Diebstähle gehören in der Welt von Bitcoin & Co. längst zur Tagesordnung. Anonyme Währungen, die enorme Preissteigerungen versprechen und zu gigantischen Nominalwerten führen, wecken offenbar große Begehrlichkeiten. Sie rufen viele Glücksritter auf den Plan, die hoffen, rechtzeitig auf den Zug aufzuspringen und dabei vergessen, ihre frisch gewonnenen Vermögen abzusichern. Die jungen Fintechs, bei denen die Krypto-Konten laufen, sind oft genau so schlecht abgesichert. So entsteht ein Tummelplatz für talentierte Hacker.

Nun hat es die junge Kryptobörse Beanstalk – es gibt sie erst seit einigen Monaten – erwischt. Die Betreiber haben den Diebstahl öffentlich eingestanden. Der Plattform „Vice“ sagte einer der Gründer: „We are fucked“, was umgangssprachlich den Zustand beschreibt: „Wir sind geliefert“.

In 13 Sekunden zu 182 Millionen Dollar

Der Weg, den die Diebe bei Beanstalk genommen haben, ist sehr ungewöhnlich. Die frisch formierte Kryptobörse agierte mit ihrer eigenen Digitalwährung, einem sogenannten Stablecoin namens „Bean“. Dessen Wert sollte durch die Einzahlungen der Nutzer stabil bei einem Dollar gehalten werden. Indes können wie bei dezentralen Blockchains üblich, eben diese Nutzer über Änderungen am Code entscheiden, der wiederum die technische Grundlage der Digitalwährung ist. Sie erhalten so viele Anteile, wie sie Einheiten der Digitalwährung besitzen. Wer etwa 1 Prozent aller „Beans“ hält, hat auch 1 Prozent der Stimmrechte.

Genau das haben sich die Hacker zunutze gemacht. Im ersten Schritt liehen sie sich über eine Art „Blitzkredit“ fast eine Milliarde Dollar in verschiedenen Digitalwährungen. Mit diesem Geld erwarben sie umgehend eine Zwei-Drittel-Mehrheit an Bean und damit auch zwei Drittel der Stimmrechte. Danach verfügten sie, dass alle Einzahlungen in Höhe von 182 Millionen Dollar an sie selbst überwiesen werden. Was wie eine aufwendige Operation klingt, hat laut dem Technikportal „The Verge“ nur 13 Sekunden gedauert. Nach Rückzahlung des Blitzkredits samt Gebühren blieben den Hackern immerhin noch 80 Millionen Dollar.

Juristisch kompliziert

Dem Team von Beanstalk bleibt nun nichts anderes übrig, als an die Diebe zu appellieren. Wenn sie 90 Prozent der 80 Millionen Dollar zurückzahlten, könnten sie die übrigen 10 Prozent als eine Art Finderlohn für das Aufdecken der Schwachstelle behalten.

Schwierig wird allerdings auch eine juristische Aufarbeitung des Falls. Denn streng genommen war es gar keine Sicherheitslücke. Das Protokoll war nicht gegen eine kurzfristige Übernahme abgesichert, weil die Gründer von Beanstalk schlicht nicht mit einem solchen Angriff gerechnet hatten.

Solche Fälle gibt es in der Kryptowelt immer wieder. Der bekannteste Fall zuletzt war ein gigantischer 650-Millionen-Dollar-Diebstahl: Betroffen waren vor allem Spieler des in Asien populären Spiels Axie Infinity. Die Diebe nahmen dabei eine sogenannte Bridge-Software ins Visier. Mit dieser wird Kryptogeld in dem Spiel in andere digitale Währungen umgetauscht.

Durch den Hack wurden damals 173.600 Einheiten der Digitalwährung Ethereum gestohlen, teilten die Betreiber der betroffenen Ronin Bridge seinerzeit mit. Den Angreifern sei es gelungen, die Digitalwährungen mit gehackten Kryptoschlüsseln abzuziehen. Solche Brücken, die Digitalwährungen in andere Digitalwährungen umtauschen oder wie in diesem Fall für Käufe eingesetzt werden, sind zuletzt immer wieder Ziel von Hackern geworden.