Wie Whitelists die Angreifer ins Spiel bringen

Die nordkoreanische Hackergruppe Lazarus hat in nur sieben Monaten unglaubliche 1,788 Milliarden US-Dollar von Kryptowährungsplattformen erbeutet – und das trotz modernster Sicherheitsmaßnahmen wie Multisignaturen, Hardware Wallets und Whitelists.

Check Point Software Technologies warnt nun eindringlich : Wer sich zu sehr auf die traditionellen Blockchain-Sicherheitsfunktionen verlässt, läuft Gefahr, Opfer dieser hochprofessionellen Angriffe zu werden.

Das Problem mit Whitelists

Whitelists gelten als vertrauenswürdiges Mittel, um nur bestimmten Adressen Transaktionen zu erlauben. Doch Lazarus zeigt, dass genau diese Listen für Hacker zu einer Art Landkarte werden. Sie identifizieren, welche Dienstleister oder Partner kompromittiert werden müssen, um an die Vermögenswerte zu gelangen. Die Folge: Selbst gut abgesicherte Wallets können ausgehebelt werden, wenn die zugrunde liegenden Vertrauensbeziehungen manipuliert werden. Wer große Summen auf öffentlichen Blockchains verwaltet, hinterlässt für Angreifer ein klares Muster: Wallet-Bestände sind öffentlich einsehbar, Transaktionspfade nachvollziehbar, und mit jeder Transaktion werden auch regelmäßig genutzte Handelspartner sichtbar. Staatlich unterstützte Hacker wie Lazarus nutzen diese Informationen, um den „schwächsten vertrauenswürdigen Punkt“ zu finden und auszunutzen.

Drei große Angriffe – ein wiederkehrendes Muster

Zwischen Juli 2024 und Februar 2025 führte Lazarus drei spektakuläre Angriffe nach demselben Prinzip durch:

1. Bybit (Februar 2025, ca. 1,5 Mrd. USD): Ein kompromittierter Entwicklerrechner ermöglichte es, die Wallet-UI zu manipulieren. Signer sahen legitime Transaktionen, während hinter den Kulissen Angreifer-Contracts eingefügt wurden, die ETH und Tokens abzogen.
2. WazirX (Juli 2024, ca. 235 Mio. USD): Über den Custody-Provider Liminal wurden mehr als 200 Token abgezogen. Auch hier zeigte die Oberfläche harmlose Transfers, während die tatsächliche Transaktion manipuliert war.
3. Radiant Capital (Oktober 2024, 53 Mio. USD, Arbitrum + BSC): Drei interne Signer wurden über Telegram und ein bösartiges PDF getäuscht. Malware manipulierte die Wallet-UI per Man-in-the-Middle, sodass komplexe Transaktionen „blind“ signiert wurden, ohne dass Hardware Wallets die Gefahr erkennen konnten.

In allen Fällen funktionierten Multisigs, Whitelists und Hardware Wallets wie vorgesehen – doch die Angreifer nutzten die Vertrauenslogik der Transaktionen selbst aus, nicht die Zieladresse.

Was kann man dagegen tun?

Die Lehre aus diesen Angriffen ist klar: Statisches Vertrauen reicht nicht mehr. Whitelists und Multisigs sind wichtig, aber sie müssen ergänzt werden durch:

• Echtzeit-Transaktionssimulation: Jede Transaktion sollte vor Ausführung gegen den aktuellen Blockchain-State simuliert werden, um unvorhergesehene Änderungen zu erkennen.
• Kontinuierliches On-Chain-Monitoring: Frühzeitiges Erkennen von verdächtigen Aktivitäten wie Angreifer-Contract-Deployments kann Attacken verhindern, bevor sie stattfinden.
• Unabhängige Verifikation beim Unterzeichnen: Eine separate Signier-Instanz stellt sicher, dass kompromittierte Infrastruktur nicht den gesamten Prozess manipuliert.

Das Fazit

Jede Transaktion sollte so behandelt werden, als könnte sie manipuliert werden. Wer große Vermögenswerte auf öffentlichen Blockchains verwaltet, muss davon ausgehen, dass selbst „vertrauenswürdige“ Partner kompromittiert werden könnten. Der Fall Lazarus zeigt eindrucksvoll: Wer sich auf statisches Vertrauen verlässt, bezahlt unter Umständen Milliarden – und das nicht morgen, sondern bereits heute.