Fehler nicht im Bitcoin, sondern in den Systemen

604613_web_R_by_La-Liana_pixelio.deBitcoin-Plattformen sind das bevorzugte Ziel von Hackern. Derzeit geht es in der Bitcoin-Wirtschaft zu wie im Wilden Westen. Neben Mt. Gox gab es in den vergangenen Wochen drei weitere Opfer: Flexcoin, Poloniex und C-Cex. Ist der Bitcoin daher prinzipiell unsicher? Oder mangelt es der Bitcoin-Branche einfach nur an Professionalität? Eine Übersicht, wie die Plattformen ausgeraubt worden sind und was daraus folgt.

Auf den ersten Blick mag eine Bitcoin-Plattform wie ein unerhört lukrativer Selbstläufer erscheinen, egal ob Börse, Marktplatz, Online-Wallet oder Zahlungsdienst. Die Wahrheit ist jedoch, dass ein Bitcoin-Unternehmen eine Menge Stress und viele Risiken mit sich bringt. Nicht nur, weil die Software komplex und die rechtliche Umgebung unscharf definiert ist, sondern auch, weil da draußen im Cyberspace Schwärme von Hackern unterwegs sind, die umso hartnäckiger an den Systemen bohren, je mehr ein Bitcoin wert ist.

In den vergangenen Wochen gab es neben Mt. Gox noch drei weitere Bitcoin-Unternehmen, die bestohlen worden sind. Alle Vorfälle haben einige Gemeinsamkeiten und führen zu mehreren Schlussfolgerungen – für den Nutzer von Bitcoins, für die Betreiber von Bitcoin-Plattformen und für die Bitcoin-Szene als ganzes.

Flexcoin

Zunächst wäre da Flexcoin: Die in Edmonton, Kanada, beheimatete „erste Bitcoin-Bank der Welt“ (eigene Angabe) wurde von einem Hacker restlos ausgenommen. Flexcoin hat ein breites Spektrum an Bitcoin-Dienstleistungen angeboten, das im Kern darin bestand, die Bitcoin-Guthaben der Kunden zu verzinsen und intern als Flexcoins zu verrechnen, um Transaktionen „offchain“ zu vereinfachen und zu beschleunigen. Am Montag gab die „Bitcoin-Bank“ nun bekannt, dass sie 896 Bitcoins verloren habe. Der Dieb habe einen Fehler im System ausgenutzt, der Einlagentransfers zwischen Kundenkonten erlaubt habe. Auf diese Weise habe der Hacker nur buchhalterisch existierende Gelder von Konto zu Konto bewegt, bis der Sender überzogen hatte. Dies habe er durch mehrere Accounts wiederholte und dann die Bitcoins abgehoben. Flexcoin kann den Verlust nicht ausgleichen und ist bankrott. Die Polizei von Edmonton untersucht den Vorfall.

Poloniex

Am Dienstag folgte dann die Altcoin-Börse Poloniex. Sie berichtete, dass ein Angreifer 12,3 Prozent aller gespeicherten Bitcoins im Wert von etwa 50.000 Dollar gestohlen habe. Im Prinzip ähnelt der Tathergang dem Hack bei Flexcoin: Der Dieb hat mehrere Abbuchungen zum exakt selben Zeitpunkt angefordert, die dann vom System ausgeführt wurden, obwohl das Konto nicht ausreichend gedeckt war. Der Betreiber der Seite erklärt, dass verschiedene Fehler in der Software diesen Hack ermöglicht hatten, die vorhandenen Sicherheitsmaßnahmen jedoch – immerhin – merkwürdige Abbuchungen bemerkt und daraufhin automatisch sämtliche Bitcoins eingefroren hatten. Da dem Besitzer von Poloniex die notwendigen Bitcoins fehlen, um die Verluste auszugleichen, kürzt er sämtliche Accounts um 12,3 Prozent. Aus seiner eigenen Wallet sowie aus Einnahmen der Börse wird er diesen Betrag angeblich nach und nach begleichen.

