Der MyEtherWallet BGP + DNS-Angriff: Wie gekapertes Internet-Routing 150.000 $ in ETH ableitete
Am 24. April 2018 kaperten Angreifer das Internet-Routing für Amazon Route 53, vergifteten DNS-Antworten für myetherwallet.com und stellten einen Phishing-Klon hinter einem selbstsignierten Zertifikat bereit — und entzogen dabei rund 150.000 $ in Ethereum. Ein Domain-Mayday-Tiefgang darüber, warum DNS auf einer Routing-Schicht aufbaut, die standardmäßig vertraut.
- domains
- security
- dns
- domain-security
Wenn Sie den Namen einer Website in einen Browser eingeben, vertrauen Sie zwei unsichtbaren Systemen, die Ihnen die Wahrheit sagen.
Das erste ist DNS — das Telefonbuch des Internets — das einen Namen wie myetherwallet.com in eine numerische IP-Adresse umwandelt. Das zweite ist BGP, das Border Gateway Protocol, das entscheidet, welchen physischen Weg Ihre Datenpakete nehmen, um diese Adresse zu erreichen. Kaum jemand denkt über eines davon nach. Sie funktionieren einfach, milliardenfach täglich, still und leise.
Am Morgen des 24. April 2018 logen beide gleichzeitig. Für etwa zwei Stunden wurde jeder, der myetherwallet.com eintippte und eine Browserwarnung wegklickte, zu einem Phishing-Klon weitergeleitet, der auf einem Server lief, der weit entfernt von dem war, wohin sie zu gehen glaubten. Als das Routing korrigiert wurde, hatten die Angreifer bereits rund 150.000 $ in Ethereum aus echten Nutzer-Wallets abgezogen.
Was diesen Vorfall zu einem festen Bestandteil von Sicherheits-Lehrplänen macht, ist nicht der Geldbetrag — Krypto-Diebstähle haben ihn seitdem weit in den Schatten gestellt. Es ist der Mechanismus. Die Angreifer drangen nie in MyEtherWallets Server ein. Sie erraten kein einziges Passwort. Sie griffen die Straße an, nicht das Gebäude — indem sie die Routing-Schicht des Internets kaperten, um DNS selbst zu vergiften.
DNS sitzt auf einer Routing-Schicht, die standardmäßig vertraut
Um zu verstehen, was passierte, müssen Sie das unbehagliche Fundament unter jedem Domain-Namen der Welt verstehen.
DNS beantwortet die Frage: „Welche IP-Adresse hat myetherwallet.com?" Damit Ihre DNS-Anfrage überhaupt den richtigen Server erreicht, müssen die Router des Internets wissen, welches Netzwerk die IP-Adressen dieses DNS-Servers besitzt — und um das herauszufinden, verlassen sie sich auf BGP.
Hier liegt der Haken. BGP ist von Natur aus ein vertrauensbasiertes System. Wie die Cloudflare-ähnliche Zusammenfassung auf Wikipedia es formuliert, ist das BGP-Protokoll standardmäßig so konzipiert, dass es allen von Peers gesendeten Routen-Ankündigungen vertraut. Sicherheitsforscher Bob Cromwell beschreibt die ursprüngliche Absicht noch direkter: BGP wurde als Vertrauenskette zwischen wohlmeinenden ISPs und Universitäten konzipiert, die die empfangenen Informationen blind glauben.
Mit anderen Worten: Wenn ein Netzwerkbetreiber aufsteht und der Welt ankündigt „Datenverkehr für diese IP-Adressen soll durch mich fließen", hat der Rest des Internets das historisch gesehen einfach geglaubt. In BGP ist ein Tiebreaker für spezifischere Routen eingebaut — wenn zwei Netzwerke dieselben Adressen beanspruchen, gewinnt das, das den engeren, spezifischeren Block ankündigt. Genau dieser Tiebreaker ist der Hebel, den ein Angreifer nutzt.
Die Angriffsfläche für jede Domain ist also größer als ihr Registrar, größer als ihr DNS-Anbieter und größer als ihr Web-Host. Sie umfasst das gesamte globale Routing-Geflecht, das Ihre DNS-Anfrage an den richtigen Ort bringt. MyEtherWallet musste das auf die harte Tour lernen.
