đ PRIVATER SCHLĂSSEL AUF GITHUB ZWEI JAHRE â ERGEBNIS $1,7 MLN
Kein komplizierter Exploit. Keine Schwachstelle im Code. Der RSA-3072-SchlĂŒssel fĂŒr den SGX-Prover Raiko lag einfach im öffentlichen GitHub-Repository. Zwei Jahre. Die Datei enclave-key.pem. Ăffentlich zugĂ€nglich.
Der Hacker fand den SchlĂŒssel, registrierte seinen Prover als legitim und begann, gefĂ€lschte Abhebungsanfragen zu signieren â Ethereum-VertrĂ€ge nahmen sie als echt an. Ohne echtes Deponat auf der anderen Seite.
Ergebnis: $1,7 Mio. sind abgelaufen, das Netzwerk ist stehen geblieben, der Token fiel um 20%, etwa 2 Mio. Tokens konnten noch auf MEXC abwandern, bevor es eingefroren wurde.
Das ist nicht mal ein âBugâ â das ist einfach eine Datei am falschen Ort. Die Sicherheit des Projekts mit Hunderten Millionen TVL beruhte darauf, dass niemand auf die Idee kommt, ins Repository zu schauen.
Habens getan.
#Taiko #crypto #Security #Hack
Abonniere â hier zerlege ich Hacks, bevor der offizielle Postmortem erscheint đ
Kein komplizierter Exploit. Keine Schwachstelle im Code. Der RSA-3072-SchlĂŒssel fĂŒr den SGX-Prover Raiko lag einfach im öffentlichen GitHub-Repository. Zwei Jahre. Die Datei enclave-key.pem. Ăffentlich zugĂ€nglich.
Der Hacker fand den SchlĂŒssel, registrierte seinen Prover als legitim und begann, gefĂ€lschte Abhebungsanfragen zu signieren â Ethereum-VertrĂ€ge nahmen sie als echt an. Ohne echtes Deponat auf der anderen Seite.
Ergebnis: $1,7 Mio. sind abgelaufen, das Netzwerk ist stehen geblieben, der Token fiel um 20%, etwa 2 Mio. Tokens konnten noch auf MEXC abwandern, bevor es eingefroren wurde.
Das ist nicht mal ein âBugâ â das ist einfach eine Datei am falschen Ort. Die Sicherheit des Projekts mit Hunderten Millionen TVL beruhte darauf, dass niemand auf die Idee kommt, ins Repository zu schauen.
Habens getan.
#Taiko #crypto #Security #Hack
Abonniere â hier zerlege ich Hacks, bevor der offizielle Postmortem erscheint đ