Denn jeder Markt bekommt die Hacks, die er verdient

Die Börse BitMart und die Badger DAO wurden gehackt. Hier verschwanden beinah 200, dort etwa 120 Millionen Dollar. Die beiden Hacks sind sehr unterschiedlich –  veranschaulichen aber hervorragend den Zustand des Ökosystems.

Kaum etwas ist so bezeichnend für die Kryptomärkte wie die ewig wiederkehrenden Hacks. Alle paar Wochen oder Monate wird eine Börse, ein Zahlungsdienstleister oder ein Smart Contract gehackt. Millionen an Dollar werden geraubt, die Plattformen gehen pleite oder machen weiter, die Hacker waschen die gestohlenen Coins, die Börsen setzen sie auf eine Blacklist. Und dann geht alles weiter, als wäre nichts gewesen.

Dabei zeigen die Hacks oft, wie es um das Ökosystem der Kryptowährungen steht. Denn Blasen erzeugen Schwächen. Wenn etwas trendet, werden Börsen und Plattformen rasch hochgezogen und Smart Contracts eilig dahingeschrieben. Oft mangelt es an Zeit und Ressourcen, um notwendigen Sicherheitsnetze zu schaffen, und oft ist das eine vollkommen rationale Entscheidung: Der Schaden, zu spät zu sein, ist in einem heißlaufenden Markt größer als der, gehackt zu werden.

Außerdem stehen auch Hacker nicht über den Launen des Marktes. Auch sie haben ihre Ansprüche. Sie rauben nicht jeden x-beliebigen Shitcoin und benutzen nicht beliebige Blockchains. Sie stehlen Kryptowährungen nicht nur, sondern benutzen sie. Oft sind gerade Hacker die am besten gebildeten Nutzer. Sie wissen genau, wie welche Blockchain funktioniert, und sie achten peinlich darauf, die idealen Werkzeuge zu verwenden, um unter Wahrung ihrer Anonymität die gestohlene Beute zu wechseln.

Sowohl Opfer als auch Täter eines Hacks verraten also etwas über die weiteren Kryptomärkte. Daher schauen wir uns heute zwei der größeren Hacks der letzten Woche an.

BitMart

Der erste Hack, den wir heute vorstellen, ist ziemlich traditionell: Eine Krypto-Börse wurde gehackt, so, wie es Tradition ist, seit es Krypto-Börsen gibt. Wer Bitcoins und andere Kryptowährungen für seine User verwaltet, muss sich darauf einstellen, zur Zielscheibe von Hackern zu werden, gerade, wenn der Preis für Token so stark steigt, dass sich der Wert der Inhalte der Hot Wallets in wenigen Monaten vervielfacht. Irgendeine Börse gibt es immer, die nicht genügend vorbereitet ist und so den Hackern zum Opfer fällt.

Das jüngste Beispiel ist BitMart. Die Börse wurde 2017 gegründet, hat laut eigenen Angaben mehr als 9 Millionen Kunden aus mehr als 180 Ländern, ist auf den Cayman-Inselns angemeldet und betreibt Büros unter anderem in New York, Hong Kong und Seoul.

BitMart ist eine Full-Service-Börse: Man kann eine kaum übersehbare Anzahl an Coins und Token handeln, leihen und verleihen; neben Spotmärkten gibt es auch Futures-Märkte. Damit ist BitMart auf der Höhe der Zeit, und es ist beeindruckend, wie die Börse eine so breite Palette an Produkten in nur vier Jahren aufgebaut hat.

Das Handelsvolumen betrug laut eigener Angabe in den vergangenen 24 Stunden mehr als eine Milliarde Dollar.

Ein ständiger Abfluss von Token

Am Wochenende fiel dem Sicherheitsanalysten PeckShield auf, dass eine von BitMarts Adressen einen ständigen Abfluss von Token zeigte. Ein ziemlich klares Signal dafür, dass etwas schief läuft.

Kurz darauf schätzte PeckShield den Abfluss auf 100 Millionen Dollar in verschiedenen Token auf Ethereum sowie weiteren 96 Millionen Dollar auf der Binance Smart Chain, ebenfalls in Form zahlreicher Token. Welche konkreten Token es waren, ist schwer zu erkennen.