C-Cex

Um dieselbe Zeit herum hat die Altcoin-Börse C-Cex die Bitcoin-Guthaben der Kunden von insgesamt knapp 125 BTC eingefroren. Auch hier war es zu einem Verlust gekommen, und auch hier hat ein Dieb einen Fehler im System ausgenutzt und sich Bitcoins auszahlen lassen, die er gar nicht besaß. C-Cex hatte kurz zuvor eine neue Sicherheitsmaßnahme eingeführt: die Bestätigung von Abhebungen per Email. Dabei hat sich jedoch ein Bug eingeschlichen, der es Kunden erlaubte, ihr Bitcoin-Guthaben zu erhöhen, indem sie wieder und wieder die Bestätigung anklickten, wenn die Abbuchung nicht funktionierte. Der Bug wurde zwar innerhalb von kürzester Zeit beseitigt, doch dies hat einem einzelnen User ausgereicht, um die komplette Hot Wallet der Börse zu leeren. Im Glauben, dies sei ein normaler Vorgang, hat der Betreiber daraufhin auch noch Bitcoins von der Cold Wallet auf die Hot Wallet transferiert und erst gemerkt, was gerade abläuft, als die Hot Wallet erneut innerhalb von Sekunden leergeräumt wurde. Merkwürdigerweise hat der Hacker daraufhin versprochen, die gestohlenen Einlagen zurückzuzahlen, und tatsächlich auch einige Darkcoins – die auf C-Cex gehandelt werden – erstattet. Die Bitcoins fehlen jedoch weiterhin, weshalb C-Cex die Bitcoin-Guthaben der Kunden eingefroren hat. Zwar wurden bereits die kleineren Beträge freigegeben, aber weiterhin sind fast 125 Bitcoins auf Hold. Laut C-Cex sollen diese im Verlauf der kommenden Monate freigegeben werden.

Was daraus folgt …

Alle drei Vorfälle haben mehrere Gemeinsamkeiten. Zunächst resultieren sie nicht aus Fehlern im Bitcoin, sondern aus Fehlern in den Systemen der Plattformen – Fehler, die bei jeder Euro-Bank und -Börse ebenfalls zu Verlusten geführt hätten. Der Unterschied ist, dass Banken erstens reguliert sind, was solche Fehler verhindert, dass sie zweitens ihre Einlagen versichern können, was Verluste für die Kunden minimiert, und dass sie drittens mit reversiblen virtuellen Werten arbeiten, weshalb der Schaden potenziell reparabel ist. Beim Bitcoin dagegen ist ein Verlust ein Verlust, ohne Wenn und Aber, ohne Komma, Klammer, Fragezeichen. Kurz gesagt: Während die Architektur des Bitcoins von den Akteuren mehr Professionalität verlangt, führt die fehlende Regulierung in vielen Fällen zu weniger Professionalität.

Die nächste Gemeinsamkeit ist, dass Betreiber von Plattformen, denen Bitcoins abhanden gekommen sind, sich teilweise beträchtliche Schulden in Bitcoins zuziehen. Ob sie diese jemals zurückzahlen können, wenn der Bitcoin-Preis weiterhin steigt, ist fraglich.

Ein dritter Punkt ist, dass es kein Protokoll gibt, das definiert, wie mit einem solchen Vorfall umzugehen ist. Insbesondere bei anonymen Börsen wie Polonies und C-Cex sind die Kunden der Willkür des Betreibers ausgeliefert. Sie können nicht mehr tun, als zu hoffen, dass er verantwortungsbewusst mit dem Diebstahl umgeht. Kein Wunder wurde in allen Fällen vielfach der Vorwurf laut, dass der Hack getürkt sei, um die Bitcoins aufs eigene Konto zu überweisen. Ob dies wahr ist, ist schlicht nicht nachzuprüfen.

