54 Millionen in Ether geklaut: Krypto-Dieb errät private Schlüssel – Internet

54 Millionen in Ether geklaut: Krypto-Dieb errät private Schlüssel – Internet

  24 Apr 2019

Ein Blockchain-Gangster hat über Jahre Millionenbeträge in der Kryptowährung Ether gestohlen, indem er Zugangsschlüssel erraten hat – obwohl sie sich eigentlich gar nicht erraten lassen.

Krypto-Währungen wie Bitcoin und Ether (ETH) funktionieren ohne Banken. Um das digitale Geld trotzdem sicher zu überweisen, schützt man es mit „Private Keys“, also privaten Schlüsseln. Das kann man sich so vorstellen: Man sperrt Geld in einen Briefkasten. Nur die Person, die einen passenden Schlüssel besitzt, kann ihn öffnen und das Geld herausnehmen.

Private Keys für die zweitgrößte Kryptowährung, der zum „Ethereum“-System gehörende „Ether“, bestehen aus bis zu 78 Ziffern und Buchstaben, die automatisch von Computer-Programmen zusammengestellt werden, wenn man sich ein Konto anlegt. Diese zufälligen Kombinationen zu erraten ist so gut wie unmöglich. Doch Cyber-Kriminelle auf der ganzen Welt legen Nachtschichten ein, um die Rätsel zu knacken und an das Geld fremder Krypto-Anleger zu kommen.

Einem unbekannten Hacker ist es nun gelungen, solche Zahlenfolgen zu entschlüsseln, wie die amerikanische Sicherheitsfirma Independent Security Evaluators berichtete.

Ein Vermögen abgezwackt

Die Computer-Sicherheitsfirma fand durch einen Zufall heraus, dass ein „Blockchain-Bandit“ sich über mehrere Jahre von unterschiedlichen Ethereum-Konten bedient hatte. Als sie bemerkten, dass mehrere Wallets, also digitale Geldbeutel, ausgeräumt worden waren, führten sie einen Test durch. Sie schickten einen kleinen Betrag an eine Adresse mit schwachem Privatschlüssel.

Dann der Schock: Das Geld wurde sofort auf ein anderes Konto umgeleitet. Ein genauer Blick in die Blockchain, also das digitale Kassenbuch, in dem alle Transaktionen festgeschrieben und abgesichert sind, zeigte: Der Dieb hatte sich bereits bei 5000 Opfern bereichert. Über mehrere Jahre waren so 38 000 ETH zusammengekommen. Während der Hochphase der Währung vergangenes Jahr machte das über 54 Millionen US-Dollar aus. Pech für den Meisterdieb, dass der Krypto-Markt in der Zwischenzeit zusammengebrochen ist. Mittlerweile ist sein Vermögen nur noch einen Bruchteil wert, denn er hat sein digitales Geld in den drei Jahren nie gegen Euro, Dollar & Co. eingetauscht.

So lange geraten, bis Schlüssel passten

Die statistische Unwahrscheinlichkeit, dass die individuelle Ziffernfolge der jeweiligen Wallet nochmal entsteht oder erraten wird, macht das System eigentlich sicher. Durchprobieren? Fast unmöglich. Adrian Bednarek, Sicherheits-Analyst bei Independent Security Evaluators sagt: „Man kann sich das so vorstellen, als würde man jemanden zum Strand schicken, um ein Sandkorn auszusuchen und dann wieder zurückzuschmeißen.“ Den Private Key zu erraten wäre so wahrscheinlich, wie wenn die Person genau das selbe Sandkorn wiederfinden würde.

Trotzdem hat Adrian Bednarek es geschafft, rund 700 von 34 Milliarden überprüften Blockchain-Adressen aufzuspüren, die unsicher sind. Diese können einfacher entschlüsselt werden, was sich der Dieb zunutze gemacht hat. Mögliche Ursache dafür könnten entweder Software-Fehler, selbst zugeordnete und leichter zu merkende Ziffernfolgen durch unerfahrene Nutzer oder unsichere Wallets sein – was genau die automatisch erstellten Codes zum Sicherheitsrisiko gemacht hat, kann der Experte nicht sagen. Er zeigte sich auf jeden Fall im Interview mit seiner Sicherheitsfirma beeindruckt vom enormen Aufwand, der betrieben wurde, um sie aufzuspüren. Dafür mussten abertausende schwache Schlüssel gefunden und mit den richtigen Adressen in Verbindung gebracht werden.

Zu wem die Wallet mit dem Diebesgut gehört ist in der anonymen Welt der Kryptowährungen verschleiert. Aufgrund des massiven Rechenaufwands vermutet der Experte, dass kein Einzeltäter den Mega-Diebstahl begangen haben kann. Ihmzufolge könnte es sich um eine große Organisation oder einen Staat gehandelt haben, der ein Heer von Hackern und gute Computer-Programme einsetzt.





Source link

Leave a Reply

Your email address will not be published. Required fields are marked *