Vermutlich ein Insider-Job: Shapeshift wurde gehackt

Es kommt selten vor, dass ein CEO einen Hack als Erfolgsgeschichte verkaufen kann. Shapeshift-Boss Eric Vorhees feiert jedoch nicht ohne Grund die einzigartige Architektur seiner Plattform, nachdem diese gleich drei mal in Folge gehackt wurde. Denn der Verlust hielt sich dank des Verzichts auf Kunden-Accounts in Grenzen. Offline ist die Seite dennoch, um die Infrastruktur zu erneuern und den Hack genauer zu untersuchen.

Das Glück hat in den letzten Monaten einen Bogen um Panama gemacht. Zuerst die Panama Leaks, dann Shapeshift. Die einzige bekannte Bitcoin-Firma aus Panama wurde im März und April drei mal gehackt. Gestohlen wurden dabei 469 Bitcoin, 5.800 Ether und 1.900 Litecoin.

Mit umgerechnet rund 235.000 Euro hält sich der Schaden in Grenzen. Shapeshift-CEO Eric Vorhees berichtet stolz, dass keine Kundenguthaben verloren gegangen sind und der Hack eine „erhellende Erfahrung“ war. Für ihn bestätzigt der Vorfall Shapeshift-Prinzip, auf Kundenkonten zu verzichten und Kryptowährungen on-demand aufgrund spezifischer Transaktionen zu wechseln. „Wir haben den Verbraucherschutz direkt in unsere Plattform eingebaut – Hacks mögen unvermeidlich sein, aber der Verlust von Kundenguthaben sollte es nicht sein. Nicht ein cent an Kundenguthaben ging verloren.“ Dies entspricht nicht ganz der Wahrheit, da nicht wenige Kunden darüber berichten, durchaus Gelder von laufenden Transaktionen verloren zu haben.

Wahr ist aber, dass der verlorene Betrag relativ gering ist. Shapeshift ist laut Vorhees im Jahr 2015 um 1.000 Prozent gewachsen und in den ersten Monaten 2016 um weitere 1.000 Prozent. Im Februar verzeichnete die Plattform zum Teil ein 24-Stunden-Volumen von mehr als 20 Millionen Dollar. Dass durch drei Hacks nur 1 Prozent des Tagesvolumens gestohlen wurden ist beachtlich. Die Auszahlung der tatsächlich verlorenen Kundengelder sollte für Shapeshift kein Problem darstellen. Dennoch wurde die Plattform heruntergefahren, um den Hack gründlich zu untersuchen und die Infrastruktur neu aufzusetzen.

Der Hergang der Hacks

Der erste Hack ereignete sich am 14. März. Dabei wurde schnell klar, dass es vermutlich ein Inside-Job war. Eric Vorhees beschreibt die Geschichte detailliert auf bitcoin.com. Bob, der Server-Admin, schien zuerst desinteressiert an dem Hack zu sein, verschwand dann „für eine Stunde“, kehrte nicht wieder und wurde rückwirkend dabei ertappt, wie er SSH-Schlüssel gelöscht hatte. Nach einigen Telefonaten, nach Vorwürfen und Abstreitungen, meldete Vorhees den Fall der Polizei und reichte eine Anzeige ein.

„Da wir schnell herausgefunden hatten, wer es war und wie wir es intern lösen können, konnten wir die Seite ohne Unterbrechung weiter laufen lassen.“ Shapeshift beantragte neue SSH-Schlüssel, gab den Mitarbeitern neue Passwörter, änderte die IP-Adressen und bereitete einen Umzug auf neue Systeme vor. „Wir dachten, die Geschichte sei damit zu Ende.“

Am 7. April vollzog Shapeshift den Umzug auf einen neuen Host. Dabei fiel auf, dass die Bitcoin-, Ethereum- und Litecoin-Hotwallets gehackt wurden. Was genau passierte, konnte sich das Team nicht erschließen. Die Seite wurde diesmal offline genommen, die Computer und der Source Code erneut neu aufgesetzt und nochmal neue Passwörter, SSH-Schlüssel und IP-Adressen vergeben. 24 Stunden später ging Shapeshift wieder online. „Wir starteten die Seite wieder mit diesem dritten Infrastruktur-Set (Freitag Nacht). Als wir am Samstag-Morgen aufwachten, entdeckten wir, dass erneut Bitcoin und Ethereum von unseren neuen Hot Wallets gestohlen worden waren.“

Shapeshift hatte einen betrügerischen Angestellten aus dem System entfernt, die IP-Adressen gewechselt, die Systeme komplett neu aufgesetzt, die Passwörter und SSH-Schlüssel geändert – und dennoch konnte der Hacker weiterhin die Hot Wallets leeren. Wie war das überhaupt möglich? Eric Vorhees entschied, dass professionelle Hilfe notwendig war und beauftragte LedgerLabs aus Kanada.

Die Forensik

Michael Perklin von LedgerLabs flog daraufhin nach Panama, um sich die Logbücher der Computer und die Systeme anzuschauen. Sein Bericht wurde auf Wunsch von Eric Vorhees später online gestellt. Perklin untersuchte die Computer, auf denen ein Ubuntu-Betriebssystem installiert war. Dabei entdeckte er, dass der mutmaßliche Hacker ein Rootkit installiert und als Systemdatei getarn hatte. Was genau das Rootkit anstellte, ist unklar, aber es gibt Hinweise, dass es über die VPN-Verbindung vom Laptop eines externen Angestellten installiert wurde. Dieses Rootkit wurde sowohl im System-Kern des zweiten als auch des dritten Infrastruktur-Sets gefunden.

Währenddessen trat der Hacker unter dem Pseudonym Rovion Vavilov in Kontakt mit Vorhees, um die gestohlenen Ether gegen Bitcoins zu wechseln. Dabei bewies er, dass er Kenntnis von den internen und externen IP-Adressen des Shapeshift-Hauptquartiers, mehreren Passwörtern, SSH-Schlüsseln und den benutzten Ports hatte. Diese Informationen hatte er nach eigenen Angaben von einem ehemaligen Mitarbeiter gekauft: von Bob, dem Server-Admin. Perfiderweise hatte Bob zuvor eine Remote Access in den privaten Computer eines anderen Shapeshift-Mitarbeiters eingebaut und diesen ebenfalls als den Hacker verkauft.

Auch wenn der Fall noch nicht als abschließend geklärt gelten kann – Shapeshift wird seine Server erneut neu aufsetzen. Diesmal aber sollen unter Anleitung von LedgerLabs deutlich verschärfte Sicherheitsmechanismen installiert werden. Am 20. April, so Vorhees, wolle man wieder online gehen.