04.05.2018

Ich habe meine Brieftasche im Netz verloren!

Methoden des Blockchain Hacking und wie man Ihrer habhaft werden kann

„Es fühlt sich so an, … als ob man von einem Gebäude herunterstürzt. Man sieht den Boden näher kommen und man hat das Gefühl, dass man jetzt gleich sterben wird. Mt Gox verwandelte sich von einem interessanten Projekt zu einem – ich würde sagen – Albtraum. Täglich hatte ich mit Banken, Regierungen und Leuten zu tun, von denen ich vorher nicht mal wusste, dass es sie gibt“. (Mark Karpeles, CEO Mt. Gox, gegenüber BBC rückblickend zum Hack der Börse 2014)

Es war der bis dato größte Hack in der noch jungen Geschichte der Kryptowährungen und kostete die Anleger insgesamt 850.000 Bitcoins (aktueller Wert ca. 6,8 Milliarden Euro). Der Fall der bis zu diesem Zeitpunkt größten Bitcoin-Börse Mt. Gox im Jahr 2014 dämpfte die digitale Euphorie um Bitcoin&Co empfindlich. Er machte gleichsam die Risiken deutlich, die das digitale Transaktionsgeschäft bestimmen können.

Ob im Falle von Mt Gox der Angreifer von außen Zugriff auf Online-Wallets und Private Keys erhielt oder nach Angaben japanischer Behörden maßgeblich ein Insider war, ist strittig. Mark Karpeles wies letzteres jedenfalls stets von sich. Kürzlich äußerte dieser sich noch einmal gegenüber der Online-Community mit großem Bedauern und gab an auf die ihm zustehenden 160.000 Bitcoins (ca. 1 Milliarde Dollar) nach Bereinigung der Insolvenz des Unternehmens verzichten zu wollen.

Trotzdem drohen ihm nach wie vor bis zu 5 Jahre Haft. Bis heute hat der Fall nichts an Brisanz verloren. Die Insolvenzabwicklung dauert an. Immer wieder tauchen Hacker-Wallets auf, die gestohlene Mt.Gox-Coins an anderen Handelsplätzen tauschen wollen. Ihre Anonymisierung macht die personelle Zuordnung indes schwierig.

Was sind die größten Gefahren der Manipulation und wie kann ich mich als Anleger am besten davor schützen? Teil 4 unserer Crypto-Reihe gibt Aufschluss!

Die Sicherheitsrisiken digitaler Währungssysteme und ihrer zugrundeliegenden Technologie stellen sich maßgeblich wie folgt dar:

  • Diebstahl von Private Keys und damit Manipulation der Signatur digitaler Transaktionen bzw. Umleitung von an solche Transaktionen gebundenen Werten
  • Hacking des Proof-of-Work Netzwerkes durch Monopol der Rechenleistung (51% critical mass)
  • Transfer-Trojaner
  • Software Bugs
  • Vernetzungsprobleme
  • Provider Hacking/Angriff auf Online Wallet Dienste

Diebstahl von Private Key und Provider Hacking

Das Ineinandergreifen öffentlicher und privater Schlüssel ist der Dreh-und Angelpunkt für eine validierte Transaktion innerhalb der Blockchain. Der öffentliche Schlüssel im Mining-Netzwerk validiert im Zuge dieser die Transaktion, die Nutzer XY durch Signatur vorher mit seinem privaten Schlüssel in Auftrag gegeben hat. Nach Transaktion auf einen anderen öffentlichen Schlüssel kann der daran gebundene Wert nur durch den Besitzer des entsprechenden „neuen“ privaten Schlüssels genutzt werden.

Gelingt es durch z.B. Hacking des Computers und das Einstreuen von Ransomware ein System zu infiltrieren, dann hat man ganz schnell eine very „hot wallet“ mit nahezu Totalverlust. Die meisten Online Provider z.B. Blockchain.info schützen sich und Ihre Kunden durch zahlreiche Sicherheits- und Cloudbasierte Features um genau dies zu verhindern. Ganz sicher geht man, wenn man „cold storage“-Methoden nutzt (z.B. USB drive; Paper wallets; Hardware wallet). Diese sind im täglichen Gebrauch zwar schwerfälliger, aber letztlich werden die privaten Schlüssel dadurch sicher vor Online-Hackern geschützt. Gute Provider kombinieren „hot &cold storage“ – Methoden.

