21. Juni 2011

Doch noch einmal der Reihe nach: Am Sonntagabend sank der bei Mt. Gox geltende Wechselkurs für Bitcoins innerhalb weniger Minuten dramatisch, wie man in einem Video des BitcoinChannel gut nachvollziehen kann. Der Preisverfall von rund 17 Dollar pro Bitcoin auf unter 0,01Dollar verlief ungebremst und es ließ sich keine Ursache dafür erkennen. Auch Kevin, der für das Bitcoin-Posting verantwortlich zeichnet und dessen Identität von einem Moderator bei bitcoin.org bestätigt wird, konnte keine Ursache erkennen.

Doch auch er sah, was geschah und reagierte blitzartig. Da man vom Verlauf des Crash davon ausgehen konnte, dass schnell der Preis von 1 Cent erreicht wird und da vermutlich viele automatische Kauf-Orders auf diesem Wert lagen, versuchte er selbst eine Order bei 0,0101 Dollar zu platzieren, was ihm trotz der Überlastung des Systems gelang. Er konnte schließlich über 250.000 Bitcoins (259684,77) für 2.613 Dollar kaufen - was kurz zuvor noch einigen Millionen Dollar entsprochen hätte.

Ihm war ebenfalls klar, dass dieser Betrag bei Mt. Gox gefährdet ist und erklärt dies damit, dass er den Zugriff des Hackers für möglich hielt. Wahrscheinlicher ist zwar, dass er seine Schäfchen ins Trockene bringen wollte, doch das ist Spekulation und nicht das, was er in dem Posting angibt. Wie Kevin im Forum weiter schreibt, war ihm die 1.000 Dollar-Grenze des täglichen Transfer-Volumens bekannt, weshalb er dann nur 643,27 Bitcoins in seine vermutlich lokal gespeicherte Wallet-Datei verschieben konnte. Dieser Betrag entsprach zum Zeitpunkt des Transfers 1.000 Dollar, denn der Kurs stieg nach dem "Flashcrash" schnell wieder an. Er wusste zwar, wie man das Limit problemlos umgehen kann, doch er wollte nicht selbst als Hacker in Erscheinung treten.

Kevin gibt auch an, zu diesem Zeitpunkt den Mt. Gox-Gründer Mark Karpeles kontaktiert und informiert zu haben. Doch was dieser dann öffentlich verlautbarte, habe nichts mit dem zu tun, was er Kevin selbst über die Ereignisse wusste.

Alleine die folgenden Sätze aus der Stellungnahme von Mt. Gox enthalten demnach drei irreführende Elemente, wovon Kevin dann aber nur zwei benennt:

"One account with a lot of coins was compromised and whoever stole it (using a HK based IP to login) first sold all the coins in there, to buy those again just after, and then tried to withdraw the coins. The $1000/day withdraw limit was active for this account and the hacker could only get out with $1000 worth of coins".

Falsch ist laut Kevin die Angabe, dass es der Hacker war, der die Bitcoins nach dem Verkauf wieder kaufte. Das muss er auch am besten wissen, denn er selbst hat die gigantische Kauforder über eine Viertelmillion Bitcoins abgesetzt. Das zweite irreführende Elemt ist es, dass "der Hacker" nur Coins im Wert von 1.000 Dollar abziehen konnte. Das war zum Zeitpunkt des Transfers richtig, doch schon wenige Miuten später betrug der Wert schon wieder über 10.000 Dollar.

Das dritte irreführende Element, das Kevin an anderer Stelle auch selbst erwähnt, ist die Angabe, dass nur ein einziges Konto "mit einer Menge Coins" in Mitleidenschaft gezogen worden war. Dieser Punkt scheint besonders interessant, auch wenn Kevin nicht weiter darauf eingeht. Er kritisiert im weiteren Verlauf vor allem den Umstand, dass Mt. Cox alle Transfers rückgängig machen will, um den Schaden zu minimieren. Was für Kevin den Verlust aller Bitcoins bedeutet, sieht man von den transferierten Coins ab. Doch zur Beurteilung des angeblichen Hacks und des folgenden Zusammenbruchs des Tauschkurses ist das weniger wichtig.

Kevin erwähnt in diesem Zusammehang, dass schon Tage vor dem Hack die Sicherheit von Mt. Cox kritisiert worden war, und dass er auch schon vor dem Crash von der Datei mit den Benutzernamen und den verschlüsselten Passworten wusste, die auch jetzt noch kursiert. Hierzu hat Mt. Gox übrigens zwischenzeitlich angegeben, dass man inzwischen ein "freeBSD MD5 salted hashing" benutze. Lediglich die seit zwei Monaten nicht benutzten Konten sollen noch die einfachere und als unsicher geltende MD5 Hashfunktion benutzen. Nun konnte das Konto des einen, laut Mt. Gox betroffenen Benutzers also entweder geknackt werden, weil es seit zwei Monaten nicht besucht worden war, oder weil das Passwort vom Hacker erraten werden konnte. Wobei es unter beiden Bedingungen ein sonderbarer Zufall wäre, wenn ausgerechnet ein derart gut gefülltes Konto sich als schwach geschützt erweisen sollte.

Wahrscheinlicher ist daher die Vermutung Kevins, dass die Angabe von einem einzigen betroffenen Konto nicht stimmt. Wozu sich vielleicht die weitere Angabe von Mt. Gox fügt, wonach man eng mit Google zusammenarbeitet, und dass alle Konten gesperrt wurden, die mit Mail-Konten bei Google Mail in Verbindung stehen. Eine Angabe, die nur dann sinnvoll ist, wenn mehr als ein Konto von dem Hack betroffen war.

Doch das sind wie gesagt längst nicht die einzigen Ungereimtheiten. Nach wie vor unklar ist beispielsweise, was die Motivation des Hackers gewesen sein soll. Denn nach Kevins Darstellung wollte dieser sich nicht bereichern. Kevin geht sogar noch weiter und behauptet, die Volumenobergrenze von 1.000 Dollar sei so leicht zu umgehen, dass es dem Hacker sicher ein Leichtes gewesen wäre, eine größere Summe zu transferieren.

Doch das tat er nicht, sondern er trieb stattdessen mit der gefundenen Geldmenge den Wechselkurs absichtlich in den Keller. Woraus sich kein unmittelbarer Vorteil ableiten lässt. Es sei denn, die Schädigung der Wähung wäre sein Ziel gewesen. Doch auch das ist wieder reine Spekulation.

Klar wird jedenfalls spätestens nach dem Posting Kevins, dass man der Darstellung von Mt. Gox keinen Glauben schenken kann. Doch mit einer Untersuchung des Vorgangs etwa durch eine Aufsichtsbehörde oder die Polizei ist nicht zu rechnen. Die einzigen offiziellen Angaben sind jene von Mt. Gox. Womit der neuen virtuellen Währung mittel- bis langfristig vermutlich ein größer Vertrauensverlust erwächst, als durch alle anderen Versuche der Rufschädigung der letzten Zeit.

Links:

• Mt. Gox
• Kevin Posting 
• YouTube BitcoinChannel