Was Nutzer am 24. April 2018 verloren
Der Schaden konzentrierte sich auf ein rund zweistündiges Zeitfenster. Laut The Register lief das bösartige Routing zwischen 11:00 und 13:00 Uhr UTC an diesem Tag. In diesem Zeitfenster wurde ein Teil aller, die versuchten, myetherwallet.com zu erreichen, still und leise an einen Betrüger weitergeleitet.
Der Betrüger war überzeugend. Er sah aus wie MyEtherWallet, weil er ein nahezu exakter Klon war. Das einzige, das ihn verriet, war eine Zertifikatswarnung — und entscheidenderweise konnten Nutzer diese Warnung einfach wegklicken. Wer es tat und sich dann einloggte, übergab die Schlüssel zu seinen eigenen Geldmitteln. Wie BleepingComputer berichtete, hatten jene, die sich einloggten, ihre privaten Wallet-Schlüssel gestohlen, die der Angreifer nutzte, um Konten zu leeren.
Die Schadenssumme wird in verschiedenen Quellen leicht unterschiedlich angegeben, aber die Kerngröße ist konsistent. BleepingComputer bezifferte sie auf 215 Ether, zum Zeitpunkt der Transaktion dem Gegenwert von 160.000 $. CyberScoop berichtete, dass die Diebe 215 Ether stehlen konnten, was zu dem Zeitpunkt etwa 152.000 $ entsprach. Help Net Security fasste zusammen, dass Angreifer rund 150.000 $ in Ethereum stehlen konnten. Dieselben 215 ETH; der Dollarbetrag schwankt nur mit dem Wechselkurs zum Zeitpunkt des Diebstahls.
Das ist die brutale Ökonomie eines Routing-plus-DNS-Angriffs auf eine Krypto-Wallet. Es gibt keine Betrugs-Rückbuchungsabteilung, keine Rückbuchung, keine Bank, die man anrufen kann. Sobald private Schlüssel in den Klon eines Angreifers eingegeben und Gelder on-chain bewegt wurden, sind sie weg.
Wie es geschah: Route kapern, Antwort vergiften, Klon bereitstellen
Der Angriff kettete zwei Versagen aneinander. Keines davon allein hätte funktioniert. Zusammen waren sie verheerend.
Schritt eins: Die Route zu Amazons DNS-Servern kapern. MyEtherWallet nutzte Amazons verwalteten DNS-Dienst. Wie Help Net Security klar feststellte, verwendet MyEtherWallet.com Amazons Route 53 DNS-Dienst. Die Angreifer drangen nicht in Route 53 ein. Stattdessen war laut The Register jemand in der Lage, BGP-Nachrichten – Border Gateway Protocol – an die Core-Router des Internets zu senden, um sie davon zu überzeugen, den für einige AWS-Server bestimmten Datenverkehr an eine abtrünnige Maschine zu senden.
Die Ankündigung, die dies auslöste, kam von einem unerwarteten Ort. The Register berichtete, dass der Netzwerkblock AS10297, der dem in Ohio ansässigen Website-Hosting-Unternehmen eNet gehört, ankündigte, Datenverkehr übernehmen zu können, der für einige IP-Adressen von AWS bestimmt war. Und weil BGP spezifischere Routen bevorzugt und seinen Peers vertraut, breitete sich die gefälschte Ankündigung aus. Wikipedia verzeichnet das Ausmaß: Rund 1300 IP-Adressen im Amazon Web Services-Bereich, die Amazon Route 53 gewidmet sind, wurden von eNet (oder einem Kunden davon), einem ISP in Columbus, Ohio, gekapert. Mehrere Peering-Partner, wie Hurricane Electric, verbreiteten die Ankündigungen blindlings. „Blindlings verbreitet" ist die ganze Geschichte von BGPs Vertrauensmodell in zwei Worten.
Schritt zwei: DNS-Server werden und lügen. Sobald die Route gekapert war, landeten Anfragen, die eigentlich zu Amazons echten DNS-Servern hätten gehen sollen, stattdessen auf der Maschine des Angreifers. Diese Maschine imitierte Route 53. The Register beschrieb das Ergebnis: Diese abtrünnige Maschine fungierte dann als AWS DNS-Dienst und gab falsche IP-Adressen für MyEtherWallet.com aus, die einige unglückliche Besucher der Dot-com-Seite zu einer Phishing-Site umleiteten. Kentiks Analyse stellt denselben Sachverhalt von der DNS-Seite dar: Der Imitator-autoritativer DNS-Server gab gefälschte Antworten für myetherwallet.com zurück und leitete Nutzer zu einer Imitator-Version von MyEtherWallets Website um.