Hacking des Proof-Of-Work-Netzwerkes – Proof of Work vs Proof of Stake

Wir haben in Teil 1 bereits erfahren, dass mehr als 50% des Mining-Netzwerkes daran beteiligt ist kryptographische Rätsel zu lösen, um Transaktionen zu verschlüsseln und damit zu validieren. Gelingt es durch z.B. das Einstreuen von Mining Malware andere Miner zu behindern, können Hacker Zugriff auf erhöhte Energiereserven erhalten, um letztlich ein quasi 51%-Monopol darüber zu erhalten welche Transaktionen wohin validiert werden.

Schließen dieser Schwachstelle kann eine Prioritätenverlagerung von Proof-of-Work hin zu Proof-of-Stake-Verfahren sein. Diese gestaltet maßgeblich den Unterschied zwischen Public Blockchains (Bitcoin) und Permissoned Blockchains (z.B.Ripple).

Permissioned Blockchains können prinzipiell das Auditorium begrenzen, als auch die einzelnen Rollen, in denen es gestalten darf. Der Text der chain kann hierbei restriktivem Zugang unterliegen und jene, die Transaktionen validieren können sind selektiv (jene eben mit dem größten stake!). Proof-Of-Stake-Verfahren haben den Vorteil, dass im Falle von Missbrauch dieser erheblichen Renommée-Verlust und unmittelbar einhergehend Werteverlust der entsprechenden Verantwortlichen im Netzwerk zur Folge hat. Daran ist niemandem gelegen.

Irren ist menschlich - Transfer-Trojaner – Software Bugs und Vernetzungsprobleme

Transfer-Trojaner zielen darauf ab auf dem jeweils infizierten Rechner Kryptowährungs-Accounts zu ermitteln und, sobald diese im Rahmen einer Transaktion bedient werden sollen, durch eigene Account-Formate zu ersetzen, um Transaktionen dadurch entsprechend umzuleiten.

Jedes geschriebene Programm, ob nun SDL oder nicht, offenbart seine Wirkmacht in der Anwendung. Bugs sind dabei durchaus keine Tragödie, sondern Teil des Entwicklungsprozesses, der sich durch das Fixen der Bugs weiter optimiert. Dieses Realtime-testing auf letztlich Kosten der Nutzer kann jedoch noch weiter minimiert werden durch mehr white-box security testing.

Das Verbinden von Blockchain-Technologie-basierten mit externen Systemen baut genau an deren Schnittstellen die Brücke über die der Hacker spazieren kann. Mithilfe von Smart Oracles, die an eben diesen Schnittstellen angedockt sind, versuchen die Entwickler das Problem einzudämmen.

Gemessen an ihrer jeweiligen Verwendung unterscheiden wir z.B. Software- von Hardware Oracles. Software Oracles speisen die Blockchain zb. mit notwendigen Online-Daten, die für den jeweiligen Zweck der Anwendung nötig sind. Sie sind als Teil eines Smart Contract in die blockchain integriert. Aber auch hier regiert prinzipiell das Vertrauensprinzip in den externen Anbieter der smarten Lösung.

Worst Case Szenario – Wie bekomme ich meinen Schlüssel zurück?

Für Juristen ist das Bitcoin-Universum immer noch eine weitgehende terra incognita, die es zu definieren und im Sinne der Nutzer zu reglementieren gilt. Da Bitcoin physisch nicht existent sind und auch nicht durch eine gewisse Datenmenge repräsentiert sind, besteht ihr tatsächlicher Wert lediglich in der Aufsummung der Schlüsselpaare einer Wallet. Diese bilden erst durch Gestalt ihres Marktwertes einen Vermögenswert. Es ist juristisch bislang nicht definiert wie die Zuordnung dieses Vermögenswertes auszusehen hat. Ist das Schlüsselpaar entscheidend oder der Eintrag auf der Blockchain? – Da ohne den privaten Schlüssel kein Zugriff auf Bitcoins in der Blockchain erfolgen kann hat man den privaten Schlüssel daher als das maßgebliche Bezugsobjekt in vermögensrechtlichem Sinne definiert.