Für die Nutzer bleibt aus solchen Vorfällen die Erkenntnis, dass sie Bitcoins nur auf Börsen und Plattformen aufbewahren sollten, wenn dies nicht zu vermeiden ist – also etwa wenn sie mit ihnen handeln wollen. Und auch dann in der geringstmöglichen Menge und am besten bei Plattformen, die nicht-anonym operieren und deren Integrität und Kompetenz zu vertrauen ist. Für etablierte Bitcoin-Marktplätze wie Bitcoin.de beweisen solche Vorfälle, dass sich die fortlaufenden Investitionen in die Sicherheit der Systeme gelohnt haben, es aber keinen Grund gibt, sich darauf auszuruhen, dass bisher die Kundengelder stets erfolgreich geschützt werden konnten. Und für die Bitcoin-Szene als Ganzes bedeutet es nun, dass trotz aller Freude am aufregenden Wilden Westen die Zeit für Regulierung gekommen ist. Ob nun als staatliche Regulierung oder Selbstregulierung. Nur so lassen sich Standards der Professionalität erzwingen, und nur so kann der Weg für Institutionen wie Versicherungen geebnet und der Umgang mit Diebstählen standardisiert werden.

About Christoph Bergmann (1149 Articles)
Das Bitcoinblog wird von bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder. Wenn Ihnen das Blog gefällt, freuen wir uns über Spenden an 1BvayiASVCmGmg4WUJmyRHoNevWWo5snqC. Wir akzeptiere mit dieser Adresse sowohl Bitcoin als auch Bitcoin Cash. Weitere Infos, wie Sie uns unterstützen können, finden Sie HIER. Gastbeiträge sind ebenfalls willkommen. Meinen öffentlichen PGP-Schlüssel sowie den Bitmessage-Schlüssel finden Sie HIER

22 Comments on Fehler nicht im Bitcoin, sondern in den Systemen

  1. Bitcoin zu Regulieren ist wie sich Augenbrauen aufmalen nachdem man sich diese selbst gezupft hat!!!

    Jeder sollte selbst sicherheitsmaßnahmen ergreifen um sein Geld zu sichern!

  2. Bitcoiner // 7. March 2014 at 13:24 // Reply

    Zitat:
    “… Fehler, die bei jeder Euro-Bank und -Börse ebenfalls zu Verlusten geführt hätten. Der Unterschied ist, dass Banken erstens reguliert sind, was solche Fehler verhindert, dass sie zweitens ihre Einlagen versichern können, was Verluste für die Kunden minimiert, und dass sie drittens mit reversiblen virtuellen Werten arbeiten, weshalb der Schaden potenziell reparabel ist.”

    Was hat die Regulierung mit einem möglichen Hack zu tun? Selbst bei strengster Regulierung kann immer noch in Systeme eingebrochen und Kundeneinlagen können gestohlen werden.
    Versichern könnten (theoretisch) auch unregulierte Börsen ihre Einlagen. Fraglich, ob sich dafür eine Versicherung findet.
    “Reversible Werte” ändern nichts daran, dass diese auch für eine Bank weg sind. Sie sind halt nur verpflichtet, bei Eigenverschulden diese dem Kunden zu erstatten. Damit dieser Fall möglichst selten eintritt, wird dem Kunden ja deshalb auch zunächst Eigenverschulden angehängt und dieser muß das Gegenteil beweisen. Nicht immer einfach. Oft bleibt da nur die Kulanz der Institute.
    Dass man die Cryptocurrency-Branche auf Dauer regulieren muß, ist klar. Allerdings werden Regulierungsabsichten nichts bewirken, wenn die Börse in einem Land sitzt, wo die Gesetze nicht greifen.