Schritt drei: Den Phishing-Klon bereitstellen — aus Russland. Die vergifteten DNS-Antworten leiteten Nutzer an einen Server in Russland weiter, auf dem die gefälschte Wallet gehostet wurde. Help Net Security berichtete, dass die Angreifer den Hijack nutzten, um den für MyEtherWallet.com bestimmten Datenverkehr zur gleichaussehenden Phishing-Site umzuleiten, die auf einem Server in Russland gehostet wird.
Die eine Schutzmaßnahme, die fast funktionierte: das Zertifikat. Hier ist der Teil, bei dem jeder Leser innehalten sollte. Die Angreifer kontrollierten die Auflösung der Domain und den Server, konnten aber kein gültiges TLS-Zertifikat für myetherwallet.com von einer vertrauenswürdigen Stelle vorweisen. Also tat der Browser genau das, was er tun sollte — er zeigte eine Warnung. Help Net Security beschrieb es präzise: Das einzige, was darauf hindeutete, dass die Phishing-Site nicht das ist, was sie vorgab zu sein, war die Warnung, die Besuchern angezeigt wurde, dass das von der Site verwendete TLS-Zertifikat von einer unbekannten Behörde signiert wurde (d.h. selbstsigniert war). BleepingComputer stimmte zu, dass das Zeichen für jeden, der aufpasste, offensichtlich war: Die gefälschte Website war leicht zu erkennen, weil die Angreifer ein selbstsigniertes TLS-Zertifikat verwendeten, das bei allen modernen Browsern einen Fehler auslöste.
Aber „leicht zu erkennen" setzt voraus, dass der Nutzer innehält. ESETs WeLiveSecurity erfasste, wie dünn der Schutz wirklich war: Der einzige offensichtliche Hinweis, den ein typischer Nutzer hätte bemerken können, war, dass ihm beim Besuch der gefälschten MyEtherWallet-Site eine Fehlermeldung angezeigt wurde, die ihm mitteilte, dass die Site ein nicht vertrauenswürdiges SSL-Zertifikat verwendete. Der Browser hob die Hand und sagte Das stimmt nicht. Die Nutzer, die Geld verloren, sind jene, die trotzdem weitergeklickt haben — und Opfer mussten eine HTTPS-Fehlermeldung durchklicken, da die gefälschte MyEtherWallet.com ein nicht vertrauenswürdiges TLS/SSL-Zertifikat verwendete.
Reaktion und Folgen
Der Hijack war für jene, die das Routing beruflich beobachten, nicht subtil. Netzwerk-Monitore sahen die gefälschten, spezifischeren Präfixe erscheinen und dann innerhalb desselben zweistündigen Fensters wieder verschwinden, und sobald die abtrünnige Ankündigung zurückgezogen wurde, kehrte das normale Routing zu Route 53 zurück.
MyEtherWallet selbst betonte nachdrücklich, dass seine eigene Infrastruktur nicht kompromittiert worden war. Wie das Unternehmen unmittelbar danach betonte, lag das Problem in den Rohren des Internets, nicht in der Anwendung — dies war ein DNS-Hijacking des Auflösungspfads, das durch BGP erreicht wurde, und keine Kompromittierung von MEWs Servern oder Code.
Die tiefgreifendere Lösung landete auf der Routing-Ebene. Der Vorfall wurde zu einem der am häufigsten zitierten Argumente für RPKI (Resource Public Key Infrastructure) und ROAs (Route Origin Authorizations) — kryptografische Einträge, die es Netzwerken ermöglichen, auf überprüfbare Weise zu erklären, welche autonomen Systeme berechtigt sind, welche IP-Präfixe anzukündigen. Mit gültigen ROAs an Ort und Stelle kann eine verirrte „Ich übernehme Amazons Adressen"-Ankündigung von einem ISP in Ohio als RPKI-ungültig markiert und verworfen werden, anstatt blind weitergeleitet zu werden. Kentik stellt die Konsequenz direkt fest: Wenn dieselbe Ankündigung heute gegen ein ordnungsgemäß signiertes Präfix gemacht würde, würde sie als RPKI-ungültig bewertet werden. In den Jahren nach solchen Angriffen beschleunigten große Netzwerke die Veröffentlichung von ROAs genau für diese Art von Route.
