Wie die Suche nach einem Hacker eine unbequeme Wahrheit über die Datenschutz-Politik von Shapeshift ans Licht brachte

Under the Watchful Eye. Bild von Alan Levine via flickr.com. Lizenz: Creative Commons / Public Domain

Während die Ethereum-Entwickler den Spuren des DoS-Angreifer folgten, stießen sie auf eine Adresse, die zur Kryptowährungs-Wechselstube Shapeshift gehört. Was danach passierte, demonstriert, wie nachlässig die Firma mit der Privatsphäre ihrer Kunden umgehen. Aber sie sind nicht die einzigen.

Manchmal ist die Transparenz einer Blockchain gruselig. Egal wie sicher man sich ist, dass man jetzt anonym ist – man sollte immer davon ausgehend, dass man es nicht ist. Selbst der Hacker, der Ethereum über Wochen hinweg mit DoS-Angriffen in Atem gehalten hatte, musste diese Lektion lernen.

Seit Mitte September fuhr ein Hacker DoS-Attacken gegen Ethereum. Er nutzte dafür Fehler in der Gas-Berechnung, um für geringe Gebühren das Netzwerk mit Transaktionen und Verträgen zu fluten, die so viel Arbeitsspeicher oder Rechenkraft verlangten, dass die Knoten und Miner reihenweise abstürzten oder Probleme hatten, die Blockchain zu synchronisieren. Nach einigem Hin und Her, in dem auf das Schließen der einen Schwachstelle der Angriff auf die nächste folgte, brachte eine Hardfork die Situation wieder einigermaßen unter Kontrolle.

Nun schlägt die Ethereum-Community zurück. Einige der Entwickler haben die Masse von Verträgen und Transaktionen analyisert, die der Hacker hinterlassen hat, und sind seinen Spuren auf der Blockchain gefolgt. Diese Analysen resultieren in einigen spannenden Erkenntnissen:

Verbindungen zu Ethereum Classic

Erstens legen einige Analysen nahe, dass es eine Verbindung zu den Entwicklern von Ethereum Classic (ETC) oder sogar zum DAO Hacker selbst gibt. “Einige der angreifenden Accounts haben einige ETC an die ETC-Entwickler gespendet,” schreibt der Berater und Entwickler Bok Khoo. Der Account, von dem aus der Hacker an die ETC-Entwickler spendete, ist darüber hinaus mit dem Account verbunden, von dem aus der DAO-Hacker spendete. Dies könnte ein Hinweis daraus sein, dass der Hacker – oder seine Auftraggeber – von einer persönlichen Abneigung gegen Ethereum motiviert sind.

Mining-Pools speichern IP-Adresse

Zweitens führte eine Spur zu EthPool und DwarfPool, was nahelegt, dass der Angreifer bereits Ether gemined hat. Wie Bok Khoo erklärt, “verlangt EthPool IP-Adressen, um Änderungen in den Einstellungen vorzunehmen, und speichert diese. Daher sollten sie den Account mit seiner IP-Adresse verbinden können.” Aha. Man kann auf DwarfPool sogar in das öffentliche Profil des Hackers einsehen und erkennen, dass er etwa 26 Ether im April mit einer Hashrate von etwa 125 MH/s gemined hat. DwarfPool hat bestätigt, im Besitz der IP-Adresse zu sein.

Shapeshift rückt Adressen heraus

Drittens entdeckte einer der Entwickler bei der Spurensuche, dass eine der angreifenden Accounts Ether von einem Vertrag erhielt, der zu Shapeshift gehört. Nun beginnt der vielleicht gruseligste Teil der Geschichte. Der Entwickler schreibt: “Ich habe den Support von Shapeshift bedrängt und kenne nun diese zwei Bitcoin-Transaktionen, mit denen der Angreifer seine Accounts aufgeladen hat.”

Moment. Nicht, dass ich mit dem Hacker sympathisiere – aber man muss nur den Shapeshift-Support ein wenig “bedrängen”, um an die Transaktionsdaten der Kunden zu kommen? Ernsthaft?

Falls ihr jemals gedacht habt, eure Coins durch Shapeshift zu wechseln würde eure Privatsphäre verbessern – ihr habt euch geirrt. Dies ist vor allem deswegen eine Enttäuschung, weil sich der Geldwechsel-Service stets damit gebrüstet hat, dass er die Privatspäre seiner User äußerst ernst nimmt.

Als etwa New York im vergangenen Jahr die berüchtigte BitLizenz zur Regulierung von Kryptowährungen eingeführt hat, war ShapeShift eine der Firmen, die die Webseite pleaseprotectconsumers.org gegründet hatten. Kunden mit einer IP aus New York wurden auf diese Webseite weitergeleitet, auf der sie glühende Bekenntnisse zu Datenschutz und Privacy lesen konnten:

“Wir sind überzeugt, dass es fahrlässig und ethisch fragwürdig ist, persönliche und private Informationen von Usern auszulesen, wenn dies nicht nötig ist für den Service, den man anbietet … die beste Methode, um die Kunden zu beschützen, ist es, gar nicht damit anzufangen, sensible Daten zu sammeln und zu speichern.”

Eric Vorhees, CEO und öffentliches Gesicht von Shapeshift, nutzte diese Gelegenheit, um sich und Shapeshift an die Front eines Widerstands gegen eine in die Privatsphäre eindringende Regulierung zu setzen: “Wir beziehen eine moralische und ethische Stellung,” erzählte er CNBC, “wir werden nicht damit beginnen, tausende von Leuten auszuspionieren.”

Nun erfährt man also, dass Shapeshift die Krypto-Adressen der Kunden offenbar nicht als private Daten betrachtet, sondern sie bereitwillig hergibt, wenn jemand fragt. Die Bitcoin-Community reagierte natürlich enttäuscht und klage Shapeshift auf den sozialen Medien an.