BitMart hat zunächst versucht, den Vorfall als Routine-Umbuchung abzutun. Doch nur etwas später musste der CEO, Sheldon Xia, einräumen, dass es einen Hack gegeben hatte. “Wir haben eine große Verletzung der Sicherheit unserer ETH und BSC Hot Wallets identifiziert,” tweetete Xia, “derzeit versuchen wir noch nachzuvollziehen, welche Methoden genutzt wurden. Die Hacker konnten Assets im Wert von etwa 150 Millionen Dollar abziehen.”

Die Ursache für den Hack liege laut BitMart darin, dass ein privater Schlüssel gestohlen wurde – Xia schreibt “a private key”! – über den der Hacker Zugriff auf zwei Hot Wallets erhielt. Vermutlich war dies kein privater Schlüssel für eine Krypto-Wallet, sondern ein Admin-Schlüssel, der Zugang zu den unverschlüsselten Hot Wallets von Ethereum und BSC gewährte. Möglicherweise hat BitMart ETH und Token auf Ethereum auf getrennten Wallets verwahrt, da der Hacker offenbar vor allem Token gestohlen hat.

Über den konkreten Tathergang herrscht noch Unklarheit: Wurde ein Computer gehackt, auf dem der Schlüssel lag? War es ein Inside-Job? Social Engineering? War ein Zero-Day-Exploit beteiligt?

Klar ist hingegen, wie es weiterging: Die gestohlenen Token – ob nun 150 oder 194 Millionen Dollar – hat der Hacker danach über die dezentrale Börse 1inch gegen Ether gewechselt. Diese hat er anschließend durch den dezentralen Ethereum-Mixer Tornado Cash gewaschen.

Mittlerweile hat BitMart einen Überblick, welche Coins und Token betroffen sind, und bereits angekündigt, die Verluste aus eigenen Mitteln zu kompensieren. Für User entstünde kein Schaden, die Börse könne es sich leisten. Angesichts des Handelsvolumens und der breiten Produktpalette klingt das plausibel. Es lohnt sich eben manchmal, mit Volldampf groß zu werden und dabei auch einen Hack auf die Kappe zu nehmen.

Schon ab dem 7. Dezember werde man voraussichtlich wieder in vollem Umfang operieren können. Es dürfte nur wenige Unternehmen geben, die einen 200-Millionen-Dollar-Verlust so leicht wegstecken wie Krypto-Börsen 2021.

Klassisch, aber zeitgemäß

Der BitMart-Hack zeigt schon einige Merkmale, die typisch für den gegenwärtigen Markt sind: Die Hacker erbeuten nicht Bitcoins, sondern Token auf Ethereum und der Binance Smart Chain, die vermutlich zwei meistgenutzten Blockchains derzeit.

Danach hat der Hacker die Coins nicht, wie man es früher machte, selbst oder durch Mixer gewaschen, sondern durch eine dezentrale Börse getauscht und durch den dezentralen Mixer Tornado Cash anonymisiert.

All dies zeigt bereits die große Bedeutung, die Token, Smart Contracts und dezentrale Plattformen selbst dann genießen, wenn der Hack an sich traditionell ist. Der Hacker kennt und benutzt all diese aktuellen Werkzeuge, und vielleicht konzentriert er sich auf Coins und Token, die Zugang zu diesen Instrumenten geben.

Noch drastischer wird dies allerdings beim nächsten Hack: der Badger DAO.

Bitcoin für DeFi

Wie der Name bereits sagt, ist Badger eine DAO – eine “Dezentrale Autonome Organisation”. Anders als bei BitMart gibt es hier keinen CEO, keine Postanschrift und keine Büros. Badger ist eine rein virtuelle, nur auf Basis eines Smart Contracts laufende Organisation. Wobei das, wie wir noch sehen werden, auch nur auf dem Papier so ist.

Die BadgerDAO bildet laut eigener Angabe “die Infrastruktur, um Bitcoin zu DeFi zu bringen” (Dezentrale Finanzen). Die DAO hilft Usern, mit Bitcoin auf anderen Blockchains Zinsen zu verdienen. Wie das genau funktioniert, wäre an dieser Stelle zu weit ausgeholt.  Es gibt Brücken, Wallets, ein eigenes Token der DAO und mehr.

