Man sollte meinen, ein Bitcoin-Entwickler sei in der Lage, seine Coins selbst zu verwahren. Doch nun wurde mit Luke Dashjr einer der erfahrensten Core-Entwickler überhaupt zum Opfer eines Hacks. Der Miterfinder von SegWit verliert angeblich 200 Bitcoins.
Für den Bitcoin-Core-Entwickler Luke Dashjr endete 2022 ziemlich bitter. An Neuhjahr eröffnete er Welt per Twitter, dass ein Angreifer seine PGP-Schlüssel sowie mehr als 200 Bitcoins gestohlen habe. Not Your Keys, not your coins.
Kurz darauf erklärte er, die Bitcoins gingen durch einen Mixer, und er versuche, FBI und Polizei zu informieren.
PSA: My PGP key is compromised, and at least many of my bitcoins stolen. I have no idea how. Help please. #Bitcoin
— Luke Dashjr (@LukeDashjr) January 1, 2023
Den PGP-Schlüssel erwähne er, weil er damit die Authentizität eines neuen Releases von Bitcoin Knot unterzeichne. Bitcoin Knot ist ein alternativer Client zu Core, der auf demselben Code aufbaut, aber manchmal experimentelle Neuerungen früher implementiert. Man sollte ihn derzeit besser nicht herunterladen.
Das Internet hat an diesem Tag gerätselt, wie das geschehen konnte. Wie konnte jemand wie Luke, der seit 2012 an Bitcoin arbeitet, ausgeraubt werden? Luke, der mit Eligius einen der ersten Mining-Pools überhaupt führte? Der das entscheidende Puzzlestück für SegWit lieferte, und der seine Version für P2SH-Transaktionen durchsetzte? Der weithin als eigensinnig und wirr, aber brillant und akribisch gilt?
Natürlich hält sich Luke mit genaueren Erklärungen zurück. Es wurde gemutmaßt, dass es sich um einen sogenannten „Bootsunfall“ handelt – dass die Coins gar nicht gestohlen wurden, sondern Luke das nur behauptet. Vorteile hätte es viele, von der Steuer bis zur persönlichen Sicherheit.
Peter Todd, ein ebenfalls langjähriger Bitcoin-Entwickler, bestätigt jedoch, dass der Hack echt sei. Er habe es geprüft. Dann verlinkt er einen Screenshot eines Chats, in dem jemand erzählt, Luke habe „eine Hot Wallet auf demselben Computer gehabt, auf dem er alles andere machte.“
Luke selbst bestreitet dies: „Du lügst“, wirft er Peter vor.
Really important to keep in mind re: Luke's hack. pic.twitter.com/SFoUjmFy63
— Peter Todd/mempoolfullrbf=1 (@peterktodd) January 1, 2023
Darüber hinaus erzählt Peter, dass Luke auf dem Desktop-Computer die Linux-Distribution Gentoo verwende und seine verschiedenen Aktivitäten nicht trenne. „Eine Backdoor-Software ist daher eine von vielen Arten, wie es passieren konnte. Er muss dafür noch nicht mal ein Ziel gewesen sein.“
Offenbar nahm Luke seine Cybersicherheit nicht ganz so genau, wie man es erwartet hätte. Schon im November 2022 schrieb er auf Twitter, dass eine unbekannte Person Zugriff auf seinen Server erhalten habe. Man solle daher unbedingt die PGP-Signatur prüfen, wenn man Software von ihm herunterlade.
An sich könnte man die Geschichte damit schließen, dass es im Grunde niemanden angeht, wenn Luke seine Coins verliert. Doch über den individuellen Fall hinaus sollte der Verlust als Warnung dienen und als Aufruf zur Bescheidenheit.
So großartig es ist, dass Bitcoin und andere Kryptowährungen es erlauben, die Schlüssel selbst zu verwahren – so schwierig und riskant ist es. Denn oft wird aus „Your keys“ — „not your coins“: Deine Schlüssel – nicht mehr deine Coins.
Bei größeren Mengen Bitcoins führt kein Weg an einer Cold Wallet vorbei. Wer seinen Schlüssel einmal auf einem sicheren Gerät generiert hat, diesen danach ausdruckt und vom Computer löscht, hat ein enorm sicheres Setup. Auch Hardware-Wallets sind in der Regel außergewöhnlich sicher, beispielsweise die Wallets von Ellipal, die niemals, nicht einmal indirekt, mit dem Internet in Kontakt kommen.
Im Prinzip sind auch Software-Wallets nicht per se unsicher. Wer es schafft, sein System sicher zu halten, kann auch Hot Wallets verwenden. Die meisten User wissen jedoch noch nicht einmal, warum und wie ihr Computer angreifbar ist.
Für viele User dürften Treuhänder zumindest ein Teil der Lösung sein. Es spricht nichts dagegen, einen Teil seiner Coins einer vertrauenswürdigen Plattform wie Bitcoin.de anzuvertrauen. Dort kümmern sich erfahrene Entwickler seit langem darum, die Bitcoins sicher zu verwahren, und im Falle des Falles, wenn doch ein Coin gestohlen wird, steht man als User besser da, als wenn die eigene Wallet ausgeraubt wird: man kann hoffen, von der Plattform entschädigt zu werden.
Nicht das Senden und Empfangen steht im Zentrum von Bitcoin – sondern das Speichern. Und darüber sollte sich jeder frei von Eitelkeit oder Ideologie seine Gedanken machen.