Im Kern geht es um einen Fehler bei der Erzeugung von Seed-Phrasen, also den meist aus 12 oder 24 Wörtern bestehenden Wiederherstellungsphrasen, die eine Self-Custody-Wallet kontrollieren. Laut Coinspect nutzten die betroffenen Wallets bei der Erstellung dieser Phrasen einen schwachen Zufallszahlengenerator. Dadurch schrumpfte die Zahl möglicher Wortfolgen von einem praktisch unerschöpflichen Raum auf einen Bereich, den Angreifer systematisch durchsuchen können. Wie stark diese Reduktion ausfällt, hat das Unternehmen nicht veröffentlicht.

Coinspect zufolge ließ sich der Angriff vollständig rekonstruieren. Die Forscher erzeugten den kompletten Satz an Phrasen, die der schwache Generator hervorbringen kann, leiteten daraus die zugehörigen Wallet-Adressen ab und prüften anschließend öffentliche Blockchain-Daten auf Adressen, die noch Guthaben hielten. So entstand eine Beobachtungsliste von Wallets, die aufgrund ihrer Entstehung als kompromittierbar gelten – unabhängig davon, mit welcher App sie erzeugt wurden.

Zum Stand vom 30. Juni hatte Coinspect nach eigenen Angaben 2.114 exponierte Adressen mit On-Chain-Aktivität auf Bitcoin, Ethereum, Rootstock, Tron und Polygon identifiziert. Der koordinierte Zugriff vom 27. Mai betraf 431 davon und führte zu Abflüssen von rund 3,1 Millionen US-Dollar. Am stärksten betroffen war Bitcoin mit etwa 2,57 Millionen US-Dollar; eine einzelne Bitcoin-Adresse verlor dabei mehr als 1,1 Millionen US-Dollar.

Dass es sich um einen koordinierten Diebstahl handelte, leitet Coinspect aus dem Bewegungsmuster ab: Hunderte nicht miteinander verbundene Wallets überwiesen ihre Guthaben innerhalb weniger Stunden an dieselben wenigen Sammeladressen. Rechnet man spätere Bewegungen hinzu, sind seit dem 27. Mai nach Firmenangaben mehr als 5 Millionen US-Dollar aus diesen Wallets abgeflossen. Coinspect bezeichnet das ausdrücklich als Untergrenze, da bislang nur dieser Adresssatz erfasst sei und weitere Fälle erwartet würden. Auf dem Höchststand im Jahr 2022 habe derselbe Satz an Wallets rekonstruiert einen Wert von 12,56 Millionen US-Dollar gehabt, wobei der Großteil davon vor dem Zugriff vom 27. Mai bereits mit dem Markt gefallen sei.

Ob eine Adresse zu den bislang bekannten gefährdeten Wallets gehört, lässt sich laut Coinspect über den kostenlosen Prüfdienst illbloom.org abgleichen. Unterstützt werden Bitcoin-, Tron-, Solana- und Ethereum-kompatible Adressen, darunter Ethereum, Polygon, BNB und andere EVM-Ketten. Ein Treffer bedeutet nach Angaben des Unternehmens, dass die Wiederherstellungsphrase als kompromittiert behandelt und das Guthaben in eine neue Wallet verschoben werden sollte. Coinspect weist zugleich darauf hin, dass ein unauffälliges Ergebnis keine Entwarnung ist, weil die Liste unvollständig ist.

Das Unternehmen warnt außerdem vor angeblichen Rettungsangeboten. Ein seriöser Prüfdienst benötige keine Geheimnisse. Coinspect erklärt, man werde „niemals nach Seed-Phrasen, privaten Schlüsseln, Signaturen oder Freigaben fragen oder Nutzer auffordern, Gelder zu senden, um eine Wallet wiederherzustellen oder zu schützen“.

„Ill Bloom“ reiht sich in eine Serie ähnlicher Fehler ein. Coinspect verweist auf Milk Sad aus dem Jahr 2023, benannt nach „milk sad“; der Fehler in Libbitcoin Explorer trug die Kennung CVE-2023-39910 und ermöglichte es Dieben, in einer Aktion im Juli Millionen abzuziehen. Als nah verwandten Fall nennt der Bericht zudem CVE-2023-31290 in der Trust Wallet-Browsererweiterung, die im selben Jahr in weniger als einem Tag berechenbar gewesen sei. Auch Randstorm, über das The Hacker News 2023 berichtete, beruhte auf schwacher Zufälligkeit und machte Bitcoin-Wallets aus den Jahren 2011 bis 2015 angreifbar.

Offen ist derzeit vor allem, welche Anwendungen die schwachen Seed-Phrasen erzeugt haben. Aus einer öffentlichen Wallet-Adresse lässt sich die Ursprungs-App nicht ablesen. Deshalb bittet Coinspect Nutzer mit Treffern, die verwendete Software zu melden, und gibt Erkenntnisse an die Hersteller und zuständigen Teams weiter.