Aber die RPKI-Übernahme ist ein globaler, mehrjähriger, freiwilliger Prozess. Die Lehre für alle anderen war einfacher und unmittelbarer: Die Sicherheit Ihrer Domain hängt von Schichten ab, die Sie nicht besitzen und nicht sehen können.
Was das über BGP und DNS als standardmäßig vertrauend lehrt
Dieser Vorfall ist es wert, eingeprägt zu werden, weil er das übliche mentale Modell von „Domain-Sicherheit" auf den Kopf stellt.
Die meisten Menschen denken, Domain-Sicherheit bedeutet ein starkes Registrar-Passwort, Zwei-Faktor-Authentifizierung und eine Registrar-Sperre. All das ist real und notwendig — und nichts davon hätte den 24. April 2018 verhindert. Die Angreifer haben den Registrar nie berührt, nie MyEtherWallets DNS-Einträge berührt, nie seine Server berührt. Die Einträge sagten die ganze Zeit das Richtige. Das Internet hat einfach aufgehört, Anfragen an den Ort zu liefern, der sie hielt.
Einige dauerhafte Erkenntnisse:
-
Ihre Domain reitet auf geborgtem Vertrauen. Die Auflösung hängt von BGP ab, und BGP ist standardmäßig so konzipiert, dass es allen von Peers gesendeten Routen-Ankündigungen vertraut. Sie können eine fehlerlose DNS-Konfiguration haben und trotzdem eine Ebene darunter gekapert werden.
-
DNS-Vergiftung kann erreicht werden, ohne DNS jemals zu berühren. Kapern Sie die Route zum DNS-Server und Sie kontrollieren die Antworten, auch wenn die autoritativen Einträge unberührt sind.
-
TLS ist eine echte Absicherung — und eine fragile. Die Zertifikatswarnung war das einzige, was zwischen den Nutzern und einem totalen Verlust stand. Sie funktionierte technisch und versagte verhaltenstechnisch. Eine Sicherheitskontrolle, an der ein Nutzer vorbeiklicken kann, ist nur so stark wie die Geduld des Nutzers.
-
On-Chain-Finalität entfernt das Sicherheitsnetz. Bei einem Bank-Login ist eine vergiftete Sitzung schlimm. Bei einer Krypto-Wallet ist sie unwiderruflich. Derselbe Angriff gegen eine andere Art von Site wäre ein Schrecken gewesen; hier war es ein dauerhafter Verlust.
-
Tiefenverteidigung muss die Routing-Schicht einschließen. RPKI/ROA auf Netzwerkebene, plus Überwachung auf unerwartete Ursprungs-Ankündigungen Ihrer Präfixe, sind jetzt Mindestanforderungen für alles mit hohem Wert.
Der Namefi-Aspekt
Der MyEtherWallet-Angriff ist eine scharfe Erinnerung daran, dass eine Domain keine einzelne Sache ist, die man „besitzt" — es ist ein Stapel von Vertrauensbeziehungen, von denen jede Schicht untergraben werden kann: die Registry, der Registrar, der DNS-Anbieter und das globale Routing-Geflecht, das Anfragen an diesen Anbieter liefert.
Namefi ist darauf ausgerichtet, die Eigentums-Schicht dieses Stapels überprüfbar und manipulationssicher zu machen. Tokenisierter Domain-Besitz bedeutet, dass die Kontrolle über eine Domain kryptografisch nachgewiesen und auf eine überprüfbare Weise übertragen werden kann, anstatt ausschließlich auf einem Kontopasswort bei einem einzigen Anbieter zu beruhen — während sie dennoch mit DNS kompatibel bleibt. Es behebt für sich allein nicht BGP; nichts auf der Eigentums-Schicht schreibt um, wie das Internet Pakete routet. Aber es greift dieselbe zugrundeliegende Krankheit an, die dieser Vorfall aufdeckte: Zu viel kritisches Internet-Vertrauen ist implizit, nicht überprüfbar und durch jeden, der die richtige Nachricht fälschen kann, umkehrbar.
