Die Bitcoin-Wechselbörse Cryptoine hat den Betrieb eingestellt. Ein Hacker hat aus Wallets Beträge in unbekannter Höhe entwendet. Wie die Betreiber eingestehen, musste der Unbekannte nur einen bestehenden Fehler im Handelssystem nutzen, um Beträge wunschgemäß zu verschieben.
Eigentlich schien sich Cryptoine auf Sicherheit – und Anonymität – zu konzentrieren. Es warb mit SSL-Verbindungen, Zwei-Faktor-Authentifizierung und einer dezentralisierten Umgebung. Auch war es für Tor-Nutzer offen. Sein Angebot umfasste 34 Krypto-Währungen.
Die Hacker hatten der Mitteilung von Cryptoine zufolge ungefähr sieben Stunden Zeit, um sich in den Hot Wallets zu bedienen, wo die Börse etwa Bitcoin, Litecoin und Dogecoin vorhielt. „Der Hacker fand einen Race-Condition-Bug in unserer Handels-Engine. Durch Manipulation von Bestellungen erzeugte er schiefe Salden“, heißt es. Das bedeutet letztlich, dass der Fehler für eine Ausführung in nicht vorgesehener Reihenfolge sorgte. So konnte nicht mehr korrekt überprüft werden, ob die Balance ausgeglichen war.
Cryptoine betont, dass es letztlich keinen Einbruch gegeben habe und daher keine persönlichen Daten gestohlen wurden – auch keine Schlüssel für die Wallets von Nutzern. Zudem konnten Angreifer keinen fremden Code ausführen. Das dürfte Kunden der Börse nur wenig trösten, denn „die Verluste sind irreversibel“, auch wenn der ausgenutzte Programmierfehler inzwischen behoben ist.
Eine geringe Hoffnung bleibt allerdings bestehen. Während Cryptoine fürs erste den Betrieb einstellte, plant es nach eigenen Angaben, in einigen Monaten „stärker und mit mehr Erfahrung“ zurückzukehren. Dann sollen verbliebene Einlagen von Nutzern diesen wieder zur Verfügung stehen.
In den Hot Wallets befanden sich etwa 60 Prozent der Einlagen. Welche Summe letztlich gestohlen wurde, will Cyrptoine demnächst in einer weiteren Erklärung berichten – und dann auch Details zu dem Fehler nennen.
Vor weniger als einem Monat hatte mit AllCrypt eine weitere Wechselbörse den Betrieb eingestellt. Ihr wurden 42 Bitcoin (BTC) im Gegenwert von knapp 10.000 Euro gestohlen: 12 eigene und 30 von Kunden. 7170 BTC (nach heutigem Kurs rund 1,65 Millionen Euro) gingen hingegen der chinesischen Wechselbörse Bter verloren, die Mitte Februar einen Handelsstopp einlegte. Sie scheint derzeit wieder aktiv und hat ein Zehntel der gestohlenen Summe als Belohnung ausgeschrieben, falls sie das Geld zurückerhält.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Suchmaschinenoptimierung (SEO) ist ein zentraler Faktor für den nachhaltigen Erfolg im digitalen Wettbewerb. Sie generiert…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…