Hacker stehlen Token von fast 200 Millionen Dollar von Börse KuCoin

Viele Kinder denken heute, Kühe werden mit Plastikkärtchen in den Ohren gebohren. Bild von Maik Meid via flickr.com. Lizenz: Creative Commons

Die asiatische Kryptobörse KuCoin wurde gehackt. Von den knapp 200 Millionen Dollar, die in Form von Kryptowährungen und Kryptoassets gestohlen wurden, entfiel der Großteil auf Tokern auf Ethereum. Für die Hacker bringt dies zugleich Vorteile wie Nachteile. Token haben eben nicht dieselben Eigenschaften wie natives Kryptogeld.

Am vergangenen Freitag berichteten einige Twitter-User, dass es auffällig große Auszahlungen von der Börse KuCoin aus Singapur gab. Kurze Zeit später waren von dem Ethereum-Account der Börse Ether und Token im Wert von rund 150 Millionen Dollar ausgezahlt. Das wirkt etwas viel für den normalen Betrieb einer Börse, die zwar groß ist, aber nicht gigantisch.

Während in den sozialen Medien die Gerüchte, die Börse sei gehackt worden, brodelten, blieb KuCoin zunächst still. Erst einige Stunden später machte die Börse es offiziell: Es habe Auszahlung von Bitcoin und diversen Coins und Token gegeben. Diese allerdings machten nur einen kleinen Teil der von KuCoin gehaltenen Assets aus, die Token; die in den Cold Wallets gelagert liegen, sind sicher, und die Hot Wallets seien sicher reaktiviert. KuCoin vermeidet das schlimme Wort „Hack“, sondern nennt das Geschehen einen „Zwischenfall“. Sie meinen aber dasselbe: Ein Hacker hat die Wallets der Börse ausgeräumt.

Auf den ersten Blick sah es aus, als seien gut 160 Millionen Dollar gestohlen worden. Interessant ist dabei die Zusammensetzung der Werte: Lediglich gut 10 Millionen Dollar entfallen auf Bitcoin, der Rest stellt Ether oder ERC20-Token dar. Unter diesen machen Tether-Dollar sowie Token von Alchemy, Ampleforth und Ocean den Großteil aus. Einen Tag später räumte der CEO der Börse, Johnny Lyu, in einem Livestream ein, dass rund 193 Millionen Dollar gestohlen worden seien. Genauer gesagt sind es die folgenden Token:

14 Millionen USDT auf der EOS und Omni Blockchain, 1.088 Bitcoin, 228 Mio Tron (TRX), 18,5 Millionen XRP, 14.713 Bitcoin SV, 26.733 Litecoin und eben eine große Menge ETH und ERC20-Token. Auf dem ETH-Account der Hacker findet man derzeit mehr als 100 Token-Einträge.

Etwa einen Tag nach dem Einbruch begann der Hacker, einige Token zu wechseln. Dafür verwendete er die dezentrale Wechsel-Plattform UniSwap. Er hat dort etwa so gewaltige Mengen an Ocean-Token gegen Ether getauscht, dass dies Beobachtern zufolge deren Marktpreis um 4-10 Prozent gesenkt hat – bis schließlich die Ocean-Entwickler eingriffen und den Transfer durch den Smart Contract vorübergehend stoppten. Angeblich, um die Investoren zu schützen.

Auch KuCoin begann die bereits etablierten Schritte einzuleiten, um den Hackern das Leben etwas schwerer zu machen: Der CEO Johnny Lyu kündigte bereits am Samstag an, mit mehreren Börsen und anderen Unternehmen in Kointakt zu stehen, darunter Huobi, Binance, OKEx, BitMax und ByBit sowie Regulierern und anderen Blockchain-Unternehmen, um „daran zu arbeiten.“ Diese Börsen werden vermutlich eine Blacklist verhängen.

In einem heute Vormittag veröffentlichten Update berichtet die Börse über den weiteren Umgang mit dem Hack. Dabei listet sie mehrere verdächtige Adressen (etwa für Bitcoin oder auf Ethereum) und berichtet über die Aktivitäten der Partner. Interessant ist dabei, dass unter den Partner zahlreiche Organisationen sind, die Token herausgeben und den dahinterliegenden Smart Contract verwalten:

Tether hat 22 Millionen USDT eingefroren, die in den Hack involviert waren. Mehrere Token-Entwickler, etwa von VELO, COV, AMP und VIDT, haben den Token-Smart-Contract so geändert, dass die gehackten Token eingefroren sind. Andere, etwa SNTR, KAI oder NOIA, tauschen die bestehenden Token gegen neue, um den Hack auszumerzen.

