Was tun, wenn ein Hacker Kryptogeld im Wert von einer Million Dollar gestohlen hat? Im Film Ransom bietet Mel Gibson die zwei Millionen Dollar, die die Entführer seines Sohnes verlangen, Kopfgeldjägern, da er weiß, dass er so bessere Chancen hat, seinen Sohn lebend wiederzusehen. Dass Summen in solchen Höhen ein mächtiger Anreiz sind, hat sich auch ein Besitzer von Bitcoin und NXT gedacht, als er eine Prämie von 500 Bitcoin geboten hat, wenn ihm jemand seine gestohlenen Coins zurückbringt. Der Verlauf der Geschichte gibt ihm recht.
von Brandon Hurst
Vor etwa zehn Tagen hat Androklis Polymenis schockiert festgestellt, dass sich ein Hacker Zugang zu allen seinen Kryptowährungs-Accounts verschafft hat. Das Ausmaß des Diebstahls is unglaublich. Nicht nur dass Polymenis – im Forum als kLee bekannt – mehr als 1.000 Bitcoin besessen hat, er war auch einer der Original-Stakeholder von NXT und hatte etwa 31 Millionen Anteile an der Währung. Er hatte Zugriff auf den NXT-Infrastruktur-.Fund mit etwa 2,8 Millionen NXT (gegenwärtig etwa 130.000 Dollar). Es geht um mehr als eine Million Dollar.
Der Hacker hat kLees Wallets leergeräumt. Ein Teil davon ging direkt zu BTER, einem Altcoin-Exchange, und wurde dort gegen Bitcoins getauscht, was einen kurzfristigen NXT-Cash verursacht hatte – obwohl es scheint, als habe der Hacker einen Teil der verkauften NXT wieder zurückgekauft und damit BTER als einen Mixer genutzt, um die gestohlenen Coins zu waschen. Die Bitcoins, ungefähr im Wert von 725.000 Dollar, wurden offensichtlich nicht verkauft.
Polymenis rief ein Bounty über die Hälfte des Betrags aus – 500 Bitcoins oder 310.000 Dollar – für Informationen, die zur Enthüllung des Hackers und zur Rückkehr des Geldes führen. Mehr Details zu dieser Geschichte finden Sie hier.
Wie ist es passiert?
Wie so oft war eine Sicherheitslücke schuld. Es ist nicht ganz klar, was passiert ist, aber es scheint, als sei es dem Hacker gelungen, sich Zugriff auf eine Datei zu verschaffen, welche die privaten Schlüssel und Passphrasen in Klartext enthielt. Es gibt mehrere Szenarien, wie es dazu kommen konnte.
- Ein physischer Zugriff auf den Computer, etwa mit einem Keylogger, der über einen USB-Stick eingeschleust wird
- Ein Zugriff durch Malware, etwa durch einen Link der auf der Facebook-Seite des Opfers gepostet wurde
- Ein Zugriff auf ein backup auf dropbox
Die letzte Variante ist am wahrscheinlichsten. kLee hatte eine Kopie seiner Passwortdatei unverschlüsselt auf DropBox liegen und sie vergessen. Der Heartbleed-Bug hat vor einigen Wochen womöglich einem Hacker die Gelegenheit gegeben, in den Account einzubrechen (es ist auch möglich, dass ein skrupelloser Angesteller es getan hat).
So oder so – was geschah, hätte verhindert werden können, wenn die Coins kalt gespeichert oder die Passwort-Datei verschlüsselt gewesen wäre. Es ist eine teure Lektion für die gesamte Community, da auch Infrastruktur-Gelder gestohlen worden sind – und es ein Wink mit einem ziemlich dicken Zaunpfahl, die eigenen Sicherheitssysteme zu überprüfen.
Schnelle Reaktion von BTER
Bereits kurz nach dem Hack zeigte sich ein Silberstreif am Horizont: die Altcoin-Börse BTER. Nachdem gemeldet wurde, dass die gestohlenen NXT zu der Börse gesendet worden waren, hat BTER diese sofort eingefroren – nicht schnell genug, um zu verhindern, dass eine signifikante Anzahl NXT verkauft wurde, aber schnell genug, um den Verlust weiterer 3 Millionen NXT zu verhindern. Nachdem die Identität des echten Besitzers und die Natur des Diebstahles erklärt wurde, begannen Verhandlungen über deren Rückgabe (es gibt für solche Fälle kein Protokoll).