Die Zukunft der Domain-Sicherheit sieht weniger nach einem starken Passwort aus und mehr nach kryptografischem Beweis auf jeder Ebene — verifizierbares Eigentum, verifizierbares Routing (RPKI), verifizierbare Identität (TLS). MyEtherWallets Nutzer verloren Geld in der Lücke zwischen diesen Schichten. Diese Lücke zu schließen, eine überprüfbare Schicht nach der anderen, ist das gesamte Projekt.
Die Domain-Einträge waren am 24. April 2018 nie falsch. Das Internet glaubte nur einer Lüge darüber, wie man sie erreicht. „Wer was besitzt und wie man es erreicht" nachweisbar statt angenommen zu machen, ist die Art, wie man sicherstellt, dass die nächste gefälschte Ankündigung verworfen statt befolgt wird.
Quellen und weiterführende Literatur
- The Register — Cryptocurrency thieves snatch ~$150k after BGP hijack reroutes MyEtherWallet DNS
- BleepingComputer — Hacker Hijacks DNS Server of MyEtherWallet to Steal $160,000
- Help Net Security — MyEtherWallet users robbed after successful DNS hijacking attack
- CyberScoop — Amazon DNS service server hijacked for $152,000 Ether theft
- ESET WeLiveSecurity — Ethereum cryptocurrency wallets raided after Amazon's internet domain service hijacked
- Kentik — What can be learned from recent BGP hijacks targeting cryptocurrency services?
- Wikipedia — BGP hijacking
- Bob Cromwell — BGP Hijacking
- Neptune Mutual — How Was MEW (MyEtherWallet) DNS Spoofed?
- WCCFTech — Hackers Hijacked DNS Servers to Steal from MyEtherWallet Users
Über die Autor*innen
Verwandte Leitfäden
- Die 12-Dollar-Minute: Als jemand google.com stillschweigend kaufteIm September 2015 kaufte ein ehemaliger Google-Mitarbeiter google.com über Google Domains für 12 Dollar und hatte etwa eine Minute lang die administrative Kontrolle über die wertvollste Domain der Welt. Die Geschichte von Sanmay Ved, dem 6.006,13-Dollar-Kopfgeld und was eine Minute Eigentumsrecht darüber verrät, wer wirklich eine Domain kontrolliert.
- Domain Mayday EP03: Die Twitter-Bitcoin-Kontoübernahme 2020Am 15. Juli 2020 verschafften sich Angreifer per Telefon Zugang zu Twitter, übernahmen die verifizierten Konten von Obama, Biden, Musk, Gates, Apple und Uber und führten einen Bitcoin-Verdopplungsbetrug durch – mit einer Beute von rund 118.000 US-Dollar. Eine Tiefenanalyse, wie die Kontrolle über eine Online-Identität gestohlen wurde und was das für den Besitz eines Namens bedeutet.
- Domain Mayday EP05: Der Squarespace-DeFi-Domain-Massenraub 2024Im Juli 2024 verwandelte eine Registrar-Migration von Google Domains zu Squarespace schwache Standard-Authentifizierung in eine Massenangriffsfläche. Angreifer kaperten die Domains von Krypto- und DeFi-Projekten – Compound Finance, Celer Network, Pendle, Unstoppable Domains – und leiteten sie auf Wallet-Drainer-Phishing-Seiten um. So schuf eine „nahtlose" Migration hunderte ungesicherter Eingangstüren, und was das über Registrar-Sicherheit und MFA lehrt.
- Der BadgerDAO-Frontend-Angriff: 120 Millionen Dollar durch ein eingeschleustes Skript abgezogenIm Dezember 2021 kompromittierten Angreifer das Cloudflare-Konto von BadgerDAO und schleusten ein bösartiges Skript in das Website-Frontend ein. Die auditierten Smart Contracts wurden nie berührt — und dennoch verschwanden rund 120 Millionen Dollar durch Wallet-Freigaben, die Nutzer unwissentlich unterzeichneten. Eine Tiefenanalyse darüber, warum die Website Teil Ihrer Sicherheitsoberfläche ist.