Breaking: Krypto Gelder in Gefahr durch riesigen Supply Chain Angriff
Ein manipuliertes npm-Paket bedroht JavaScript-Projekte und Krypto-Wallets. So funktioniert der Angriff und so schützt du dich.
Krypto Hack: Was ist passiert?
Das weit verbreitete npm-Paket error-ex wurde in der Version 1.3.3 mit schädlichem Code versehen. Im Hintergrund lauern zwei richtig gefährliche Angriffsarten:
- Clipboard Hijacking: Wenn du eine Wallet-Adresse einfügst, tauscht die Malware sie heimlich gegen eine fast identische Angreifer-Adresse aus.
- Transaction Interception: Nutzt du eine Browser-Wallet, kann der Code Transaktionen abfangen und die Empfängeradresse ändern, bevor du überhaupt die Bestätigung siehst.
Kaum zu erkennen — außer du überprüfst jedes einzelne Zeichen der Adresse, bevor du sendest.
Wer ist von diesem Krypto Hack betroffen?
- Entwickler: Jedes Projekt, das Abhängigkeiten ohne feste Versionen installiert, könnte die manipulierte Version drin haben. Das betrifft CI-Pipelines, Builds und Web-Apps.
- Krypto-Nutzer: Betroffen sind große Coins wie $BTC, $ETH, $SOL, $TRX, $LTC und $BCH. Sowohl Copy-Paste-Nutzer als auch Browser-Wallets sind gefährdet.
- Plattformen: Selbst zentralisierte Apps, die npm-Libraries eingebunden haben, könnten unbewusst betroffen sein.
Reale Auswirkungen
Schon jetzt hat SwissBorg einen Vorfall bestätigt: Durch eine kompromittierte Partner-API wurden rund 192.6K SOL (~41,5 Mio. USD) abgezogen. Betroffen war das SOL Earn Program, weniger als 1% der Nutzer. Die SwissBorg-App selbst blieb sicher. Das Team hat zugesichert, Nutzer mit Treasury-Mitteln und Unterstützung von White-Hat-Hackern zu entschädigen.
So schützt du dich
Hier sind die wichtigsten Schritte, die du sofort machen solltest:
Für Wallet-Nutzer
✅ Jede Transaktion prüfen — die komplette Empfängeradresse checken, bevor du unterschreibst.
✅ Hardware-Wallets mit klarem Signieren nutzen.
✅ Browser-Wallet-Extensions minimieren, nur was du wirklich brauchst.
✅ Wenn dir etwas komisch vorkommt (unerwartete Signaturanfragen), Tab sofort schließen.
Für Entwickler
⚙️ In CI-Builds statt npm install lieber npm ci nutzen, damit nur feste Versionen installiert werden.
⚙️ Mit npm ls error-ex checken, ob das Projekt betroffen ist.
⚙️ Sichere Versionen pinnen (error-ex@1.3.2) und Lockfiles neu generieren.
⚙️ Tools wie Snyk oder Dependabot einbauen.
⚙️ Jede Änderung an package-lock genauso ernst prüfen wie Code-Änderungen.
Ausblick
Dieser Vorfall zeigt wieder mal, wie anfällig Supply-Chains im Web3 sind. Ein kleines Paket kann einen riesigen Domino-Effekt auslösen — Milliarden von Downloads, Entwickler und Krypto-Nutzer weltweit betroffen. Die größte Gefahr liegt aktuell im Austauschen von Wallet-Adressen, aber das eigentliche Risiko reicht viel tiefer ins Finanz-Ökosystem.
Bis auf Weiteres gilt: Immer genau prüfen, bevor du unterschreibst. Dependencies festsetzen. Keine Abkürzungen bei Sicherheit.
Anna-Lena Hoffmann
Anna-Lena Hoffmann ist eine talentierte Schriftstellerin aus Hamburg. Ihre Arbeit untersucht oft die Schnittstelle zwischen Technologie und Kryptowährungen. Anna begann ihre Reise in der Blockchain-Welt im Jahr 2017 und ist selbst Krypto-Händlerin und Investorin.
Regelmäßige Updates zu Web3, NFTs, Bitcoin & Preisprognosen.
Bleibe auf dem Laufenden mit CryptoTicker.