Bitfinex gehackt – 119.756 Bitcoin gestohlen – „eine beschissene Situation“
Gestern wurde die größte Dollar-Bitcoin-Börse der Welt, Bitfinex, gehackt. Laut Community Director Zane Tackett wurden fast 120.000 Bitcoins gestohlen. Wie genau es möglich war, dass der Hacker Zugriff auf die als sicher geltenden Wallets erlangte, ist noch ein Rätsel. Der Kurs reagiert derweil mit einem heftigen Plumps nach unten.
„Wir wurden gehackt“ – das ist der Satz, den die Geschäftsführer von Bitcoin-Börsen hoffen, niemals hören zu müssen. Leider kommt kaum eine Börse um dieses Schicksal herum. Auch nicht Bitfinex, die seit gut einem Jahr stärkste Dollar-Bitcoin-Börse, auf der rund ein Drittel des Handels in diesem Währungspaar abgewickelt wurde.
„Wir haben heute ein Sicherheitsproblem entdeckt und müssen daher den gesamten Handel auf Bitfinex unterbrechen, ebenso die Ein- und Auszahlung digitaler Token,“ ist seit gestern Abend auf der Webseite von Bitfinex zu lesen, „Wir untersuchen das Problem, um herauszufinden, was geschah, aber wir wissen bereits, dass die Bitcoins einiger User gestohlen worden sind.“
Während Bitfinex noch darüber rätselt, wie all das passieren konnte, offenbart die Blockchain bereits Hinweise über die Größenordnung des Hacks. Kurz nach dem Hack sprang der Wert des Mempools auf 700.000 Bitcoins an. Da diese Coins aber auch unbestätigte und bereits wieder versendete Bitcoins sein können, deutet dies zwar darauf hin, dass etwas Großes im Gang ist, aber es verrät wenig über genaue Summen. Konkreter sind die Charts von p2sh.info, die messen, wie viele der existierenden Bitcoins auf Multisig-Adressen gespeichert sind, wie sie Bitfinex verwendet. Wie die Charts zeigen, haben kurz nach dem Hack rund 120.000 Bitcoins Multisig-Adressen verlassen.
Community Director Zane Tackett von Bitfinex hat diesen Betrag kurz darauf bestätigt: „Ich kann bestätigen, dass der Verlust durch den Hack derzeit bei 119.765 Bitcoin steht … das ist wirklich eine sehr beschissene Situation. Für jeden, der involviert ist.“ Immerhin wurden nicht sämtliche Bitcoins gestohlen, die Bitfinex hielt, und keine Litecoins, Ether oder andere Währungen, und es gibt auch keine Hinweise darauf, dass private Daten (Adressen, Bankverbindungen) geleakt wurden.
Bitfinex benutzt das Multisig-System von BitGo, bei dem alle Bitcoins auf individuellen Adressen der Kunden liegen, die mit „2-von-3“-Systemen gesichert sind. Es gibt drei Schlüssel für die Wallets – bei Bitfinex, BitGo und beim Kunden – und zwei davon sind nötig, um von den Adressen Bitcoins auszuzahlen. Solche Multisigs gelten als die mit sicherste Weise, Bitcoins aufzubewahren. BitGo hat bereits gesagt, dass es keinen Hinweis für einen Vorfall auf ihren Systemen gibt; Zane Tackett hat bestätigt, dass „es aussieht, als sei die Sicherheitslücke auf unserer Seite gewesen und nicht auf der von BitGo; es sieht ebenfalls so aus, als wäre unser kalt gespeicherter Schlüssel nicht kompromitiert.“
Was genau vorgefallen ist, dürfte Computer-Forensiker noch eine Weile beschäftigen. „Es gab eine Reihe von Sicherheitsprozeduren, die dies zur sichersten, aber gleichzeitig transparentesten Art machte, Bitcoins aufzubewahren,“ so Tackett, „wie diese Praxis unterlaufen werden konnte, untersuchen wir noch.“ So gab es etwas Limits, die verhindern sollten, dass Wallets übermäßig geleert werden. Offensichtlich wurden diese außer Kraft gesetzt. Tackett ist sich auch relativ sicher, dass es kein Inside-Job war, auch wenn er dies nicht mit absoluter Sicherheit ausschließen möchte.
Wie genau Bitfinex nun weiter verfahren wird, ist noch nicht geklärt. Da Bitfinex die gestohlenen Guthaben „individuelle Kunden-Guthaben“ nennt und Tackett explizit erklärt, dass alle Optionen evaluiert werden, steht die Möglichkeit im Raum, dass Bitfinex die Verluste auf die Kunden abwälzen möchte, eventuell unter der Begründung, dass mangelnde Systemsicherheit auf Seiten der Kunden eine Mitschuld am Hack trug. Aber darüber kann man zu diesem Zeitpunkt nur spekulieren.
