Die asiatische Kryptobörse KuCoin wurde gehackt. Von den knapp 200 Millionen Dollar, die in Form von Kryptowährungen und Kryptoassets gestohlen wurden, entfiel der Großteil auf Tokern auf Ethereum. Für die Hacker bringt dies zugleich Vorteile wie Nachteile. Token haben eben nicht dieselben Eigenschaften wie natives Kryptogeld.

Am vergangenen Freitag berichteten einige Twitter-User, dass es auffällig große Auszahlungen von der Börse KuCoin aus Singapur gab. Kurze Zeit später waren von dem Ethereum-Account der Börse Ether und Token im Wert von rund 150 Millionen Dollar ausgezahlt. Das wirkt etwas viel für den normalen Betrieb einer Börse, die zwar groß ist, aber nicht gigantisch.

Während in den sozialen Medien die Gerüchte, die Börse sei gehackt worden, brodelten, blieb KuCoin zunächst still. Erst einige Stunden später machte die Börse es offiziell: Es habe Auszahlung von Bitcoin und diversen Coins und Token gegeben. Diese allerdings machten nur einen kleinen Teil der von KuCoin gehaltenen Assets aus, die Token; die in den Cold Wallets gelagert liegen, sind sicher, und die Hot Wallets seien sicher reaktiviert. KuCoin vermeidet das schlimme Wort „Hack“, sondern nennt das Geschehen einen „Zwischenfall“. Sie meinen aber dasselbe: Ein Hacker hat die Wallets der Börse ausgeräumt.

Auf den ersten Blick sah es aus, als seien gut 160 Millionen Dollar gestohlen worden. Interessant ist dabei die Zusammensetzung der Werte: Lediglich gut 10 Millionen Dollar entfallen auf Bitcoin, der Rest stellt Ether oder ERC20-Token dar. Unter diesen machen Tether-Dollar sowie Token von Alchemy, Ampleforth und Ocean den Großteil aus. Einen Tag später räumte der CEO der Börse, Johnny Lyu, in einem Livestream ein, dass rund 193 Millionen Dollar gestohlen worden seien. Genauer gesagt sind es die folgenden Token:

14 Millionen USDT auf der EOS und Omni Blockchain, 1.088 Bitcoin, 228 Mio Tron (TRX), 18,5 Millionen XRP, 14.713 Bitcoin SV, 26.733 Litecoin und eben eine große Menge ETH und ERC20-Token. Auf dem ETH-Account der Hacker findet man derzeit mehr als 100 Token-Einträge.

Etwa einen Tag nach dem Einbruch begann der Hacker, einige Token zu wechseln. Dafür verwendete er die dezentrale Wechsel-Plattform UniSwap. Er hat dort etwa so gewaltige Mengen an Ocean-Token gegen Ether getauscht, dass dies Beobachtern zufolge deren Marktpreis um 4-10 Prozent gesenkt hat – bis schließlich die Ocean-Entwickler eingriffen und den Transfer durch den Smart Contract vorübergehend stoppten. Angeblich, um die Investoren zu schützen.

Auch KuCoin begann die bereits etablierten Schritte einzuleiten, um den Hackern das Leben etwas schwerer zu machen: Der CEO Johnny Lyu kündigte bereits am Samstag an, mit mehreren Börsen und anderen Unternehmen in Kointakt zu stehen, darunter Huobi, Binance, OKEx, BitMax und ByBit sowie Regulierern und anderen Blockchain-Unternehmen, um „daran zu arbeiten.“ Diese Börsen werden vermutlich eine Blacklist verhängen.

