😂 PRIVATER SCHLÜSSEL AUF GITHUB ZWEI JAHRE — ERGEBNIS $1,7 MLN

Kein komplizierter Exploit. Keine Schwachstelle im Code. Der RSA-3072-SchlĂŒssel fĂŒr den SGX-Prover Raiko lag einfach im öffentlichen GitHub-Repository. Zwei Jahre. Die Datei enclave-key.pem. Öffentlich zugĂ€nglich.

Der Hacker fand den SchlĂŒssel, registrierte seinen Prover als legitim und begann, gefĂ€lschte Abhebungsanfragen zu signieren — Ethereum-VertrĂ€ge nahmen sie als echt an. Ohne echtes Deponat auf der anderen Seite.

Ergebnis: $1,7 Mio. sind abgelaufen, das Netzwerk ist stehen geblieben, der Token fiel um 20%, etwa 2 Mio. Tokens konnten noch auf MEXC abwandern, bevor es eingefroren wurde.

Das ist nicht mal ein „Bug“ — das ist einfach eine Datei am falschen Ort. Die Sicherheit des Projekts mit Hunderten Millionen TVL beruhte darauf, dass niemand auf die Idee kommt, ins Repository zu schauen.

Habens getan.

#Taiko #crypto #Security #Hack

Abonniere — hier zerlege ich Hacks, bevor der offizielle Postmortem erscheint 🔔