Dabei kann man keine nativen Bitcoins auf der Bitcoin-Blockchain verwenden, sondern tokenisierte Bitcoins wie WBTC auf der Ethereum-Blockchain. Es scheint sich letztlich um einen auf tokenisierte Bitcoins spezialisierten DeFi-Akkumulator zu handeln.

896 Bitcoins in einem Transfer

Vergangenen Mittwoch geschah es nun, dass jemand Coins von verschiedenen zur BadgerDAO gehörenden Wallets entwendet hat. Laut erneut PeckShield beträgt der Wert insgesamt rund 120 Millionen Dollar.

Der genaue Hergang des Hacks ist noch nicht bekannt. Bei vergangenen DeFi-Hacks war oft ein Fehler im Smart Contracts die Ursache, was in grauenhaft komplexen Hacks resultierte, bei denen Operationen, die an sich valide waren, da sie den Regeln des Smart Contracts entsprechen, etwas auslösten, was der Intention des Smart Contracts radikal widersprach. Bei solchen Hacks ist schwer zu sagen, ob es sich um einen ökonomischen oder technischen Hack handelt und ob er überhaupt illegal ist. Wenn der Code das Gesetz ist, dann ist alles legal, was der Code durchwinkt, oder?

Bei der Badger DAO war der Hack allerdings viel traditioneller. Mitglieder der DAO vermuten derzeit, dass jemand ein Schadskript in die Benutzeroberfläche der Webseite gebracht hat.

An sich mag eine DAO rein auf der Ethereum-Blockchain als Smart Contract leben. Doch wer mit ihr interagiert – etwa indem er seine tokenisierten Bitcoins verzinst – muss die entsprechenden Transaktionen auf die Blockchain bringen. Manche Geeks mögen in der Lage sein, die Transaktionen im Terminal selbst zu komponieren und zu unterzeichnen. Sehr viel einfacher ist es jedoch, dafür die Webseite des Badger-Teams zu benutzen, die die Transaktion in die Wallet injiziert, wo der User sie signiert. Die Webseite der DAO ist nur ein Interface. Sie ist aber die essenzielle Brücke der User zum Smart Contract — und damit ein ideales Einfallstor für Hacker.

Das Schadscript hat vermutlich die Transaktion verändert, die User erhalten haben, um mit der DAO zu interagieren, und zwar so verändert, dass der Empfänger nicht länger die DAO war, sondern die Wallet des Hackers. Für User ist das kaum nachvollziehbar.

Dabei konnte der Hacker auch einen ziemlich dicken Fisch einfangen: Ein einziger Transfer hat 896 Bitcoins – rund 50 Millionen Dollar – in die Wallet des Angreifers geschafft. Wir werden noch erfahren, wer vermutlich betroffen ist. Zunächst aber folgen wir weiter der Chronologie des Hacks.

Anders als eine Börse sollte es bei einer DAO niemanden geben, der unmittelbar reagieren kann. Bei Badger gibt es aber ein Team, das zudem eine Art Notfallschlüssel für den Smart Contract hält. Durch diesen war es in der Lage, die Smart Contracts – und damit die DAO – vorübergehend zu stoppen. Das ist natürlich nicht “dezentral” und geht ein Stück am Kerngedanken einer DAO vorbei. Aber es ist in solchen Situationen ziemlich hilfreich.

Danach hat die DAO die Firma Chainalysis eingeschaltet, um zu ermitteln, wie weit der Vorfall reicht und wohin die Coins gehen. Eine DAO kann also auch der Auftraggeber von Sicherheitsunternehmen sein. Sie verhält sich im Falle eines Hacks also nahezu identisch wie eine traditionelle Börse.

Die Ursache des Hacks vermutet man derzeit darin, dass ein API-Key unzureichend geschützt wurde, wodurch sich die Angreifer Zugang zum Backend der Webseite verschaffen konnten. Vermutlich handelte es sich um einen API-Schlüssel des Anti-DoS-Dienstes CloudFlare.

