Ronin Network: 625 Millionen Dollar von Crypto-Gaming-Unternehmen Axie Infinity gestohlen

  • Startseite
  • Blog
  • Ronin Network: 625 Millionen Dollar von …
Ronin Network: 625 Millionen Dollar von Crypto-Gaming-Unternehmen Axie Infinity gestohlen
25. Juni 2026 12:31

Ronin Network-Angriff: Wie wurden 625 Millionen Dollar beim größten Raub der Krypto-Geschichte gestohlen?

Im März 2022 wurde die Kryptowelt von einer der größten Sicherheitsverletzungen in der Blockchain-Geschichte erschüttert. Aus dem Ronin Network, das die Infrastruktur des Spiels Axie Infinity bildet, wurden Kryptowährungen im Wert von 625 Millionen Dollar gestohlen. Dieses Ereignis enthält nicht nur aus finanzieller Sicht, sondern auch hinsichtlich der Blockchain-Sicherheit und der Schwachstellen des DeFi-Ökosystems kritische Lektionen. Dieser von der nordkoreanisch verbundenen Lazarus Group durchgeführte Cyberangriff wurde zu einem eindrucksvollen Beispiel dafür, wie Social Engineering und technische Schwachstellen zusammen zu einer großen Katastrophe führen können.

Ronin Network köprüsüne yönelik siber saldırı görseli
Cyberangriff auf die Ronin Network Bridge

Das Ronin Network und Axie Infinity Ökosystem

Ronin Network ist eine speziell für das beliebte Blockchain-basierte Spiel Axie Infinity entwickelte Ethereum-Sidechain. Diese von Sky Mavis geschaffene Infrastruktur wurde entwickelt, um Spielern NFT- und Kryptowährungstransfers mit niedrigen Transaktionsgebühren und schnellen Transaktionen zu ermöglichen. Axie Infinity war zu einer Pionierplattform geworden, die besonders in Südostasien Millionen von Nutzern erreichte und bei der Spieler im Spiel Verdienste erzielen konnten (play-to-earn).

Die Ronin-Bridge war eine kritische Komponente, die es Nutzern ermöglichte, Vermögenswerte zwischen dem Ethereum-Mainnet und der Ronin-Sidechain zu transferieren. Diese Bridge-Struktur wurde von Validator-Nodes kontrolliert. Die Sicherheit des Systems basierte auf einem Konsensmechanismus, der die Zustimmung von fünf der neun Validator-Nodes erforderte. Genau hier lag die kritische Schwachstelle, auf die die Angreifer abzielten.

Anatomie des Angriffs: Der raffinierte Plan der Lazarus Group

Die Lazarus Group ist eine mit der nordkoreanischen Regierung verbundene, hochentwickelte Cybercrime-Organisation, die sich zuvor durch Angriffe auf Sony Pictures, die WannaCry-Ransomware-Attacke und zahlreiche Kryptobörsen-Überfälle einen Namen gemacht hat. Der Ronin Network-Angriff wurde zu einer der lukrativsten Operationen der Gruppe und war das Produkt eines monatelangen akribischen Planungsprozesses.

Gefälschtes Jobangebot: Die Macht des Social Engineering

Der Angriff begann mit einer klassischen Social Engineering-Taktik. Mitglieder der Lazarus Group kontaktierten leitende Ingenieure von Sky Mavis über LinkedIn mit attraktiven Jobangeboten. Diese Angebote wirkten äußerst professionell und waren auf die Karriereziele der anvisierten Mitarbeiter personalisiert. Die Angreifer bauten Vertrauen auf, indem sie bekannte Krypto-Unternehmen imitierten.

Als Teil des gefälschten Einstellungsprozesses wurde den Zielpersonen ein PDF-Dokument gesendet, um ihre technischen Fähigkeiten zu testen. Dieses Dokument war scheinbar eine harmlose Stellenbeschreibung oder ein technisches Bewertungsdokument, enthielt jedoch Schadsoftware. Das System des Mitarbeiters, der das Dokument öffnete, wurde kompromittiert, und die Angreifer erlangten so ihren ersten Zugang zum Unternehmensnetzwerk.

Erlangung der privaten Schlüssel

Nach dem Eindringen ins System bewegte sich die Lazarus Group mit Lateral-Movement-Techniken im Netzwerk vorwärts. Das eigentliche Ziel der Angreifer waren die privaten Schlüssel, die die Validator-Nodes kontrollierten. In Blockchain-Systemen sind private Schlüssel das kritischste Sicherheitselement zur Kontrolle digitaler Vermögenswerte, und sobald sie kompromittiert sind, geht die Transaktionsbefugnis vollständig an die Angreifer über.