Einen Versicherungsanspruch kann Bitfinex wohl nicht geltend machen. Zwar sind die von BitGo verwalteten Guthaben bis zu 250.000 Dollar versichert, doch laut Bravenewcoin sind Guthaben von Bitfinex nicht mit versichert. Doch selbst wenn – 250.000 Dollar reichen nicht annährend, um den Hack zu decken, der zum Zeitpunkt des Hacks rund 72 Millionen Dollar betrug.
Der Bitcoin-Preis hat freilich auf die schlechte Nachricht prompt reagiert. Zwischen 20 Uhr gestern Abend und 1 Uhr in der Nacht fiel der Preis rasant auf einen Tiefstand von 475 Dollar (430 Euro), um sich dann zwischen 530 und 550 Dollar (470 bis 490 Euro) einzupendeln. Der Bitcoin-Preis hat damit innerhalb einer Woche mehr als 100 Euro verloren. Schon vor dem Hack hatte der Kurs von 600 Euro auf 550 Euro nachgegeben. Ein Grund könnte sein, dass das Blocksize-Problem auch Anfang August ungelöst bleibt. Ein anderer könnte darin liegen, dass mit dem Erblühen von Ethereum Classic der Betrag steigt, den der DAO-Hacker über kurz oder lang als Bitcoin auf den Markt werfen wird – während die Fork allgemein einen Hauch der Unsicherheit über das Ökosystem wirft. Der Bitfinex-Hack war an dieser Stelle einmal mehr das Ereignis, das aus einem Abwärtstrend einen Crash gemacht hat.
Multisig gehackt ? Wie das? Das wird noch spannend.
Na da hat uns mal wieder einer nen Ei ins Nest gelegt – mein lieber Herr Gesangsverein, fast 120.000 Bitcoin -> das tut weh. Mal sehen wie es die nächsten Tage weitergeht, der Kurs hat sich ja recht schnell gefangen.
„…ist sich auch relativ sicher, dass es kein Inside-Job war“ – und wenn doch? You have been goxed. Kann mir kaum vorstellen wie ansonsten multisig umgangen werden konnte.
Jetz bin ich mal ganz ketzerisch und postuliere das Ganze war von langer Hand geplant. Sogar mit Ansage – BITcoinFINalEXitus. Nomen est omen.
Ich fand die Kursreaktion eigentlich eher eine Überreaktion. 120k sind natürlich alles andere als wenig und reichen auch absolut um nen harten Rückschlag in den Chart zu malen, aber wenn man sich vor Augen führt das alleine Bitfinex an guten Tagen bei um die 120k im Volumen liegt. Ich sehe da nicht so sehr die Kursgefahr. Es ist kein Bitcoin-Problem. Das was eben wirklich hart ist: Viele haben viel verloren.
Wann lernen die Leute endlich, dass ich BTC nur bei Kontrolle über den privaten Schlüssel richtig besitze? Daher fällt mein Mitleid mit Leuten, die größere Beträge auf Börsen belassen, auch eher gering aus. Wer das macht, kann sich nicht wirklich mit der Materie vorher befasst haben.
„Ein anderer könnte darin liegen, dass mit dem Erblühen von Ethereum Classic der Betrag steigt, den der DAO-Hacker über kurz oder lang als Bitcoin auf den Markt werfen wird“
Das Argument kann ich nicht nachvollziehen. Der DAO-Hacker verkauft ETC, und zwar ausschließlich. Per Saldo macht es keinen Unterschied, ob er ETC vorher in BTC umwandelt und diese dann wieder verkauft.
Naja … wer richtig handeln will, braucht größere Beträge an den Börsen. Sollte aber auch das Risiko kennen.
Die ETC-Erklärung ist Spekulation. Aber es ist zu vermuten, dass der Hacker erst ETC gg BTC tauschen und anschließend die BTC gg Eur/Dollar verkaufen wird. Der Wechsel von ETC zu BTC hat keinen Einfluss auf den BTC-Kurs, der tausch von BTC gg Euro schon.
Stimmt schon, ich meinte natürlich nur Leute, welche entweder aus Bequemlichkeit oder Unwissenheit ihre BTC auf Börsen belasse, ohne damit aktiv zu handeln.
Der Wechsel von ETC zu BTC hat meines Erachtens schon einen Einfluss auf den BTC-Kurs, da es ja auch für die ETC einen Käufer geben muss, der wiederum vorher BTC kaufen muss, was wiederum den BTC-Kurs steigen lässt…
Aber egal, insgesamt hat diese Thematik wohl nicht allzu viel Einfluss an den aktuellen Geschehnissen…
Die meisten Börsen hacken sich selber, da bin ich überzeugt davon. Wie auch immer, irgendjemand hat von anderenen Menschen Geld gestohlen in gigantischem Ausmaß ! Die letzte Rechnung zahlt jeder bei Gott und ich hoffe er bekommt genau was dieser bösartige Mensch verdient hat !!!
Falls das wirklich per Kunden segregierte Accounts bei BitGo waren, sollte die Versicherungssumme dann nicht *pro Account* sein?
Aber anscheinend war ja die BitGo-Anbindung eh nur ein Marketingschwindel. Externe Sicherheit kaufen ohne Versicherung und Verantwortung funktioniert klarerweise nicht.