BitFinex-Hack: User verlieren 36% ihres Guthabens und erhalten BitFinex-Coin

Shaver well used, Foto von Rodrigo Soldon 2 via flickr.com. Lizenz: Creative Commons

Die bisher größte Dollar-Bicoin-Börse BitFinex sozialisiert den Verlust von etwa 120.000 Bitcoin und rasiert von allen Kundenguthaben 36% ab. Im Gegenzug erhalten die Kunden der Börse, die heute im Watch-only-Modus wieder live ging, sogenannte BitFinex-Coins. Antworten auf viele Fragen erhalten sie hingegen nicht.

Mit 120.000 Bitcoins oder 60 Millionen Euro Verlust war der BitFinex-Hack der zweitgrößte Hack der Bitcoin-Geschichte. Die Börse aus Hongkong hat nun entschieden, wie sie mit dem Hack umgeht.

Aufgrund der wahllosen Natur des Angriffs haben wir uns entschieden, die Verluste auf alle Accounts zu verteilen. Wenn sie sich jetzt wieder einloggen, werden die Kunden sehen, dass sie einen generalisierten Verlust von 36,07% erlitten haben.

Während es unmittelbar nach dem Hack noch hieß, die Bitcoins seien aus den individuellen Kundenkonten geraubt worden, wird nun also der entstandene Schaden auf sämtliche Kunden sozialisiert. Die Methode Rasenmäher oder Haircut eben, bekannt aus Bankenrettungen und Kriegsfinanzierungen. Die Formel für diese Sozialisierung der Verluste ist im Kern recht einfach

Verlust / gesamtes Guthaben vor Verlust = Haircut / Guthaben Kunde

Allerdings ist das Verfahren laut Bitfinex kein Haircut. Denn die Kunden werden für die erlittenen Verluste entschädigt: Bitfinex verteilt BFX-Token an die Kunden. Ein Token repräsentiert einen US-Dollar und soll noch in dieser Woche handelbar werden. Ausgenommen vom Handel sind US-Kunden, vermutlich, weil Bitfinex den langen Arm der US-Aufsichten fürchtet. Die BFX-Token bleiben solange ausstehend, bis Bitfinex sie vollstädig gegen Anleihen von iFinex Inc. getauscht hat. Die Kunden bekommen also, mehr oder weniger und unfreiwillig, Anteile an Bitfinex.

Die BFX-Token sollen auf dem Omni-Protokoll laufen, einer auf Mastercoin beruhenden Schicht auf der Bitcoin-Blockchain, die es ermöglicht, Token durch Bitcoin-Transaktionen zu referenzieren. Omni hat seinen eigenen Omni-Coin, dessen Preis vor lauter Freude über die Nachricht um rund 60 Prozent nach oben gesprungen ist. Immerhin ein Gewinner des Hacks.

Bitfinex hat unterdessen die Börse wieder angeworfen. Im Watch-Only-Modus können sich die Kunden davon überzeugen, wie ihre Guthaben eingestampft worden sind. Sie müssen zudem ihre Passwörter, ihre Two-Factor-Authorisierung sowie ihre API-Keys neu einstellen.

Offene Fragen

Offen bleiben nun noch einige Fragen, um deren Beantwortung sich Bitfinex langfristig nicht drücken kann.

Zum einen die technische Frage: Wie ist der Hack geschehen – und wie kann Bitfinex schon jetzt sicher sein, dass er sich nicht wiederholt? Was war die Sicherheitslücke – und wurde sie geschlossen? Es ist klar, dass in solchen Fällen – wenn die Ermittlungen erst begonnen haben und am System von BitGo noch andere Börsen hängen – Verschwiegenheit ein Gebot der Stunde sein kann. Es sollte allerdings auch klar sein, dass Bitfinex den Hack so transparent wie möglich aufarbeiten muss, um eine Chance zu haben, das Vertrauen der Kunden zurückzugewinnen.

Nicht weniger intransparent bleibt bis dato die Kalkulation des Haircuts. Wie kommt Bitfinex auf genau 36,07%? Ein Poster auf reddit versucht, die Summe nachzurechnen: der Verlust betrug 119.756 Bitcoins, und Bitfinex besitzt, wie bestätigt wured, noch 123.596 Bitcoin. Ein Haircut, der ausschließlich Bitcoin-Guthaben betrifft, würde demnach auf 49,21 Prozent hinauslaufen. Da ein generalisierter Haircut – der noch Ether, Ether Classic, Litecoin und US-Dollar einbezieht – noch mit 36,07 Prozent aufläuft, folgt daraus, dass Bitfinex neben Bitcoin Assets im Wert von rund 50 Millionen Dollar hält. Dieser Betrag erscheint relativ niedrig und wurde von Bitfinex bisher weder bestätigt noch bestritten.

Schließlich, die BFX-Token – ist das legal? Haben sie in irgendeiner Weise eine juristische Gültigkeit? Und ist es rechtens, dass gerade US-Kunden – die einen großen Teil der Bitfinex-Trader ausmachen dürften – nicht mit den Token handeln dürfen?

