Rätselhafte Transaktionen auf Ethereum verschwenden mehrere Millionen Dollar für Gebühren

Eine unbekannte, aber sehr aktive Ethereum-Adresse versendet eine kleine Menge Ether – und eine gewaltige Summe an Gebühren. Der Fall wiederholt sich noch zweimal. Die Ethereum-Community rätselt, warum das geschieht – hat aber bisher noch keine überzeugende Antwort gefunden.

Stell’ euch vor, ihr bildet eine Ethereum-Transaktion und schickt als Gebühr mal eben mehr als 2 Millionen Dollar mit. Nun stellt euch vor, das passiert euch nicht nur einmal, sondern zwei Tage später gleich das zweite Mal. Und kurz darauf noch ein drittes Mal!

So geschah es dem Besitzer der Ethereum-Adresse 0xcDd6a2b9DD3e386C8cd4a7ada5cab2F1c561182D. Er hat insgesamt rund fünfeinhalb Millionen Dollar an Gebühren bezahlt, um einige hundert Ether zu überweisen.

Was ist hier passiert? War es ein Versehen? Ein Bug? Eine schräge Form der Geldwäsche? Oder, wie Ethereum Mitgründer Vitalik Buterin mittlerweile vermutet: Eine Erpressung? Eine Antwort gibt es bislang nicht. Wir schauen uns an, was genau passiert ist – und was dahinter stecken könnte.

Die erste Transaktion mit exorbitanten Gebühren geschah vor etwa 6 Tagen. Durch sie versendete die Adresse 0xcdd6a2b9dd3e386c8cd4a7ada5cab2f1c561182d 0,55 Ether (rund 100 Euro), bezahlte aber eine Gebühr von 10,668.73185 Ether (knapp 2,4 Millionen Dollar). Diese Transaktion weckte bereits Erstaunen. SparkPool brachte sie in einen Block und kündigte an, den Fall zu untersuchen und die Ether gegebenenfalls zurückzugeben.

Ethereums Mitgründer Vitalik Buterin meinte, es müsse sich um einen Fehler handeln. Etwas ähnliches sei schon öfter geschehen, wenn auch nicht so krass. Er hoffe, dass EIP 1559, durch das die Gebühren anders berechnet werden, solche Fehler in Zukunft verhindere.

Seltsam wurde es, als sich der Vorfall knapp einen Tag später wiederholte. Eine weitere Transaktion derselben Adresse versendete 350 Ether, wieder mit einer Gebühr von 10,668.73185 Ether. Hat der Sender den teuren Fehler gar nicht bemerkt? Diesmal packte Ethermine die Transaktion in einen Block. Auch dieser Pool kündigte an, die Ether zurückzugeben, wenn sich der Sender melden würde. Nachdem er bereits fast fünf Millionen Dollar an Gebühren herausgeworfen hat, sollte man annehmen, dass er das tun würde.

Über die Adresse, die diese exorbitanten Gebühren bezahlt hat, weiß man überraschend wenig. Sie hat bereits mehr als 9.000 Transaktionen, und es gibt jede Stunde mehrere ein- und ausgehenden Überweisungen. Auf ihr befinden sich derzeit noch Ether im Wert von mehr als 3,6 Millionen Dollar; Token hält sie keine. Eine so aktive Adresse, über die niemand etwas weiß, ist merkwürdig.

Rasch war auch der Verdacht da, dass es sich um eine ausgeklügelte Form von Geldwäsche handele. Aber die Logik wäre schwer zu erahnen. Schließlich gehen die Gebühren an Mining-Pools, die sie an ihre Mitglieder auszahlen. Kurz wurde gemunkelt, dass die Transaktionen nicht im offiziellen Pool der unbestätigten Transaktionen gewesen wären, sondern vielmehr gezielt an einen Pool gegeben wurden. Dass die Miner anboten, das Geld zurückzugeben, und die hohe Aufmerksamkeit, die die Transaktionen erreichten, disqualifizieren diese Theorie aber vermutlich.

Schließlich kam es noch zu einer dritten solchen Transaktion, diesmal allerdings mit einer Gebühr von “nur” 2000 Ether (etwa 500.000 Dollar). Schläft der Besitzer der Adresse? Ist ein Bot auser Kontrolle?

Eine spannende und vielleicht die plausibelste Theorie brachten die Analysten von PeckShield ein. Sie gehen davon aus, dass ein Hacker eine Börse gehackt hat, aber es nicht schafft, Coins an sich selbst auszuzahlen, da die Ether per Multisig so geschützt sind, dass sie nur auf Adressen auf einer Whitelist gesendet werden können. Da der Wallet-Provider BitGo, der viele Börsen ausstattet, ein solches Feature anbietet, könnte dies gar nicht so unwahrscheinlich sein. Der Hacker hat nun jedoch herausgefunden, dass er die Börse erpressen kann, indem er kleine Mengen Ether an Adressen auf der Whitelist sendet, aber dafür eine ungeheure Gebühr anhängt. Davon profitiert er zwar selbst nicht, richtet aber genügend Schaden an, um die andere Seite zur Zahlung eines Lösegeldes zu zwingen. Vitalik Buterin stimmt zu, dass dies die wahrscheinlichste Theorie ist.

Merkwürdig sind allerdings zwei Dinge. Erstens, dass man die Börse nicht kennt. In der Regel sind Blockchains transparent genug, dass man feststellen kann, welcher Börse welche Adresse gehört, vor allem, wenn sie wie diese jegliche Privatsphäre vernachlässigt und immer dieselbe Adresse verwendet. Ferner ist seltsam, dass sich der Sender noch immer nicht bei den Minern gemeldet hat. Würden diese die Ether zurückzahlen, würde das dem Erpressungsversuch durch die Hacker die Zähne ziehen. Der Pool Ethermine hat vier Tage gewartet, aber nichts von dem Sender gehört und daher beschlossen, die durch Gebühren vereinnahmten Ether an seine glücklichen Miner auszuzahlen.

Damit bleibt auch die Theorie der Erpressung durch Hacker fragwürdig. Eventuell würde sie Sinn ergeben, wenn es sich um eine illegale Börse oder sonst eine illegale Instanz handelt, die sich gegenüber den Minern nicht identifizieren möchte. Aber dann wäre es mehr als nur seltsam, dass sie immer dieselbe Adresse benutzt und damit so sehr auf Privatsphäre verzichtet. Damit bleibt der Fall weiterhin sehr seltsam.