Für den Hacker dürfte es jetzt extrem schwierig werden, seine Beute zu Geld zu machen. Auf der einen Seite sind die involvierten Adressen öffentlich und dürften von allen Börsen auf eine Blacklist gesetzt sein.

Gute Chancen, die Beute in Bares umzuwandeln, dürften vor allem für Bitcoins bestehen. Diese können sie über CoinJoin, Lightning und andere Mittel waschen, langsam und in kleinen Portionen, aber doch einigermaßen zuverlässig und sicher. Zudem lassen sich Bitcoins recht flüssig in andere, privatere Kryptowährungen wie Monero oder Zcash wechseln, bei denen dann die Spur rasch verwischt, und schließlich gibt es für Bitcoin viel mehr Plattformen und Anbieter, bei denen man Bitcoins gegen Bargeld oder Gutscheincodes tauschen kann.

Ähnliches geht, mit erheblichen Einschränkungen, auch bei den anderen Kryptowährungen, allerdings mangelt es hier sowohl an vergleichbar weit entwickelten Werkzeugen als auch an einer ausreichenden Liquidität fungibler Transaktionen, in denen sich Geldströme verschleiern lassen.

Auf der anderen Seite sitzen die Hacker nun auf einem großen Stoß ERC-Token. Einen Teil davon konnten sie durch UniSwap gegen Ether oder andere Token wechseln. Da UniSwap dezentral ist, gibt es keine Möglichkeit, die gehackten Coins vom Tausch abzuhalten. Im Prinzip können die Hacker mit ihnen auch Zinsen dafür bekommen, Liquidität auf UniSwap, Compound und anderen DeFis bereitzustellen, ohne dass jemand sie daran hindern kann. Dies könnte die Diskussion auslösen, inwieweit dezentrale Börsen und andere DeFis in Zukunft in der Lage sein müssen, Blacklists einzusetzen.

Schwierig wird es jedoch beim „Auscashen“, also dem Versuch, die Coins und Token, die mit einer bestimmten Ethereum-Adresse verbunden sind, gegen Dollar oder Euro zu tauschen. Ab hier greifen wieder die Blacklists von Börsen. Zwar ist es mit Tornado Cash möglich, auch auf Ether auf dezentrale Weise Token zu anonymisieren, praktikabel aber dürfte dies nur mit kleineren Beträgen sein.

Weitere Token, wie die Tether, lösen sich mehr oder weniger sofort in Luft auf. Diese Token laufen auf zentral kontrollierten Smart Contracts, die es erlauben, Blacklists direkt ins Protokoll zu schreiben. Es handelt sich bei ihnen nicht um zensurresistentes digitales Bargeld, sondern um Token, die zensiert und reguliert werden können. Dies dürfte sie an sich zu einer wenig lukrativen Beute für Hacker machen, und, unabhängig davon, wie man ideologisch dazu steht, zeigt dies, dass eine gewisse zentralisierte Kontrolle durchaus auch der Sicherheit helfen kann und Kriminalität verhindert.

Einen Grund, Mitleid mit dem Hacker zu haben, gibt es dennoch nicht. Trotz des Trends zu Token, die mit Blacklists kompatibel sind, sowie der zunehmenden Professionalität, mit der Börsen auf Hacks reagieren, dürften die Hacker allein durch die Bitcoins erhebliche Gewinne gemacht haben, die in keinem Verhältnis zum Aufwand stehen.

Über Christoph Bergmann (1871 Beiträge)
Das Bitcoinblog wird von Bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder. Christoph hat vor kurzem ein Buch geschrieben: Bitcoin: Die verrückte Geschichte vom Aufstieg eines neuen Geldes. Das Buch stellt Bitcoin in seiner ganzen Pracht dar. Ihr könnt es direkt auf der Webseite Bitcoin-Buch.org bestellen - natürlich auch mit Bitcoin - oder auch per Amazon. Natürlich freuen wir uns auch über Spenden in Bitcoin, Bitcoin Cash oder Bitcoin SV an die folgende Adresse: 1BergmanNpFqZwALMRe8GHJqGhtEFD3xMw. Wer will, kann uns auch Hier mit Lightning spenden. Tipps für Stories sind an christoph.bergmann@mailbox.org immer erwünscht. Wer dies privat machen möchte, sollte meinen PGP-Schlüssel verwenden.