Zeitgemäß, aber klassisch

Mit der BadgerDAO ist keine klassische, zentralisierte Firma wie BitMart betroffen, sondern eine DAO. Der Hergang des Hacks jedoch ist traditionell – ein Schlüssel wird gestohlen, nicht der einer Wallet, sondern einer Webseite. Die DAO hat viel Geld in Audits der Smart Contracts auf der Blockchain investiert, um zu verhindern, auf diesem Weg gehackt zu werden. Nun zeigt sich, dass traditionelle, geradezu triviale Fehler denselben Effekt haben können.

Während bei BitMart keine Bitcoins gestohlen wurden, sondern vor allem Token auf den Blockchains Ethereum und Binance Smart Chain, hat der BadgerDAO-Hacker eine ordentliche Menge Bitcoins abgestaubt. Allerdings keine Bitcoins auf der Bitcoin-Blockchain, sondern synthetische Bitcoins auf anderen Blockchains, vermutlich vor allem oder ausschließlich der Ethereum-Blockchain.

Allerdings zieht der BadgerDAO-Hack weitere Kreise, die mindestens genauso typisch für Kryptowährungen im Jahr 2021 sind.

Der Hack zieht Kreise

Einer der Betroffenen des BadgerDAO-Hacks war womöglich Celsius. Das Unternehmen bietet seinen Usern an, Einlagen in Bitcoin, Stablecoins und anderen Kryptowährungen zu verzinsen. Mit 5-10 Prozent sind die Zinsen relativ hoch – zumindest für traditionelle Verhältnisse.

Diese Zinsen erwirtschaftet Celius auf zwei Arten: Erstens verleiht die Plattform Geld an User, die dafür Kryptowährungen als Sicherheit hinterlegen. Damit besetzt sie eine Lücke im etablierten Bankensystem, welches sich bislang weigert, Kryptotoken als Sicherheit für Kredite anzunehmen. Zweitens investiert Celsius die Einlagen der User in DeFi-Plattformen wie die Badger DAO.

Celsius bietet auch anderen Unternehmen an, Zinsen auf Einlagen zu vergeben. Das heute Nuri genannte BitWala nutzt(e) etwa Celsius, um die Bitcoins seiner User mit etwa 5 Prozent im Jahr zu verwenden. Nutzt(e), weil mir nicht bekannt ist, ob sich das geändert hat.

Mit dem Badger-Hack offenbart sich nun, was ihr schon ahnt: Celsius hat Badger verwendet, um Bitcoins zu verzinsen. Ich nehme an, die User haben Bitcoins eingezahlt, und Celsius hat diese gegen Wrapped Bitcoins (WBTC) gewechselt, um diese durch DeFi zu verzinen. Offensichtlich hat Celsius die dafür notwendigen Transaktionen nicht auf die harte Weise der Geeks im Terminal komponiert oder geskriptet, sondern sie von der DAO-Webseite generieren lassen. Man kann das damit vergleichen, dass jemand 50 Millionen Dollar auf der Bank einzahlt, und sie ebenso reinträgt und am Schalter ablegt, als handele es sich um 100 Euro.

Es scheint nun, als habe Celsius jene Wallet gehört, die 896 Bitcoins durch die erwähnte manipulierte Transaktion verloren hat. Celsius selbst hat den Verlust bisher nicht zugegeben. Der Verdacht entstand, weil die Wallet, die die vielen Bitcoins gesendet hat, in enger Verbindung mit einer anderen Wallet steht, die Celsius-Token im Wert von 40 Millionen Token enthält. Dies ist kein Beweis, aber immerhin ein Hinweis.

Auch Celsius ist “traditionell”, in dem Sinn, dass es kein DeFi ist, sondern ein CeFi – ein zentralisiertes Finanzunternehmen. Aber das, was Celsius macht, das Leihen und Verleihen von Kryptocoins, ist eine der typischen Erfolgsgeschichten von Krypto im Jahr 2021. Zudem zeigt der Badger-Hack, wie eng Geschäftsmodelle wie von Celsius eng mit DeFi zusammenhängen. Aber auch bei Celsius ist anzunehmen, dass der Verlust von 50 Millionen Dollar gut zu verkraften ist.