In einem heute Vormittag veröffentlichten Update berichtet die Börse über den weiteren Umgang mit dem Hack. Dabei listet sie mehrere verdächtige Adressen (etwa für Bitcoin oder auf Ethereum) und berichtet über die Aktivitäten der Partner. Interessant ist dabei, dass unter den Partner zahlreiche Organisationen sind, die Token herausgeben und den dahinterliegenden Smart Contract verwalten:

Tether hat 22 Millionen USDT eingefroren, die in den Hack involviert waren. Mehrere Token-Entwickler, etwa von VELO, COV, AMP und VIDT, haben den Token-Smart-Contract so geändert, dass die gehackten Token eingefroren sind. Andere, etwa SNTR, KAI oder NOIA, tauschen die bestehenden Token gegen neue, um den Hack auszumerzen.

Für den Hacker dürfte es jetzt extrem schwierig werden, seine Beute zu Geld zu machen. Auf der einen Seite sind die involvierten Adressen öffentlich und dürften von allen Börsen auf eine Blacklist gesetzt sein.

Gute Chancen, die Beute in Bares umzuwandeln, dürften vor allem für Bitcoins bestehen. Diese können sie über CoinJoin, Lightning und andere Mittel waschen, langsam und in kleinen Portionen, aber doch einigermaßen zuverlässig und sicher. Zudem lassen sich Bitcoins recht flüssig in andere, privatere Kryptowährungen wie Monero oder Zcash wechseln, bei denen dann die Spur rasch verwischt, und schließlich gibt es für Bitcoin viel mehr Plattformen und Anbieter, bei denen man Bitcoins gegen Bargeld oder Gutscheincodes tauschen kann.

Ähnliches geht, mit erheblichen Einschränkungen, auch bei den anderen Kryptowährungen, allerdings mangelt es hier sowohl an vergleichbar weit entwickelten Werkzeugen als auch an einer ausreichenden Liquidität fungibler Transaktionen, in denen sich Geldströme verschleiern lassen.

Auf der anderen Seite sitzen die Hacker nun auf einem großen Stoß ERC-Token. Einen Teil davon konnten sie durch UniSwap gegen Ether oder andere Token wechseln. Da UniSwap dezentral ist, gibt es keine Möglichkeit, die gehackten Coins vom Tausch abzuhalten. Im Prinzip können die Hacker mit ihnen auch Zinsen dafür bekommen, Liquidität auf UniSwap, Compound und anderen DeFis bereitzustellen, ohne dass jemand sie daran hindern kann. Dies könnte die Diskussion auslösen, inwieweit dezentrale Börsen und andere DeFis in Zukunft in der Lage sein müssen, Blacklists einzusetzen.

Schwierig wird es jedoch beim „Auscashen“, also dem Versuch, die Coins und Token, die mit einer bestimmten Ethereum-Adresse verbunden sind, gegen Dollar oder Euro zu tauschen. Ab hier greifen wieder die Blacklists von Börsen. Zwar ist es mit Tornado Cash möglich, auch auf Ether auf dezentrale Weise Token zu anonymisieren, praktikabel aber dürfte dies nur mit kleineren Beträgen sein.

Weitere Token, wie die Tether, lösen sich mehr oder weniger sofort in Luft auf. Diese Token laufen auf zentral kontrollierten Smart Contracts, die es erlauben, Blacklists direkt ins Protokoll zu schreiben. Es handelt sich bei ihnen nicht um zensurresistentes digitales Bargeld, sondern um Token, die zensiert und reguliert werden können. Dies dürfte sie an sich zu einer wenig lukrativen Beute für Hacker machen, und, unabhängig davon, wie man ideologisch dazu steht, zeigt dies, dass eine gewisse zentralisierte Kontrolle durchaus auch der Sicherheit helfen kann und Kriminalität verhindert.

Einen Grund, Mitleid mit dem Hacker zu haben, gibt es dennoch nicht. Trotz des Trends zu Token, die mit Blacklists kompatibel sind, sowie der zunehmenden Professionalität, mit der Börsen auf Hacks reagieren, dürften die Hacker allein durch die Bitcoins erhebliche Gewinne gemacht haben, die in keinem Verhältnis zum Aufwand stehen.

[Gesamt: 0   Durchschnitt:  0/5]