Falschmeldung über Bitcoin-ETFs: So konnten Hacker eine Schwachstelle des SEC-Accounts ausnutzen

Redaktion finanzen.net

05.02.2024 23:48

Lightboxx / Shutterstock.com

Einen Tag bevor die US-Börsenaufsicht SEC die ersten Bitcoin-Spot-ETFs in den USA genehmigte, verschafften sich Unbekannte Zugang zum X-Account der Behörde und setzten einen Beitrag ab, der fälschlicherweise die Zulassung besagter ETFs verkündete. Mittlerweile hat die SEC herausgefunden, wie das passieren konnte.

• X-Account der SEC wird gehackt
• Zulassung von Bitcoin-ETFs durch Unbekannte verkündet
• SIM-Swapping machte Hack möglich

Dass die SEC Bitcoin-Spot-ETFs zulässt, hat auf dem Kryptomarkt und darüber hinaus für ordentlich Gesprächsstoff gesorgt. Doch schon zwei Tage vor der Verkündung seitens der US-Börsenaufsicht gab es reichlich Aufsehen um zwei Beiträge, die vonseiten des öffentlichen X-Accounts der SEC abgesetzt wurden.

Unbekannte veröffentlichen "Fake"-Posts

So wurde im ersten veröffentlichten Post verkündet, die SEC habe Bitcoin-Spot-ETFs grünes Licht erteilt. In einem zweiten Post, der kurz danach veröffentlicht wurde, hieß es lediglich "$BTC.", wie aus einem Statement der Behörde hervorgeht. Kurz darauf hätten die Unbekannten den zweiten X-Beitrag wieder gelöscht, den ersten jedoch beibehalten. Außerdem seien noch zwei Posts von nicht SEC-Accounts geliked worden.

Schon kurz darauf informierte die Behörde die Öffentlichkeit zunächst über den offiziellen X-Account von SEC-Chef Gary Gensler darüber, dass das X-Konto der SEC gehackt worden und der Post zur Zulassung von Bitcoin-ETFs falsch sei. Daraufhin wurde der falsche Beitrag gelöscht und auch auf dem SEC-Account noch einmal über den falschen Post informiert.

Bitcoin reagiert zeitweilig mit satten Gewinnen

Dennoch führten die falschen Mitteilungen zu einem zeitweiligen Kurssprung beim Bitcoin und anderen Kryptowährungen. So übersprang der BTC-Kurs zeitweise die Marke von 47.900 US-Dollar, bevor er seine Gewinne wieder abgab.

"SIM-Swapping" Ursache des Hacks

Auch wenn die Untersuchungen bezüglich des Hacks weiter laufen, hat die SEC laut ihres Statements mittlerweile herausgefunden, wie es zu dem Übergriff durch Unbekannte kommen konnte. So ist die Börsenaufsicht einem sogenannten "SIM-Swapping" zum Opfer gefallen. Dabei erlangten die Hacker die Kontrolle über die Telefonverbindung, die mit dem X-Konto der SEC verknüpft war. Haben die Betrüger erst einmal Kontrolle über das Telefon erlangt, können sie der Telefonnummer ein neues Gerät hinzufügen. Auf diese Weise sei es, laut Reuters, möglich gewesen, das X-Passwort des SEC-Kontos zurückzusetzen und schließlich Kontrolle über den Account zu erlangen.

Schwache Sicherheitseinstellungen

Die SEC wurde dafür kritisiert, die Zwei-Faktor-Authentifizierung für ihren X-Account zum Zeitpunkt des Hacks deaktiviert gehabt zu haben. Von Seiten eines Panels des US-Kongress hieß es in einem Brief an die SEC: "Dieses Versagen ist inakzeptabel und es ist erschreckend, dass ihre Behörde nicht einmal die eigenen Standards einhält, die es der Privatwirtschaft vorschreibt", wie Reuters aus dem Schreiben zitiert.

Seither hat die SEC wieder die Authentifizierung durch mehrere Faktoren für alle Social Media-Plattformen eingeführt, bei denen die Behörde vertreten ist. Der Vorfall werde weiterhin untersucht, nicht nur durch die SEC selbst, sondern durch weitere Behörden, zu denen auch das US-Justizministerium und das FBI gehören. Im Statement der SEC heißt es, dass es "aktuell keinen Hinweis" darauf gäbe, "dass die Unbekannten Zugriff auf die SEC-Systeme, Daten, Geräte oder andere Social Media-Accounts hatten".

Ob der Hack noch andere Konsequenzen nach sich zieht oder die Schuldigen gefasst werden, bleibt abzuwarten.

Redaktion finanzen.net