4 Kommentare zu Hacker stehlen Token von fast 200 Millionen Dollar von Börse KuCoin

  1. Wenn eine Börse gehackt wird, dann liegt es an der Börse und nicht an den Assets die dort gehandelt werden. Solche Beispiele werden ja gerade als Alibi für Regulierung herangezogen. Lieschen Müller hört: „Kryptobörse gehackt, Sparen verlieren Einlagen.“ Und denkt: „Oh je, das muss ja ein Teufelszeug sein. Bitte verbieten oder zumindest regulieren….“

    Dein Beispiel zeigt gut die nicht vorhandene Werthaltigkeit der Token auf, die nach Belieben verändert, ausgetauscht und entwertet werden können. Da lobe ich mir echte Werte.

    (Token sind für mich nur was zum Traden… 🙂

  2. Paul Janowitz // 1. Oktober 2020 um 4:47 // Antworten

    Erstmal ist dieser Hack wieder einmal unglaublich, wenn die Hot Wallets für verschiedene Assets tatsächlich aus einem Seed generiert wurden. Dazu scheinbar noch keinerlei Sicherheit z.B. über Multisig und entsprechende Bedingungen, was eben in einzelnen Transfers zweistellige Millionenbeträge zu verschieben erlaubt hat.

    Er hat dort etwa so gewaltige Mengen an Ocean-Token gegen Ether getauscht, dass dies Beobachtern zufolge deren Marktpreis um 4-10 Prozent gesenkt hat – bis schließlich die Ocean-Entwickler eingriffen und den Transfer durch den Smart Contract vorübergehend stoppten. Angeblich, um die Investoren zu schützen.

    Dezentralisierung und so… Die wenigsten wissen, dass der Großteil aller derzeitigen DeFi „Apps“ im „Smart“ Contract einen Master-Key hinterlegt hat, der den Entwicklern sogar einen Exit Scam erlaubt.

    Viele der Assets waren also sehr zentralisiert und wurden eingefroren, was zwar moralisch legitim erscheint, aber Präzedenzfälle schafft, die Begehrlichkeiten wecken. Staatliche Akteure werden dies nicht ungenutzt lassen und sobald die Autoren des Protokolls bekannt sind, per „Gag-Order“ etc. durchsetzen. War es nicht das, was Bitcoin ausmacht, dass es unzensierbar ist? „DeFi“ wird seinem Namen nicht gerecht, solange es diesen Grundsatz nicht leistet und maximal eine Spielerei (in manchen Fällen Betrug). Natürlich will man ein Desaster wie bei der DAO vermeiden, aber wenn, dann ginge das nur mit ganz klaren, unveränderbaren Regeln über eine Governance der Teilnehmer.

    Interessant ist dabei, dass gestern und heute gerade Monero einen ziemlich starken Pump auf 0.01 BTC erfahren hat, während der restliche Markt weitgehend ruhig war. Vielleicht versucht der Hacker (wobei ich einen Inside-Job für sehr wahrscheinlich halte) „seine“ übriggebliebenen Assets über dezentrale / unregulierte Börsen ins Trockene zu bringen?

    • Ich denke, Monero sollte eigentlich ein Top-5-Coin sein. Daher ist das derzeit eher eine Korrektur …

      Ich bin mir nicht sicher, ob DeFi kein DeFi mehr ist, wenn es eine Partei gibt, die den Zentralschlüssel hat. Das ist ja eher für den Notfall (oder einen Hack), aber im Normalbetrieb gibt es keine Zwischenmänner.

      • Paul Janowitz // 1. Oktober 2020 um 11:08 //

        Danke, das sehe ich durchaus ähnlich und Monero war bereits in Top3-5, bis die Mega-ICOs aber auch Bitcoin Splits kamen und Monero als kontinuierlich weiterentwickeltes Protokoll nach hinten gedrängt haben… Eine Korrektur dieses Trends wäre natürlich schön zu sehen 😉

        Bei DeFi würde ich es differenzierter sehen, denn es ist ein Unterschied, ob man wie bei Ocean den Contract im Notfall „lediglich“ abschalten kann, oder ob man direkt Richter spielen kann und einzelne Adressen sperren oder gar umleiten kann (was im obigen Beispiel durchaus denkbar wäre, der Hacker würde die Änderung im Contract womöglich nicht mitbekommen und die Coins an eine andere Adresse überweisen). Das weckt Begehrlichkeiten bei allerlei Behörden, siehe die US-Listen mit sanktionierten Bitcoin Adressen und birgt eben auch noch das Risiko eines Exit-Scams…

Schreiben Sie einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Wechseln )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Wechseln )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Wechseln )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Wechseln )

Verbinde mit %s