BTERs schnelle Aktion beschränkte den Schaden, wofür die Börse hohen Respekt verdient.
„Hacker“ by Mikael Altemark from flickr.com. License: Creative Commons 2.0
500 Bitcoin bounty
Dasselbe trifft leider nicht auf die gestohlenen Bitcoin zu. Als ich diesen Artikel schrieb, waren sie „on the move“ in der Blockchain. Wenn sie bei einer Börse aufkreuzen, könnte es eine Chance geben – vielleicht. Wenn sie über einen Mixer gehen, wird die Sache komplizierter – praktisch und juristisch, da der Mixer gestohlene und legale Coins in denselben Accounts streut. Die gute Nachricht ist, dass es vielleicht Informationen gibt (IP Adresse, Email etc.), die von dem BTER-Account des Hackers kommen, auch wenn dieser, wenn er clever war, Tor und eine Wegwerf-Email benutzt hat.
Um die Bitcoin-Szene zu ermuntern, den Dieb aufzuspüren, hat kLee ein Bounty von 500 Bitcoins geboten – beinah die Hälfte seines Vermögens und eine beispiellose Belohnung, um einen Cryptodieb vor Gericht zu bringen. Das Bounty verbreitete sich über twitter, reddit und anderswo im Netz aus, und man kann sicher sein, dass eine Menge Leute Blut geleckt haben.
Irgendjemand hat irgendwo eine Million Dollar in gestohlenen Kryptomünzen, die nun plötzlich von dutzenden und hunderten von interessierten Parteien beobachtet werden. Man geht weit für eine Million Dollar – aber Leute gehen auch weit für 300.000 Dollar.
Lesen Sie hier, wie sich die Story auflöst
Hacker gibt gestohlene Coins zurück
Das riesige Bounty – mehr als 40 Prozent der gestohlenen 1.170 Bitcoins – hat viele Leute motiviert, den Hacker zu verfolgen. Für diesen dürfte ein Kopfgeld von 300.000 Dollar verständlicherweise zur Quelle ernsthafter Befürchtungen gewesen sein. Es ist nicht angenehm, damit zu leben, dass einen ein winziger Fehler irgendwann in einigen Jahren einholen kann.
Kryptokapitalismus
Wie schon gesagt – Leute machen so einiges für 300.000 Dollar, und wenn ein oder zwei Jahre vorbeistreichen, kann dieser Betrag auf 3 Millionen Dollar steigen (falls der Bitcoin-Preis seinen bisherigen historischen Kurs fortsetzt.) Ein durchaus mögliches Ende der Geschichte ist schlecht für den Hacker und den Bestohlenen: Der Hacker wird gejagt und aufgespürt. Die Bitcoins würden in diesem Fall vermutlich von einem Kriminellen an einen anderen gehen anstatt zurück zu kLee.
Offensichtlich wurde dem Hacker die Sache zu heiß. Er hat kLee kontaktiert und angeboten, 462 Bitcoins zurückzugeben, unter der Bedingung, dass kLee die Jagd beendet. Obwohl kLee in einer starken Verhandlungsposition war, hat er das Angebot akzeptiert. Besser den Spatz in der Hand als die Taube auf dem Dach. Die 462 Bitcoins wurden in zwei Paketen zurückgesendet, und kLee hat das Kopfgeld öffentlich zurückgezogen. Natürlich, der Hacker hat nach wie vor mehr als 700 gestohlene Bitcoins, und es gibt keine Ehre unter Dieben. Ob kLees Statement ausreichend wird, um die Bounty-Jäger zurückzurufen, oder ob sie aus eigenem Antrieb weiterjagen, wird man sehen. (Unnötig zu sagen dass ich nicht in der Haut des Hackers stecken möchte. Die Tatsache, dass er überhaupt nur das Angebot gemacht hat, zeigt, dass genügend Information da draußen ist, die zu ihm führen könnte)
Die Community hat mitfühlend reagiert
Kryptowährungen sind ein ungewöhnliches wirtschaftliches Umfeld. Wenn man in der realen Welt bestohlen wird, kann man Banken oder Regierungen beauftragen, das Geld zu finden oder zu ersetzen. Der Wilde Westen der Kryptowährungen fordert dagegen persönliche Verantwortung.