Ein Sprecher der Firma erklärte, dass diese Vorgehensweise seit langem gebräuchlich und bekannt sei. Sie sei ein Beispiel für die zwiespältige Politik von Shapeshift: Auf der einen Seite “verlangt man so wenig Information wie möglich, um Blockchain Assets zu wechseln.” Um Kryptowährungen über Shapeshift zu tauschen, braucht man in der Tat keine privaten Daten wie den Namen, den Ort oder die E-Mail-Adresse. Man sendet lediglich Coins an eine spezifische Adresse, die dann den Auftrag identifiziert.

Auf der anderer Seite, so der Sprecher, “sind alle Informationen, die wir haben, transparent. Wir verschleiern keinerlei Information.” Shapeshift als Mixer zu benutzen ist deswegen “eine fürchterliche Idee”. Der Wechsler “wird immer kooperieren, wenn vernünftige Anfragen nach Information eingehen,” sei es von gesetzlichen Ermittlern oder von Privatpersonen.

Der Umgang von Shapeshift mit der Privatsphäre der User war die erste Erkenntnis, die durch die Suche nach dem Ethereum-Hacker öffentlich gemacht wurde. Ob die Blockchain-Analysen auch in einer Anklage oder einem Prozess münden, ist zu diesem Zeitpunkt noch offen. Bok Khoon meint, man könne darauf ja auf Prediction-Markets wie Augur oder Gnosis eine Wette einrichten.

About Christoph Bergmann (937 Articles)
Das Bitcoinblog wird von bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder. Wenn Ihnen das Blog gefällt, freuen wir uns über Spenden an 1BvayiASVCmGmg4WUJmyRHoNevWWo5snqC. Jeder Satoshi wird dazu verwendet, um das Blog besser zu machen. Weitere Infos, wie Sie uns unterstützen können, finden Sie HIER. Gastbeiträge sind ebenfalls willkommen. Meinen öffentlichen PGP-Schlüssel sowie den Bitmessage-Schlüssel finden Sie HIER

4 Comments on Wie die Suche nach einem Hacker eine unbequeme Wahrheit über die Datenschutz-Politik von Shapeshift ans Licht brachte

  1. Nattydraddy // 31. October 2016 at 16:20 // Reply

    Shapeshift.io ist kein Geldwechsler aus Panama:
    Shapeshift.io Headquarter:
    Gubelstrasse 11
    Zug 6300 (Schweiz)

    Beim Shapeshift-Hack schrieb ich das schon, aber in der Zeit der Informationsüberflutung bestimmen eingängige Meme unsere Gedanken. Shapeshift = Geldwäscher aus Panama.

    AGBs liest sich keiner mehr durch, lohnt sich aber:
    https://shapeshift.io/files/ShapeShift_Terms_Conditions%20v1.1.pdf
    Insbesondere der Abschnitt “Privacy and Transparency”

    “Der Umgang von Shapeshift mit der Privatsphäre der User war die erste Erkenntnis, die durch die Suche nach dem Ethereum-Hacker öffentlich gemacht wurde.”
    Welcher User wurde denn verraten? Der Hacker? Ich sehe nur zwei BTC-Adressen, welche via Shapeshift einen ETH-Account aufgeladen haben. Und da gilt was der Autor sschon hier schrieb:
    https://bitcoinblog.de/2015/03/17/wir-privat-sind-bitcoin-eigentlich/

    • Verd***t, ja, hätte ich besser wissen müssen. Zu meiner Verteidigung sei gesagt, dass Schweiz nur der formale, gerichtliche Sitz ist, während in Panama das operative Zentrum ist, soweit ich weiß.

      Und auch wenn alle Transaktionen in der Blockchain stehen, gilt dies doch nicht für die Verbindung zwischen zwei Blockchains. Diese steht nur in den datenbanken von Shapeshift. Daher ist das imho eine Verletzung der Privacy.

      • Nattydraddy // 31. October 2016 at 17:33 //

        Der Account von Shapeshift ist öffentlich auf deren Blockchain einsehbar. Das ist k”eine Verletzung der Privacy”
        Shapeshift könnte “die Verbindung zwischen zwei Blockchains” weniger sichtbar machen, indem sie kein Log führen: https://shapeshift.io/recenttx/100
        In dem Log sind keine Adressen, aber der Betrag und ein Timestamp sichtbar. Damit kann man die BTC-Transaktionen zwar nicht genau bestimmen. Im Gegensatz zu den Transaktionen haben aber die Blöcke einen Timestamp, sodass man die zwei BTC-Transaktionen und damit die Adressen erraten kann.

        Zusammengefasst bietet Ethereum keine Privatheit, da account-bassierend. Bitcoin bietet “anonymity by obfuscation”. Shapeshift hat also nur verraten, was man eh erraten kann.

      • Nein. Es ist einsehbar, dass Geld von einem Shapeshift-Account kommt, wenn dieser bekannt ist, ja. Aber es ist nicht einsehbar, woher das Geld kommt – also von welcher Blockchain und welche Transaktion dort. Wenn ich jemandes Spuren auf der Blockchain bis zu einem Shapeshift-Account folge, erfahre ich ohne aktive Hilfe von Shapeshift unter keinen Umständen, woher die Coins kommen (es sei denn ich überprüfe alle bekannten Blockchains, ermittle auf allen die Shapeshift-Adressen und rechne deren Guthaben um. Sehr hoher Aufwand und mit sehr ungewissen Ergebnis)

        Zusammengefasst verrät ShapeShift mit dem Log bereits mehr, als notwendig wäre, und geht auf Nachfrage noch einen Schritt weiter.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s