US-Justizministerium ermittelt nach Coinbase-Hack wegen versuchter 20-Millionen-Dollar-Erpressung

Das US-Justizministerium untersucht einen Datenverstoß im Zusammenhang mit bestochenen Drittanbietern, die mit Coinbase in Verbindung stehen, nachdem Angreifer auf Benutzerdaten zugegriffen und diese veröffentlicht hatten.

Laut einem Bericht von Bloomberg untersuchen Ermittler der Strafrechtsabteilung des US-Justizministeriums in Washington die Umstände, die zu dem Datenleck führten.

Berichten zufolge arbeitet die Behörde im Rahmen der Ermittlungen mit internationalen Strafverfolgungsbehörden zusammen.

Coinbase meldete den Vorfall den Behörden und bestätigte, dass das Unternehmen mit dem US-Justizministerium zusammenarbeitet.

„Wir haben das US-Justizministerium (DOJ) und andere US-amerikanische und internationale Strafverfolgungsbehörden benachrichtigt und arbeiten mit ihnen zusammen. Wir begrüßen die strafrechtliche Verfolgung dieser Übeltäter durch die Strafverfolgungsbehörden“, wurde Paul Grewal, Chief Legal Officer von Coinbase, zitiert.

Das Justizministerium hat sich noch nicht offiziell zu den Ermittlungen geäußert.

Es wird jedoch berichtet, dass sich die Behörde darauf konzentriert, wie Auftragnehmer außerhalb der USA ihren Zugang zu den internen Systemen von Coinbase ausnutzten und ob die internen Kontrollmechanismen des Unternehmens ausreichend waren.

Coinbase-Nutzer gefährdet

Im Zentrum der Ermittlungen steht ein Erpressungsversuch in Höhe von 20 Millionen Dollar, der von den Angreifern verübt wurde, nachdem diese sich durch die Bestechung von externen Support-Mitarbeitern Zugang zu Benutzerdaten verschafft hatten.

Coinbase gab an, am 11. Mai eine Lösegeldforderung per E-Mail erhalten zu haben.

Der Vorfall wurde erstmals am 15. Mai von Coinbase bestätigt, wobei das Unternehmen angab, dass nur ein kleiner Teil der Nutzer betroffen sei.

Obwohl keine Passwörter oder Gelder kompromittiert wurden, erlangten die Angreifer persönliche Daten wie Namen, E-Mail-Adressen und in einigen Fällen Teile von Sozialversicherungsnummern und Ausweisdokumenten.

Coinbase führte den Sicherheitsverstoß auf Social-Engineering-Taktiken zurück.

Die Drahtzieher des Angriffs sollen ausländische Auftragnehmer bestochen haben, die in der Lage waren, die üblichen Sicherheitsmaßnahmen zu umgehen und auf eingeschränkte interne Systeme zuzugreifen.

Obwohl der Verstoß durch interne Tools erkannt wurde, deuten externe Untersuchungen darauf hin, dass der Verstoß bereits seit Monaten andauerte.

Vor der Offenlegung durch Coinbase hatte der unabhängige Blockchain-Analyst ZachXBT Bedenken hinsichtlich des Problems geäußert.

Bereits im Februar wies ZachXBT auf eine Reihe von Betrugsfällen hin, von denen Coinbase-Nutzer betroffen waren, und verwies auf Angreifer, die Insiderdaten nutzten, um Diebstähle zu begehen.

In Zusammenarbeit mit Tanuki42 identifizierte ZachXBT Muster, bei denen Betrüger den Coinbase-Support imitierten, auf private Daten zugriffen und Benutzer dazu brachten, Gelder zu überweisen.

Ein Teil der Aktivität war mit einer Wallet verknüpft, die mit „coinbase-hold.eth“ beschriftet war.

Er kritisierte die Plattform auch für frühere Sicherheitsmängel, wie z. B. Fehler in Verifizierungssystemen und die Verwendung falsch konfigurierter API-Schlüssel, und behauptete, Coinbase habe es versäumt, diese zu beheben oder öffentlich bekannt zu geben.

ZachXBT schätzte, dass sich die Verluste der Nutzer zwischen Ende 2024 und Anfang 2025 auf 300 Millionen Dollar oder mehr belaufen könnten.

Coinbase antwortet

In der Zwischenzeit leitete Coinbase eine interne Untersuchung ein und begann, Teile seines Support-Teams zur besseren Kontrolle in die USA zu verlegen.

Die an dem Vorfall beteiligten Supportmitarbeiter wurden Berichten zufolge entlassen.

Coinbase hat außerdem eine Belohnung von 20 Millionen Dollar für Hinweise ausgesetzt, die zu den Angreifern führen, und hat zugesagt, betroffenen Nutzern im Einzelfall die entstandenen Schäden zu ersetzen.

Darüber hinaus hat das Unternehmen seine Sicherheit verstärkt, indem es eine verbesserte Identitätsprüfung für risikoreiche Transaktionen, Hinweise zur Betrugsprävention bei Abhebungen und beabsichtigte Verzögerungen bei der Bearbeitung für auffällige Konten eingeführt hat.