Es gibt keine zentrale Institution an die man sich wenden kann und die dafür verantwortlich ist, dass ein Diebstahl geschehen kann.
In vielen Fällen sind gestohlene Münzen für immer verloren.
In unserem Fall hat die Community bemerkenswert einheitlich reagiert. Es gab zwar die unvermeidlichen Schuldzuweisungen (vor allem, da Geld dabei war, das zum NXT Infrastruktur-Fund gehört), doch die mehrheitliche Stimmung war die Wut auf den Hacker. Ein 300.000 Dollar Bounty bringt natürlich immer Sympathie, aber schon bevor es angeboten wurde, hatte man das Gefühl, dass diese Geschichte sich nicht damit erledigen würde, dass man sie ad Akta legte. Das ist ermutigend, vor allem, weil im Krypto-Business zum Teil ein rauer, individualistischer Wind weht: ein Kapitalismus auf Steroiden, eine Umwelt, in der nur die angepasstesten überleben – und in der diejenigen, die auf der Strecke bleiben, selbst schuld sind. Wenn es einen echten Fortschritt geben soll, hin zu gemeinsamen Zielen außerhalb des traditionellen legalen und regulatorischen Rahmens, dann muss es etwas geben, das die Aufpasser ersetzt – nämlich Vertrauen und Solidarität, so wie es in diesem Fall demonstriert wurde.
Stärkere Sicherheit
Die 1-Million-Dollar-Hack ist eine Erinnerung daran, dass niemand Sicherheit für gegeben halten sollte. Es ist nicht klar, wie der Hacker an kLees Coins kam, aber es liegt auf der Hand, dass unzureichende Sicherheitsmaßnahmen eine Schlüsselrolle gespielt haben: die privaten Schlüssel waren in nicht-verschlüsselten Textdateien auf seinem Computer und in einem Dropbox-Account gespeichert.
„Computer Security“ by Don Hankins from flickr.com. License: Creative Commons 2.0
Auch wenn ein solches Vorgehen geradezu nach Ärger schreit – jeder, der die Story verfolgt hat, hat die Lektion gelernt: Hacker werden immer wieder Wege finden, um Kryptowährungen zu stehen, mehr Wege, als man sich vorstellen kann. Aber es gibt einige Maßnahmen, die Sie ergreifen können, um sich selbst zu schützen:
- Nutzen Sie starke Passwörter (35+ zufällige Buchstaben) für NXT und speichern sie die privaten Schlüsel Ihrer Bitcoins „kalt“ (also offline, auf einem Stück Papier zum Beispiel).
- Verschlüsseln Sie Passwort-Dateien, auch auf Ihrem eigenen Computer
- Lassen Sie regelmäßig Antivirus- und Antimalware-Programme laufen
- Vertrauen Sie keinen dritten Parteien (ob Cloud-Speicher oder Hot-Wallets sind) Ihre privaten Schlüssel an
- Klicken Sie niemals auf verdächtige Links
Die Geschichte erinnert auch daran, Multi-Sig-Wallets und andere Sicherheitsmaßnahmen zu nutzen und zu entwickeln, welche einen solchen Diebstahl verhindert hätten. Es geht nicht nur um Bequemlichkeiten für Besitzer großer Summen Kryptomünzen, sondern darum, dass solche verbesserten Maßnahmen fundamental dafür sein werden, dass neue Teilnehmer in den Markt einsteigen und Lieschen Müller Vertrauen in Kryptowährungen fasst. Mehr Entwicklungen auf diesem Gebiet sind ebenso zu erwarten wie verstärkte Regulierung und versicherte Wallets.
—
Dieser Artikel erschien erstmals auf BitScan: Part 1 and Part 2. Mit Dank für das Recht, ihn zu republizieren.
