Auf den ersten Blick mag eine Bitcoin-Plattform wie ein unerhört lukrativer Selbstläufer erscheinen, egal ob Börse, Marktplatz, Online-Wallet oder Zahlungsdienst. Die Wahrheit ist jedoch, dass ein Bitcoin-Unternehmen eine Menge Stress und viele Risiken mit sich bringt. Nicht nur, weil die Software komplex und die rechtliche Umgebung unscharf definiert ist, sondern auch, weil da draußen im Cyberspace Schwärme von Hackern unterwegs sind, die umso hartnäckiger an den Systemen bohren, je mehr ein Bitcoin wert ist.
In den vergangenen Wochen gab es neben Mt. Gox noch drei weitere Bitcoin-Unternehmen, die bestohlen worden sind. Alle Vorfälle haben einige Gemeinsamkeiten und führen zu mehreren Schlussfolgerungen – für den Nutzer von Bitcoins, für die Betreiber von Bitcoin-Plattformen und für die Bitcoin-Szene als ganzes.
Flexcoin
Zunächst wäre da Flexcoin: Die in Edmonton, Kanada, beheimatete „erste Bitcoin-Bank der Welt“ (eigene Angabe) wurde von einem Hacker restlos ausgenommen. Flexcoin hat ein breites Spektrum an Bitcoin-Dienstleistungen angeboten, das im Kern darin bestand, die Bitcoin-Guthaben der Kunden zu verzinsen und intern als Flexcoins zu verrechnen, um Transaktionen „offchain“ zu vereinfachen und zu beschleunigen. Am Montag gab die „Bitcoin-Bank“ nun bekannt, dass sie 896 Bitcoins verloren habe. Der Dieb habe einen Fehler im System ausgenutzt, der Einlagentransfers zwischen Kundenkonten erlaubt habe. Auf diese Weise habe der Hacker nur buchhalterisch existierende Gelder von Konto zu Konto bewegt, bis der Sender überzogen hatte. Dies habe er durch mehrere Accounts wiederholte und dann die Bitcoins abgehoben. Flexcoin kann den Verlust nicht ausgleichen und ist bankrott. Die Polizei von Edmonton untersucht den Vorfall.
Poloniex
Am Dienstag folgte dann die Altcoin-Börse Poloniex. Sie berichtete, dass ein Angreifer 12,3 Prozent aller gespeicherten Bitcoins im Wert von etwa 50.000 Dollar gestohlen habe. Im Prinzip ähnelt der Tathergang dem Hack bei Flexcoin: Der Dieb hat mehrere Abbuchungen zum exakt selben Zeitpunkt angefordert, die dann vom System ausgeführt wurden, obwohl das Konto nicht ausreichend gedeckt war. Der Betreiber der Seite erklärt, dass verschiedene Fehler in der Software diesen Hack ermöglicht hatten, die vorhandenen Sicherheitsmaßnahmen jedoch – immerhin – merkwürdige Abbuchungen bemerkt und daraufhin automatisch sämtliche Bitcoins eingefroren hatten. Da dem Besitzer von Poloniex die notwendigen Bitcoins fehlen, um die Verluste auszugleichen, kürzt er sämtliche Accounts um 12,3 Prozent. Aus seiner eigenen Wallet sowie aus Einnahmen der Börse wird er diesen Betrag angeblich nach und nach begleichen.