  3. Hans Klarsicht // 7. March 2014 at 15:02 // Reply

    Zeigt doch im Grunde nur, wie schlecht einige ihre Software verwalten.
    Als ob die heutigen Bankstrukturen in 5 Jahren alle Fehler aus ihren System entfernt hätten…

    Vielmehr ist es sehr erstaunlich, wieviele negativ Schlagzeilen gerade so um den Bitcoin herumkursieren. Fast so, als ob jemand den Bitcoin generell diskreditieren wolle.

    • Bitcoiner // 7. March 2014 at 20:15 // Reply

      Vor allem haben die Banken zu einer Zeit mit ihren Systemen angefangen, als Hacker noch lange nicht so hochspezialisiert waren.
      Da mutet es doch umso witziger an, dass man sogar die Bankautomaten so einfach austrickesn kann. Die gibt es schließlich mittlerweile seit Jahrzehnten. Das nur an die Adresse derer, die immer meinen, nur Bares sei Wahres. Kann halt auch geklaut werden. Dann ist ja auch nicht gleich das ganze “System Geld” nicht mehr “vertrauenswürdig” …

  4. BauerJup // 7. March 2014 at 18:54 // Reply

    Ich sag nur “open Source”

    Ja es ist schon fast eine Religion, aber eine an der ich Glaube!

  5. Wenn man bedenkt,
    – wieviel Bankautomaten schon missbraucht wurden,
    – wieviel Kreditkartendaten schon geklaut wurden,
    – wieviel Kartenterminals geknackt wurden
    – und wie scheinheilig bis gar nicht die Banken auf solche Unsicherheitsfaktoren reagiert haben!
    Dagegen ist der Bitcoinschaden bis jetzt wirklich extrem lächerlich.

  6. So ein Quatsch. Regulieren ist nichts weiter als ein anderes Wort für manipulieren. Das hätten die Eliten gerne.

    Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren.“ Benjamin Franklin

    Im Fall der Bitcoin ist das Lebens-Risiko einfach offensichtlicher. Aber es haften eben nur diejenigen, die es wirklich betrifft. Ist in meinen Augen absolut gerecht. Im Fiat Money haftet für das Verschulden der Bank oder einiger Investoren immer die Allgemeinheit. Bitcoin ist eben natürliche Auslese und es gibt eben kein “too big to fail”.

    Der Wettbewerb ist ein Disziplinierungsinstruent. Was kann bitteschön der Bitcoin dafür, wenn einige Marktteilnehmer die simpelsten Sicherheitsregeln nicht befolgen? Man zahlt halt Lehrgeld im Leben.

    Wenn man die Freiheit will, dann muss man auch bereit sein das Risiko zu tragen, was das Leben halt so beeinhaltet, sonst kann man sich im Grunde gleich einbuddeln lassen.

    Alles was zur Zeit passiert ist im Grunde nichts weiter als ein Lernprozess, um endlich wieder auf eigenen Füßen stehen zu können. Was ist daran schlecht?

    Die Mensch sollten aufhören, immer alles auf andere zu schieben, nur um nicht zugeben zu müssen, dass man selber Schuld hat.

  7. Wenn die Hacker es schaffen, Profi-Plattformen zu knacken, dann erst Recht die privaten PC.

    Machen wir uns nichts vor. Es heißt immer alle Transaktionen seien nachvollziehbar. Dann könnte man Betrug ja aufdecken! Man kann es offensichtlich nicht. Und bevor ich mir die coins als code unters Kopfkissen lege, kann ich auch gleich Goldmünzen im Garten vergraben.

    • man kann alles nachvollziehen daher kann niemand bescheissen… aber deine Börse kannst du verschlüsseln und dann müsste dein System schon sehr komprommittiert sein damit auch dieser key den hackern zukommt… is wie die pin der ec karte drauf zu schreiben…

  8. Freiheit // 8. March 2014 at 4:42 // Reply

    Regulieren ist erstmal nur ein Buzz-Word. Was wollt ihr und wie wollt ihr regulieren?

    Hackerangriffe kann man nur durch gut getestete Software so weit wie möglich verhindern, aber doch nicht durch Regulieren.

