analysieren. Sobald wir weitere Informationen haben, werden wir sie entsprechend teilen. [...]
@AtomicWallet auf Twitter
Millionenverluste für Nutzer
Wie viele der angeblich 5 Millionen Nutzer tatsächlich von dem Angriff bzw. Hack betroffen sind, ist zum aktuellen Zeitpunkt noch so unklar, wie auch die eigentliche Ursache. Ein wild gewordener Entwickler, schlechte Zufallsquellen, wie erst kürzlich in der Browser-Erweiterung der Trust Wallet, oder grundsätzliche Implementierungsfehler, die nun von Angreifern ausgenutzt werden - die Tür der verschiedenen Möglichkeiten steht noch weit offen.
Fest steht allerdings eines: Die Ausbeute ist groß.
Der selbst ernannte "On-Chain Schnüffler" ZackXBT, bekannt für das Verfolgen von gestohlenen Geldern, dokumentiert und analysiert die aktuellen Geschehnisse auf Twitter. Aktuell schätzt er die Verlustsumme auf über 30 Millionen US-Dollar.
Update: Ein neues größtes Opfer wurde auf [dem Tron-Netzwerk] gefunden, mit 7,95 Millionen gestohlenen USDT. Die fünf größten Verluste betragen insgesamt 17 Millionen US-Dollar. Mein Graph hat nun 35 Millionen US-Dollar an gesamten Verlusten überschritten.
@zachxbt auf Twitter
Hinter verschlossenen Türen
Bei der Atomic Wallet handelt es sich aus mehreren Gründen um nicht wirklich empfehlenswerte Software, und zwar ganz ungeachtet von den aktuellen Geschehnissen. Dass die Verlustrisiken bei der Nutzung von Hot-Wallets ohnehin schon höher sind, ist dabei erst der Anfang. Der Quellcode der Wallet ist, wie bei vielen solcher "Multicoin-Wallets" nicht öffentlich nachvollziehbar, also Closed-Source. Zwar bedeutet dies nicht per se, dass es sich um unsichere Software handeln muss, allerdings kann man genau das eben nicht überprüfen. Offensichtliche Sicherheitslücken und fehlerhafte Umsetzung von kryptografischen Verfahren fallen bei diesem Ansatz im schlimmsten Fall erst dann auf, wenn es längst zu spät ist.
Doch negativ aufgefallen ist die Atomic Wallet auch schon in der Vergangenheit: Das Sicherheitsunternehmen Least Authority informierte bereits im März 2022 über Schwachstellen, vor allem in der Implementierung von kryptografischen Verfahren. Der Bericht ist mittlerweile allerdings nicht mehr öffentlich abrufbar und inwiefern ein Zusammenhang zu den aktuellen Ereignissen besteht, ist unklar.
Wir haben mehrere sicherheitskritische Probleme identifiziert, die aktuelle Nutzer der Atomic Wallet einer Vielzahl von Angriffen aussetzen, die zu einem Totalverlust führen könnten. Konkret haben wir festgestellt, dass die Gelder der Nutzer aufgrund der aktuellen Verwendung und Implementierung von Kryptografie einem erhöhten Risiko ausgesetzt sind.
Disclosure of Security Vulnerabilities in Atomic Wallet, Audited by Least Authority
Was gilt es für Nutzer zu beachten?
Für bestehende Nutzer der Atomic Wallet heißt es zunächst Ruhe zu bewahren und keine übereiferte Entscheidungen zu treffen. Von Opfern hört man, dass der Diebstahl der eigenen Bestände erst kurzzeitig nach dem Öffnen der Software eintritt. Mit hoher Wahrscheinlichkeit wird also eine konkrete Schwachstelle oder gar bewusst implementierte Hintertür in der aktuellsten Version der Wallet ausgenutzt.
Die Atomic Wallet sollte also erstmal nicht mehr verwendet, und vor allem erst gar nicht geöffnet werden! Mithilfe einer anderen Soft- oder idealerweise Hardware-Wallet und den 12 Wiederherstellungswörtern kann die eigene Wallet stattdessen wiederhergestellt werden. Sämtliche Bestände sollten dann schnellstmöglich auf eine neue und unabhängige Wallet gesendet werden.
Für die langfristige Verwahrung von insbesondere höheren Beträgen empfiehlt Blocktrainer.de außerdem die Verwendung einer Hardware-Wallet.