Die Angreifer gelang es, die privaten Schlüssel von vier Sky Mavis gehörenden Validator-Nodes zu erlangen. Zur Bestätigung von Transaktionen waren jedoch fünf Schlüssel erforderlich. Hier kam eine zweite Schwachstelle ins Spiel: der Validator-Node der Axie DAO. Sky Mavis hatte zuvor die Erlaubnis erhalten, die Validator-Nodes der Axie DAO zu nutzen, um das hohe Transaktionsvolumen zu bewältigen. Obwohl diese Erlaubnis im November 2021 auslief, wurde die Whitelist-Konfiguration nicht entfernt. Dieser Aufsichtsfehler verschaffte den Angreifern den benötigten fünften Schlüssel.

Validator node'lardan özel anahtar çalınması görseli
Diebstahl privater Schlüssel von Validator-Nodes

Entdeckung des Angriffs und Folgen

Eines der überraschendsten Elemente war die Zeit bis zur Entdeckung des Angriffs. Die ersten unauthorisierten Transaktionen wurden am 23. März 2022 durchgeführt, aber die Verletzung wurde erst am 29. März entdeckt, als ein Nutzer meldete, dass er kein ETH von der Ronin-Bridge abheben konnte. Diese sechstägige Zeitspanne ermöglichte es den Angreifern, 173.600 Ethereum und 25,5 Millionen USDC-Stablecoins bequem zu transferieren. Zum damaligen Wert betrug der Gesamtschaden etwa 625 Millionen Dollar.

Sky Mavis fror unmittelbar nach der Entdeckung die Ronin-Bridge ein und begann die Zusammenarbeit mit Strafverfolgungsbehörden. Das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums schrieb den Angriff der Lazarus Group zu und setzte die Wallet-Adressen, an die die Krypto-Assets transferiert wurden, auf die schwarze Liste. Zu diesem Zeitpunkt war der Schaden jedoch bereits angerichtet.

Lehren aus der Blockchain- und DeFi-Sicherheit

Validator-Node-Sicherheit und Multi-Signatur-Systeme

Der Ronin-Angriff zeigte, dass selbst in dezentralen Systemen zentralisierte Schwachstellen existieren können. Die Kontrolle über fünf der neun Validatoren lag bei einer einzigen Organisation (Sky Mavis), was faktisch einen Single Point of Failure darstellte. Es ist von kritischer Bedeutung, dass Blockchain-Projekte Validator-Nodes an verschiedenen geografischen Standorten, in verschiedenen Organisationen und in isolierten Sicherheitsumgebungen verteilen.

Bei Multi-Signatur-Wallet-Konfigurationen gilt: Je höher der Schwellenwert, desto höher die Sicherheit. Anstelle von 5/9 würde beispielsweise ein höherer Schwellenwert von 7/9 oder 8/9 die Arbeit der Angreifer erschweren. Dies ist jedoch eine Frage des Abwägens mit der operativen Effizienz.

Private-Key-Management und Hardware-Sicherheit

Die Aufbewahrung privater Schlüssel ist der Grundstein der Krypto-Sicherheit. Dieser Angriff verdeutlichte erneut die Risiken der Aufbewahrung privater Schlüssel in Online-Systemen (Hot Wallets). Hardware Security Modules (HSM) oder Offline-Cold-Wallet-Lösungen sollten für kritische Schlüssel Standard sein. Insbesondere für Schlüssel, die hochwertige Vermögenswerte kontrollieren, sollten fortschrittliche kryptografische Methoden wie Multi-Party Computation (MPC) oder Threshold Cryptography eingesetzt werden.

Ähnliche Beiträge

Cybersecurity-Awareness-Schulung: Endpoint-Sicherheit und EDR — IT-Leitfaden
Cybersecurity-Awareness-Schulung: Cyber-Risikomanagement und Geschäftskontinuität für die Geschäftsführung
Cybersecurity Awareness Training: Patch- und Update-Management — IT-Sicherheitsverfahren

Kategoriler

Neueste Beiträge

Cybersecurity-Awareness-Schulung: Endpoint-Sicherheit und EDR — IT-Leitfaden

Cybersecurity-Awareness-Schulung: Endpoint-Sicherheit und EDR — IT-Leitfaden

14. Mai 2026
Cybersecurity-Awareness-Schulung: Cyber-Risikomanagement und Geschäftskontinuität für die Geschäftsführung

Cybersecurity-Awareness-Schulung: Cyber-Risikomanagement und Geschäftskontinuität für die Geschäftsführung

14. Mai 2026
Cybersecurity Awareness Training: Patch- und Update-Management — IT-Sicherheitsverfahren

Cybersecurity Awareness Training: Patch- und Update-Management — IT-Sicherheitsverfahren

14. Mai 2026
Cybersecurity Awareness Training: Schutz vor Social Engineering-Angriffen

Cybersecurity Awareness Training: Schutz vor Social Engineering-Angriffen

14. Mai 2026
Cybersecurity-Awareness-Schulung: Ransomware — Wie schützen sich Mitarbeiter?

Cybersecurity-Awareness-Schulung: Ransomware — Wie schützen sich Mitarbeiter?

14. Mai 2026

Beliebte Tags