    Wie bei den Gesetzen, sie können definieren was als Straftat gelten soll und Vergehen diesbezüglich sanktionieren, aber niemals effektiv verhindern.

    Die Börsen müssen Vertrauen durch Transparenz schaffen. Wer steckt hinter einer Börse, wie sind die Schicherheitsmaßnamen, gibt es Versicherungen die Verluste durch Diebstahl ersetzen, wer prüft wie die Software, …

    Oder ist der Ruf nach Regulierung die Hoffnung das man einer der Auserwählten ist, die eine Börse eröffnen dürfen? Konkurrenz belebt nur für den Kunden das Geschäft, zum Geschäfte selber machen sind Monopole mehr von Vorteil. 😉

    Unser derzeitiges Haupt-Geldsystem ist stark reguliert … und macht 99% trotzdem zu Geld-Sklaven.

  9. MArkus Döbele // 8. March 2014 at 10:13 // Reply

    Sie haben alle eines gemeinsam. Sie sind schlechte Programmierer!
    Solche Anfängerfehler wie das man einfach einen Link 2 mal anklickt und schon verdoppelt man den Betrag zeigt schlichte Unfähigkeit.

    Diese Leute sollten besser weiterhin ungefährliche Webseiten programmieren und die Finger von hochsensiblen Systemen wie Bitcoin Seiten lassen.

    Denn das reflektiert auf die ganze Branche wenn sogar die größte Seite voller Anfängerfehler ist.

  10. Hans Dampf // 8. March 2014 at 13:29 // Reply

    Ohne eine sichere Tradingplattform lässt sich nicht traden.
    Es nützt doch nichts wenn man die Coins bei sich auf einem offline Computer gesichert hat und bei jedem Kursanstieg oder Kursabfall nicht mittraden kann und leer ausgeht. Die Zeit die der Bitcoin braucht um auf das Traderkonto zu kommen ist nun mal bei cirka 1,5 Stunden.

    Wenn es keine seriöse und sichere Tradingplattform mehr gibt wird auch der Bitcoin immer mehr getötet.

    Und wer Bitcoin raubt oder klaut:
    Die letzte Rechnung bezahlt jeder bei Gott, einen schönen Tag noch.

  11. Ich verstehe das ganz nicht so recht!
    Warum muß man seine Bitcoins bei einer Handelsplattform lagern?
    Ich halte alles bis aufs “Kleingeld” im Paper-Wallet.
    Von dort kann ich es bei Bedarf sofort zu einer Handelsplattform
    schicken.
    Ist doch klar, dass bei so kleinen Startups die Strukturen
    nicht sicher sein können. Die Personaldecke ist viel zu dünn und unerfahren. Und Bitcoins kann man ja nun mal durch blosses Abfangen
    der private Keys gleich beim Generator stehlen.
    Da macht es sich nicht so gut, wenn Programmierer, Admin und Besitzer identisch sind.

  12. Thomas Bensler // 8. March 2014 at 20:47 // Reply

    äh, “getürkt” … ist vielleicht besser ein anderes Wort zu nehmen.

  13. herr andreas // 9. March 2014 at 20:45 // Reply

    “Und für die Bitcoin-Szene als Ganzes bedeutet es nun, dass […] die Zeit für Regulierung gekommen ist. […] nur so kann der Weg für Institutionen wie Versicherungen geebnet und der Umgang mit Diebstählen standardisiert werden.”

    -das ist einfach nur die persönliche Meinung von Herrn Bergmann und wird in keiner Weise von einer Mehrheit von aktiven Bitcoin Nutzern geteilt, wie sich in allen relevanten Foren nachlesen lässt.

    -ganz im Gegenteil. Gerade das Fehlen einer Regulierenden Stelle ist ja für eine große Anzahl der User überhaupt der Grund für die Verwendung von bitcoins. Das damit einhergehende Risiko sich in einem Netzwerk, das nicht auf Kontrolle, sondern Vertrauen (Trust-Network) basiert, ist su gut wie jedem und jeder bewusst.

