Drei Multi-Signatur-Schlüssel auf nur einem Computer: Wie ein einzelner Phishing-Vorfall die Multi-Signature-Sicherheitskette durchbrechen kann
Die gefährlichste Fehlannahme bei Multi-Signaturen ist die Illusion: Wenn „3 Schlüssel“ erforderlich sind, gäbe es ganz sicher drei unabhängige Schutzebenen. Der Vorfall beim Humanity Protocol liefert eine schonungslose Antwort: Wenn mehrere Signierschlüssel auf demselben Gerät gebündelt sind, muss ein Angreifer möglicherweise tatsächlich nur einen einzigen Fehlerpunkt überwinden.
Die offizielle Ereignisaufarbeitung von Humanity im Quantstamp-Bericht zeigt: Der Angriff begann mit einer Phishing-E-Mail, die sich als Bithumb ausgab. Ein bösartiger Anhang richtete auf einem Windows-PC eine Fernzugriffsverbindung ein und erlangte Daten aus der Browser-Wallet sowie private Schlüssel.
Am 8. Juni ersetzte der Angreifer auf der Ethereum-Seite mithilfe des gestohlenen Schlüssels einen Cross-Chain-Proxy und transferierte etwa 141,18 Millionen H. Auf der BSC-Seite übernahm er dann mit drei gestohlenen Safe-Signatur-Schlüsseln die ProxyAdmin-Logik, prägte und verkaufte anschließend rund 100 Millionen H.
Der Verkauf dauerte etwa 8 Stunden; der öffentliche Marktpreis von H fiel zeitweise um etwa 89 %. Zum Zeitpunkt der Veröffentlichung der offiziellen Aufarbeitung waren die ETH in den bekannten Angriffsadressen bereits mehr als 21 Millionen US-Dollar wert, während die BNB-Einnahmen noch ermittelt wurden. Daher ist es nicht präzise, den in den Märkten kursierenden Wert von „36 Millionen US-Dollar“ als die endgültigen, offiziellen Verluste zu betrachten.
Ein Blick auf das Design mit
@grvt_io zeigt: Web2-Login und Web3-Vermögensautorisierung werden ausdrücklich getrennt. E-Mail, Passwort oder OAuth dienen hauptsächlich dazu, den Kontozugang zu ermöglichen, Vermögenswerte einzusehen und nicht-transaktionale Funktionen zu nutzen; alle Aktionen, die das Eigentum an Vermögenswerten verändern könnten, benötigen eine SecureKey-Signatur.
GRVT erlaubt zudem, ein Secondary SecureKey vorab festzulegen. Wenn der Haupt-Signing-SecureKey verdächtig kompromittiert ist, kann der Nutzer den bereits registrierten Ersatzschlüssel auf den neuen Signing SecureKey umstellen und so die weitere Abhängigkeit vom ursprünglichen Schlüssel reduzieren.
Doch Secondary SecureKey ist keine automatische Immunitätsvorrichtung. Wenn Haupt- und Ersatzschlüssel auf demselben Computer, derselben Browser-Konfiguration, demselben Passwort-Manager oder demselben Cloud-Synchronisationskonto liegen, gehören sie weiterhin zu demselben Fehlerbereich.
Der sinnvollere Ansatz ist daher: Haupt-SecureKey und Secondary SecureKey wirklich gerätebasiert zu isolieren. Der Hauptschlüssel gehört in ein dediziertes Gerät oder eine Hardware-Wallet; der Ersatzschlüssel wird nach der Vorregistrierung auf einem anderen, sauberen Gerät gespeichert und mithilfe unabhängiger Wiederherstellungsunterlagen betrieben. Lagern Sie nicht zwei Sätze von Seed-Phrasen, Exportdateien oder Browser-Wallet-Daten in denselben Cloud-Speicher.
#grvt #SelfCustody #Multisig #CryptoSecurity