C-Cex
Um dieselbe Zeit herum hat die Altcoin-Börse C-Cex die Bitcoin-Guthaben der Kunden von insgesamt knapp 125 BTC eingefroren. Auch hier war es zu einem Verlust gekommen, und auch hier hat ein Dieb einen Fehler im System ausgenutzt und sich Bitcoins auszahlen lassen, die er gar nicht besaß. C-Cex hatte kurz zuvor eine neue Sicherheitsmaßnahme eingeführt: die Bestätigung von Abhebungen per Email. Dabei hat sich jedoch ein Bug eingeschlichen, der es Kunden erlaubte, ihr Bitcoin-Guthaben zu erhöhen, indem sie wieder und wieder die Bestätigung anklickten, wenn die Abbuchung nicht funktionierte. Der Bug wurde zwar innerhalb von kürzester Zeit beseitigt, doch dies hat einem einzelnen User ausgereicht, um die komplette Hot Wallet der Börse zu leeren. Im Glauben, dies sei ein normaler Vorgang, hat der Betreiber daraufhin auch noch Bitcoins von der Cold Wallet auf die Hot Wallet transferiert und erst gemerkt, was gerade abläuft, als die Hot Wallet erneut innerhalb von Sekunden leergeräumt wurde. Merkwürdigerweise hat der Hacker daraufhin versprochen, die gestohlenen Einlagen zurückzuzahlen, und tatsächlich auch einige Darkcoins – die auf C-Cex gehandelt werden – erstattet. Die Bitcoins fehlen jedoch weiterhin, weshalb C-Cex die Bitcoin-Guthaben der Kunden eingefroren hat. Zwar wurden bereits die kleineren Beträge freigegeben, aber weiterhin sind fast 125 Bitcoins auf Hold. Laut C-Cex sollen diese im Verlauf der kommenden Monate freigegeben werden.
Was daraus folgt …
Alle drei Vorfälle haben mehrere Gemeinsamkeiten. Zunächst resultieren sie nicht aus Fehlern im Bitcoin, sondern aus Fehlern in den Systemen der Plattformen – Fehler, die bei jeder Euro-Bank und -Börse ebenfalls zu Verlusten geführt hätten. Der Unterschied ist, dass Banken erstens reguliert sind, was solche Fehler verhindert, dass sie zweitens ihre Einlagen versichern können, was Verluste für die Kunden minimiert, und dass sie drittens mit reversiblen virtuellen Werten arbeiten, weshalb der Schaden potenziell reparabel ist. Beim Bitcoin dagegen ist ein Verlust ein Verlust, ohne Wenn und Aber, ohne Komma, Klammer, Fragezeichen. Kurz gesagt: Während die Architektur des Bitcoins von den Akteuren mehr Professionalität verlangt, führt die fehlende Regulierung in vielen Fällen zu weniger Professionalität.
Die nächste Gemeinsamkeit ist, dass Betreiber von Plattformen, denen Bitcoins abhanden gekommen sind, sich teilweise beträchtliche Schulden in Bitcoins zuziehen. Ob sie diese jemals zurückzahlen können, wenn der Bitcoin-Preis weiterhin steigt, ist fraglich.
Ein dritter Punkt ist, dass es kein Protokoll gibt, das definiert, wie mit einem solchen Vorfall umzugehen ist. Insbesondere bei anonymen Börsen wie Polonies und C-Cex sind die Kunden der Willkür des Betreibers ausgeliefert. Sie können nicht mehr tun, als zu hoffen, dass er verantwortungsbewusst mit dem Diebstahl umgeht. Kein Wunder wurde in allen Fällen vielfach der Vorwurf laut, dass der Hack getürkt sei, um die Bitcoins aufs eigene Konto zu überweisen. Ob dies wahr ist, ist schlicht nicht nachzuprüfen.
Für die Nutzer bleibt aus solchen Vorfällen die Erkenntnis, dass sie Bitcoins nur auf Börsen und Plattformen aufbewahren sollten, wenn dies nicht zu vermeiden ist – also etwa wenn sie mit ihnen handeln wollen. Und auch dann in der geringstmöglichen Menge und am besten bei Plattformen, die nicht-anonym operieren und deren Integrität und Kompetenz zu vertrauen ist. Für etablierte Bitcoin-Marktplätze wie Bitcoin.de beweisen solche Vorfälle, dass sich die fortlaufenden Investitionen in die Sicherheit der Systeme gelohnt haben, es aber keinen Grund gibt, sich darauf auszuruhen, dass bisher die Kundengelder stets erfolgreich geschützt werden konnten. Und für die Bitcoin-Szene als Ganzes bedeutet es nun, dass trotz aller Freude am aufregenden Wilden Westen die Zeit für Regulierung gekommen ist. Ob nun als staatliche Regulierung oder Selbstregulierung. Nur so lassen sich Standards der Professionalität erzwingen, und nur so kann der Weg für Institutionen wie Versicherungen geebnet und der Umgang mit Diebstählen standardisiert werden.