Ein ungewöhnlicher Fall
Wie kann man Kryptowährungen stehlen? Mit dieser Frage beschäftigte sich Adrian Bednark, seines Zeichens Consultant für IT-Sicherheit. Für einen Kunden aus der Krypto-Industrie, machte er sich bereits vor einem Jahr an die Arbeit, die Frage zu beantworten.
Also beschäftigte er sich mit Private Keys von Ethereum und kam zu dem Schluss, dass nicht alle Private Keys sinnvoll erstellt wurden. Tatsächlich gibt es eine bestimmte Anzahl an Keys, die so einfach sind, dass man sie erraten kann.
Alles leer geräumt
Bei seinen Nachforschungen stellte Bednark fest, dass ein Großteil der Keys, die er gefunden hatte, kein Ether enthielten. Die Keys waren leer und die Beträge wurden zu einer bestimmten Adresse überwiesen.
Es sieht so aus, als hätte eine Person oder Gruppe über Jahre hinweg Ethereum Adressen ausgeraubt. Insgesamt handelt es sich um gut 45000 ETH, was zum aktuellen Zeitpunkt einer Summe von ca. 6,7 Millionen Euro entspricht.
Dabei gehen die Diebe automatisiert vor. Der Sicherheitsforscher machte den Test und schickte etwas ETH zu einer betroffenen Adresse. Innerhalb von Sekunden wurde der Betrag gestohlen. Außerdem konnte er ausmachen, dass vermutlich mehrere Diebe um die Adressen konkurrieren. Es scheint so, als ob bei einem weiteren Test ein anderer Täter schneller war und den Betrag schneller abheben konnte.
Ist mein Wallet sicher?
Wenn die Private Keys nicht von Ihnen, sondern von einer Wallet-Software erstellt worden sind, dann lautet die Antwort höchstwahrscheinlich, ja.
Bednark war nicht in der Lage konkrete Wallets zu identifizieren, die an dem Problem schuld sein könnten. Es lässt sich also nicht mit absoluter Sicherheit sagen, wie die unsicheren Private Keys entstanden sind.
Außerdem könnte der Täter auch auf anderem Weg an die Private Keys gelangt sein. Er muss sie nicht zwingend erraten haben.
Sicherheitstip
Es gilt als wahrscheinlich, dass die Besitzer der betroffenen Wallets den Seed selber erstellt haben. Vermutlich um ihn sich leichter merken zu können. Von einem solchen Vorgehen ist nur abzuraten. Selbst wenn Ihnen ein Satz oder eine Eselsbrücke noch so einzigartig erscheint, sie kann erraten werden.
Lassen sie sich Menomic Seeds oder ein Brain Wallet immer von der Software erstellen.
Juristisches Problem
Selbst wenn man den Täter fassen würde. Wie wollte man beweisen, dass er die Keys gestohlen hat? Das Geheimnis sollte ja nur einer Person oder einem bestimmten Personenkreis bekannt sein. Anders ausgedrückt, wie beweist man, dass man der alleinige Inhaber eines Private Keys ist?
Wie würde man Beweisen wollen, dass man die Private Keys selber erstellt hat und nicht der Täter?
Im vorliegenden Fall ist das noch relativ einfach, denn es handelt sich um tausende Private Keys, die leer geräumt wurden. Die Indizien sprechen also für sich. Würden sich dann noch ein Teil der rechtmäßigen Besitzer melden, sähe es vermutlich schlecht für den Täter aus.
Eines zeigt der Fall und die Arbeit von Adrian Bednark sehr deutlich. Mit Private Keys spielt man nicht. Besser ist es, gut auf sie aufzupassen.