Als Eigentümer von Bitcoin ist man derzeit rechtlich also nur dann geschützt, wenn man, im Besitz der privaten Schlüssel, über an die Bitcoin-Blockchain gekoppelte Vermögenswerte verfügen kann. Es besteht also kein Rechtsanspruch gegenüber gehackten Online-Wallet-Providern bei Bitcoin-Verlusten, da diese meist durch ihre AGB´s und ausgewiesene Sicherheitsmaßnahmen großzügig geschützt sind!

Die juristische Einordnung teilweise neuer Geschäftsbereiche, die durch Blockchain entstanden sind und entstehen werden steht noch am Anfang. Sie bedient sich unterschiedlicher Bezüge zu Vertrags-, Eigentums-und Vermögensrecht oder das Recht am eigenen Datenbestand . Solange es hier noch keine verbindlichen Übereinkünfte gibt sollte man deshalb seine Schlüssel unbedingt auch gemäß cold storage - Methoden sichern! (vgl. Dipl.-Jurist Johannes Seitz, Legal Tribune Online, Januar 2018)

Über den Autor

Kathleen Händel

Kathleen Händel

Die studierte Kulturwissenschaftlerin arbeitet seit ihrem Master in den Bereichen Tourismus, für verschiedene Stiftungen und Kommunikationsagenturen. Als freie Texterin fokussiert sie sich auf die Themen Nachhaltigkeit, innovative Entwicklungskonzepte und responsible tourism. Im unternehmenswelt.de Team schreibt sie seit 2018 u.a. über die digitale Evolution durch Bitcoin, Blockchain und deren gesellschaftliche Bedeutungen.

Ähnliche News für Gründer und Unternehmer
18.08.2018

Crypto News der Woche 33/2018

Wir stellen die Õpet – Foundation vor und Nick Szabo in unserem Crypto-Portrait vor. Außerdem haben wir die wichtigsten Branchennews der Woche.

Crypto News der Woche 33/2018

Kursverfall- und Prognosen beschäftigen die Crypto – News und die Anleger. Erfreulicheres hingegen dürfen mittelfristig Kunden verschiedener internationaler Airlines erwarten, deren Blockchain – Initiativen teilweise erhebliche Beschleunigungen im Flugverkehr versprechen. - Unsere Crypto – News im Wochenrückblick!

17.08.2018

Nick Szabo – der smarte Kopf hinter den Smart Contracts

Vertragsregeln für die Blockchain mit juristischem Sachverstand - Lesen Sie hier mehr zu spannenden Crypto-Persönlichkeiten

Nick Szabo – der smarte Kopf hinter den Smart Contracts

Der studierte Informatiker und Rechtswissenschaftler Nick Szabo ist wie kein zweiter dafür verantwortlich, dass aus dem bloßen Transaktionsregister Blockchain ein dynamisches Anwendungstool für unterschiedlichste Bereiche entsteht. Das von ihm entwickelte Konzept der Smart Contracts macht eine vertragsrechtlich fundierte Interaktion zwischen digitalen (Handels)-Partnern erst möglich. Warum er darüber hinaus als heißer Kandidat für die wahre Identität von Satoshi Nakamato gehandelt wird, betrachten wir im aktuellen Crypto – Porträt der Woche!

15.08.2018

Wie die Õpet – Foundation den globalen Bildungsmarkt reformieren will

Beat the Prof! – Mit AI und Blockchain spielend durch´s nächste Examen - Wir stellen die Vision von Õpet vor.

Wie die Õpet – Foundation den globalen Bildungsmarkt reformieren will

Noch bis zum Ende September ist der Private Sale der Õpet Foundation für die Plattform eigenen Õpet Token offen. Im Rahmen seines aktuellen ICO will das Team aus Singapur um CEO Wilson Wang so 40% von insgesamt 100 Millionen Token in Umlauf bringen und entsprechendes Startkapital generieren, das in die nächsten Schritte der ambitionierten Unternehmens – Roadmap fließen soll.

unternehmenswelt