    Nur wer alle Vorsicht ausser Acht lässt und alle Warnungen ignoriert, um ganz schnell viel Geld zu verdienen muss, wie auch am Supermarktparkplatz und auf jedem Jahrmarkt, damit rechnen ausgenommen zu werden wie eine Weihnachtsgans.

  14. Man sollte in das Bitcoin-Protokoll Funktionen einabuen, die es erlauben Bitcoins zu handeln ohne diese einer dritten Partei überlassen zu müssen. Das lässt sich relativ einfach durch eine Art Handshake erreichen und einer Stop Sale Funktion für eine bestimmte Menge von Bitcoins in der Wallet des Kunden. Der Handelsplatz übernimmt also nur die Steuerung des Handels und löst den Transport der Bitcoins zwischen den Endkunden aus aber nicht deren Transport über ein eigenes Wallet des Handelsplatzes.

  15. Meine Bitcoinprognose :
    2013 war das Jahr des grossen Goldrauschs.
    2014 ist und wird das Jahr der grossen Ernüchterung.
    In diesem Jahr werden sehr viele ehrliche Leute sehr viel
    Geld and Häcker und Plattformen verlieren.
    2015 will niemand mehr was von Bitcoin wissen.
    Er wird seinen natürlichen Wert erreichen. Nämlich NULL.

    • Also dieser Prognose glaube ich eher nicht.

      2014 wird das Jahr grösserer Professionalität werden. Bitcoin wird langsam erwachsen. Fix aus dem Boden gestampfte UG’s werden stabile Unternehmen oder verschwinden vom Markt, die meisten Newcomer werden leider wieder sterben, denn auch hier gilt, wie in anderen Geschäften, ohne stabile Kapitaldecke ist die Pleite schneller da, als man Katze im Sack sagen kann. Das ganze Szenario erinnert mich irgendwie an den neuen Markt 1999 / 2000, auch da wollten alle 1 fix 3 reich werden, was natürlich nicht funktionieren konnte.

      IMHO hat bitcoin.de als eine der wenigen Börsen der Welt bisher wohl so ziemlich alles richtig gemacht. Die deutsche Gründlichkeit hilft in solchen Situationen ungemein. Auch die Fidor Bank als Partner war ganz sicher kein Fehler.

      Wir arbeiten seit über 4 Monaten an unserer Plattform und wir gehen nicht eher live bis alle Code Reviews und Sicherheitstests abgeschlossen sind und für die psp relevanten Dienste geht auch an der BAFIN nichts vorbei.

      Nichts ist so tödlich im Bitcoin Geschäft wie gestohlene BTC, da im Gegensatz zum Buchgeld nicht nur einfach eine Zahl im System korrigiert werden muss. Weg ist weg, bzw. es hat ein anderer, das verlorene Vertrauen kann kaum zurück gewonnen werden, die Kunden bleiben weg und das Geschäft geht kaputt.

      Die Goldgräber Stimmung ist sicher bald an ihrem Ende angelangt, digitale Währungen als solche eher nicht, denn auch wenn es Skeptiker und viele Staatsbänker nicht wahr haben wollen, es ist Zeit für digitale Währungen – ob die letztendlich Bitcoin oder auch nicht Bitcoin heißen – sei einmal dahin gestellt…

    • DAS sagt der FRED… weisst wieviele coins es mittlerweile gibt? litecoin (wohl noch am bekanntesten) dogecoins, feathercoin, peercoin, sexcoin und und und… und keiner hat den wert 0.. wieso sollte dann genau DER BITCOIN auf null kommen… niemals… er wird sich irgendwann mal einpendeln…

  16. Jetzt kommt noch coinex.pw – seit Sonntags Abend nicht verfügbar.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s