Auf manche wirkt das Vorgehen von Bitfinex dubios bis kriminell. Dementsprechend ist es kein Wunder, dass angeblich bereits die ersten Anzeigen in Hongkong und Großbritannien eingegangen sind. Sowohl die Sozialisierung des Verlustes als auch die Kompensierung durch digitale Token werfen rechtliche Fragen und Ungewissheiten auf. Mit diesem Konstrukt und der intransparenten und raschen Abwicklung öffnet Bitfinex sich selbst, so ein Poster auf reddit, “einen riesigen Raum für kriminelle Aktionen und Betrügereien”.

Man kann an dieser Stelle hoffen, dass Bitfinex diesen Raum nicht missbraucht – und dass die Börse Beweise vorlegen kann, die genau dies öffentlich bestätigen. Denn es ist gut möglich, dass Transparenz das einzige ist, was Bitfinex jetzt retten kann.

About Christoph Bergmann (1006 Articles)
Das Bitcoinblog wird von bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder. Wenn Ihnen das Blog gefällt, freuen wir uns über Spenden an 1BvayiASVCmGmg4WUJmyRHoNevWWo5snqC. Jeder Satoshi wird dazu verwendet, um das Blog besser zu machen. Weitere Infos, wie Sie uns unterstützen können, finden Sie HIER. Gastbeiträge sind ebenfalls willkommen. Meinen öffentlichen PGP-Schlüssel sowie den Bitmessage-Schlüssel finden Sie HIER

8 Comments on BitFinex-Hack: User verlieren 36% ihres Guthabens und erhalten BitFinex-Coin

  1. lolzentraldummlol // 8. August 2016 at 21:57 // Reply

    Es ist wirklich Zeit für Bitsquare, bitte seht das ein. Steckt eure Energie lieber in die Entwicklung von dezentralen Börsen. Warum wird hier so wenig davon berichtet ? Ich finde das sehr interessant.

    Mfg

  2. eParanoid // 8. August 2016 at 23:46 // Reply

    So einem Unternehmen vertraut man doch gerne seine Werte an!

    Ich bezweifle, daß es Neukunden gibt, die diesem Laden auch nur einen Satoshi anvertrauen würden. (Falls doch, haben sie es nicht anders verdient.) Und die alten werden wohl auch retten, was noch zu retten ist – sobald (oder falls) sie wieder an ihre Coins kommen.

    Man stelle sich vor, in einem Parkhaus würde ein Drittel der Autos geklaut, nachdem der Betreiber alle Schranken offengelassen und die Videoüberwachung ausgeschaltet hatte. Daraufhin verrammelt der Betreiber das Parkhaus, damit kein Kunde an sein Auto kommt, “beschlagnahmt” und verkauft von den Verbliebenen Autos jeweils ein Drittel der Autoteile (Motorhaube, Frontscheibe, Getriebe, …), um vom Erlös die Besitzer der gestohlenen Autos teilweise zu entschädigen. Krasses Geschäftsmodell.

    Auf jeden Fall bestätigt mich das in der Einstellung, Bitcoins nur so lange in einer Börse liegen zu lassen, wie das für den Handel nötig ist. Erworbene Bitcoins wandern ab Verfügbarkeit in die eigene Hardware-Wallet.

    • Was passiert eigentlich, wenn deine Hardwarewallet kaputt geht? Kann man ja nicht ausschließen. Gibt es da ne möglichkeit, wieder dran zu kommen? Oder hast du ne Kopie von ausgedruckt?

      • Ja gibt es über den sogenannten Master Seed, welcher mit Erstellung der Hardwarewallet erzeugt und auf z.B. Papier niedergeschrieben werden kann.
        Damit ist es möglich, die Wallet auf eine neue Hardware übertragen zu können.

  3. Eine Bitcointransaktion gilt im Regelfall erst nach 30 bis 60 Min. als bestätigt und dies nicht ohne Grund, weil diese große Zeit letztendlich eine Manipulation sehr unwahrscheinlich macht.
    Bei Handelsplattformen hingegen werden gigantische Werte binnen Sekunden hin- und herbewegt, so dass hierbei auch nur Sekunden für die Sicherheit bleiben.
    Da kann man noch so viel MultiSig oder andere Verfahren einführen, man wird immer scheitern, weil man die schnellen Tx nur durch Scheinsicherheiten erreichen wird, wie u.a. das MultiSig-Verfahren von BitGo, welches irrsinnigerweise über eine API läuft und damit eben weder dezentral und sehr sicher ist.

    Will man soetwas sicher gestalten, so muss man erstmal davon wegkommen, Bitcoin binnen Sekunden tauschen und handeln zu können. Dies wiederum würde die Attraktivität des Spekulanten deutlich senken.

    Dann müsste der Kunde selbst Schlüssel auf seinem PC erzeugen und die Tx auch von seinem PC aus lostreten, ohne einen Account, den man z.B. über Phishing hacken kann.
    Dies hätte jedoch wieder den Nachteil, dass man sich nicht von überall aus einloggen kann.

    Letztendlich ist die Gier die treibende Kraft für solche Verluste.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s