Unbekannter Hacker erbeutete Rekordsumme und gab sie freiwillig zurück
Am 10. August 2021 wurde die Kryptoplattform Poly Network Opfer eines der größten Cyberangriffe der Geschichte – mit einem überraschenden Ende. Ein unbekannter Hacker erbeutete rund 610 Millionen US-Dollar, gab das Geld aber kurz darauf nahezu vollständig zurück.
Poly Network ist eine sogenannte DeFi-Plattform (Decentralized Finance) für Cross-Chain-Interoperabilität, die verschiedene Blockchain-Systeme miteinander verbindet. Der Angreifer nutzte eine kritische Sicherheitslücke in den Smart Contracts der Plattform aus.
Konkret gab es einen Fehler bei der Verwaltung von Zugriffsrechten zwischen den Komponenten EthCrossChainManager und EthCrossChainData. Diese Schwachstelle ermöglichte es dem Hacker, sich unbefugten Zugang zu den Geldern zu verschaffen und eine Rekordsumme zu stehlen.
Angriff auf Poly Network
Ein unbekannter Hacker stiehlt rund 610 Millionen Dollar durch Ausnutzung einer Schwachstelle in den Smart Contracts der Plattform.
Erste Rückgabe
Der Hacker gibt innerhalb von zwei Tagen 342 Millionen Dollar zurück. 268 Millionen Dollar bleiben in einer Multi-Signatur-Wallet gesperrt.
Angebot von Poly Network
Poly Network bietet dem Hacker eine Belohnung von 500.000 Dollar und eine Stelle als Chief Security Advisor an – beide Angebote werden abgelehnt.
Nahezu vollständige Rückgabe
Fast alle Gelder sind zurückgegeben, mit Ausnahme von 33 Millionen Dollar in USDT-Tokens, die von Tether eingefroren wurden.
Freigabe des privaten Schlüssels
Der Hacker teilt den privaten Schlüssel zur Multi-Signatur-Wallet über eine Blockchain-Nachricht, sodass Poly Network Zugriff auf die restlichen Vermögenswerte erhält.
Was dann geschah, machte diesen Fall zu einem der außergewöhnlichsten in der Geschichte der Cyberkriminalität. Bereits innerhalb von zwei Tagen – bis zum 13. August 2021 – hatte der Hacker 342 Millionen Dollar des gestohlenen Betrags zurückgegeben.
Die restlichen 268 Millionen Dollar waren jedoch in einer sogenannten Multi-Signatur-Wallet gesperrt. Diese digitale Brieftasche erforderte Zugangscodes sowohl von Poly Network als auch vom Hacker selbst. Ohne die Mitarbeit des Hackers konnte Poly Network nicht auf diese Gelder zugreifen.
Um den Hacker zur Rückgabe der verbleibenden Summe zu bewegen, machte Poly Network ein ungewöhnliches Angebot: Eine Bug Bounty in Höhe von 500.000 Dollar sowie eine Position als Chief Security Advisor. Beide Angebote lehnte der Hacker jedoch ab.
Trotz der Ablehnung setzte sich die Rückgabe fort. Am 18. August 2021 waren praktisch alle Gelder – mit Ausnahme von etwa 33 Millionen Dollar in Tether USDT-Tokens – an Poly Network zurückgegeben worden.
Die 33 Millionen Dollar in USDT-Tokens wurden nie zurückgegeben. Tether Limited, das Unternehmen hinter der Kryptowährung, hatte diese Tokens in ihrem Blockchain-System eingefroren und damit unbrauchbar gemacht – eine der wenigen Möglichkeiten, bei Kryptowährungen einzugreifen.
Der Hacker selbst kommentierte seine Beweggründe in Nachrichten, die er auf der Blockchain hinterließ. Er bezeichnete den Angriff als "White Experiment" – ein Experiment, um Sicherheitslücken aufzudecken und damit die Gelder vor anderen potenziellen Hackern zu schützen. Der Hacker behauptete zudem, er habe das Ganze "nur zum Spaß" gemacht.
Am Ende des Prozesses teilte der Hacker den privaten Schlüssel zur Multi-Signatur-Wallet über eine Blockchain-Nachricht. Damit ermöglichte er Poly Network den Zugriff auf die restlichen Vermögenswerte.
Trotz des spektakulären Vorfalls wurde die Identität des Hackers nie öffentlich bekannt. Es kam auch zu keinen Verhaftungen oder Gerichtsverfahren im Zusammenhang mit dem Fall.
Der Poly-Network-Hack gilt bis heute als einer der bemerkenswertesten Fälle von Cyberkriminalität im Kryptowährungsbereich – vor allem, weil fast alle gestohlenen Gelder zurückgegeben wurden. Die wahren Motive und Umstände der Rückgabe bleiben jedoch rätselhaft.