Im Laufe des heutigen Abends brach bei Mt. Gox, dem größten virtuellen Börsenplatz für Bitcoins, der Kurs für einen Bitcoin aufgrund eines Hacks von gut 17 auf 0.01$ ein. Binnen Sekunden. Wenige Minuten später stand der Kurs wieder bei gut 14$. Ein Chart des Absturzes (inklusive der Visualisierung des Handelsvolumens) findet Ihr hier. Je größer der blaue Kreis, um so größer das Handelsvolumen.
Auf Youtube gibt es auch ein Video das zeigt, wie schnell der Kurs ins bodenlose sackte:
Ursache des Kurssturzes war, dass ein Account auf einen Schlag 500.000 Bitcoins verkauft hat. Das Handelsvolumen war so gewaltig, dass innerhalb weniger Sekunden sämtliche existierenden Kauforder erfüllt wurden. Zeitgleich wurden von diesem Account mit dem so erzielten Gewinn beim Kurs von 0.01$ wieder massiv Bitcoins zurück gekauft und anschließend versucht, die Bitcoins auf ein anderes Konto zu überweisen. Dies schlug allerdings dann fehl, da Mt. Gox maximal 1000$ pro Tag und Account an Transaktionen erlaubt (bzw. Bitcoins im entsprechenden Gegenwert). Der oder die Täter hat also maximal 1000$ mitgehen lassen. Die komplette Erklärung des Vorganges findet man bei Mt. Gox.
Dort spricht man davon, dass ein Account kompromittiert wurde, was sich zwischenzeitlich aber als absolute Fehleinschätzung herausgestellt hat. Die komplette Accountdatenbank von Mt. Gox ist nämlich inzwischen als CSV-Datei auf Rapidshare und anderen Filehostern aufgetaucht. Im Bitcoin-Forum war für kurze Zeit ein Beitrag zu finden, der auf die Downloads verlinkte. Und es handelt sich tatsächlich um die Account-Datenbank. Glücklicherweise war man dort etwas schlauer als bspw. Sony und speicherte die Passwörter nicht im Klartext in der DB, es sind salted MD5-Hashes. Dennoch ein gewaltiger Gau für Mt. Gox, zumal sich so etwas bereits ankündigte.
Spekuliert wird aktuell, woher die 500.000 Bitcoins kommen, ob sie echt waren oder nur in der Datenbank vorhanden. Mt. Gox will nun einen kompletten Rollback durchführen, wird aber sicher auf den 1000$ sowie auf einem enormen Imageverlust sitzen bleiben. Und natürlich hört man auch jetzt schon genügend Stimmen die davon sprechen, dass das wohl das Ende der Bitcoins sei. Nur muss man hier ganz klar sehen: Mt. Gox ist nichts weiter als ein Handelsplatz für Bitcoins, Mt. Gox ist nicht Bitcoin. Handelsplätze gibt es weitaus mehr (bspw. Bitcoin Market, Bitcoin7 oder TradeHill), so wie es überall auf der Welt Börsen gibt. Allerdings wird der Hack dennoch das Vertrauen in den Bitcoin für die nächste Zeit schwächen, auch weil die Berichterstattung in den nächsten Tagen sicherlich genau in diese Kerbe schlagen wird. Interessanterweise spricht aber niemand vom Ende des Dollars oder Euros, nachdem bei der Citibank 360.000 Kundenkonten gehackt wurden.
Bitcoins wurden erst in den letzten Wochen wirklich attraktiv und bekannt, nachdem alle Welt davon berichtete. Plötzlich wurden die Mining-Pools größer, plötzlich stieg das Handelsvolumen an den Handelsplätzen und natürlich auch der Wert der Bitcoins. Aus einer „Währung für Nerds“ wurde plötzlich etwas, was viele interessierte. Insofern müssen die Nerds, die Handelsplätze und dergleichen aus purem Spaß aus dem Boden gestampft haben, nun auch wesentlich professioneller werden und agieren. Das ist das, was wir aus dem heutigen Vorfall bei Mt.Gox lernen sollten.
Update: Inzwischen habe ich auch eine Mail von Mt.Gox erhalten, hier der Inhalt:
Dear Mt.Gox user,
Our database has been compromised, including your email. We are working on a quick resolution and to begin with, your password has been disabled as a security measure (and you will need to reset it to login again on Mt.Gox).
If you were using the same password on Mt.Gox and other places (email, etc), you should change this password as soon as possible.
The informations there will be updated as our investigation progresses.
Please accept our apologies for the troubles caused, and be certain we will do everything we can to keep the funds entrusted with us as secure as possible.
While the password is encrypted, it is possible to bruteforce most passwords with time, and it is likely bad people are working on this right now.
Any unauthorized access done to any account you own (email, mtgox, etc) should be reported to the appropriate authorities in your country.
Thanks,
The Mt.Gox team
Zumindest reagiert man relativ zeitnah und kehrt nichts unter den Teppich.
Update 2: Inzwischen tauchen offenbar die ersten Spuren des Angreifers auf. Im Forum von InsidePro (einer Password Recovery Software) stellte ein User „georgeclooney“ schon seit Anfang Mai dem 16.6. stapelweise MD5-Hashes ein und bat um Unterstützung beim knacken. Fast alle von mir stichprobenartig geprüften Hashes aus seinen Listen finden sich auch in der CSV-Datei, die veröffentlicht wurde. Und dabei musste ich feststellen, dass offenbar nicht alle Passwörter als salted Hash gespeichert wurden, sondern auch jede Menge Standard-MD5 Hashes enthalten sind. Mehrere Hashes wurden im InsidePro-Forum auch geknackt und die zugehörigen Passwörter wurden geposted. Es ist also ziemlich sicher, dass der Angreifer wesentlich mehr als nur ein Konto bei Mt. Gox kompromittieren konnte.
Update 3: Die Accountdaten von Mt. Gox wurden bereits am Samstag bei Pastebin zum Verkauf angeboten:
I have hacked into mtgox database. Got a huge number of logins password combos.Mtgox has fixed the problem now. Too late, cause I’ve already got the data.
Will sell the database for the right price.Send your offers to:gfc06@hotmail.com
Laut DailyTech wird der Angreifer in Hong Kong vermutet, zumindest verwies seine IP-Adresse dorthin. Auch scheinen diverse Bitcoin-Diebstähle (auch bei Mt. Gox) mit dem Vorfall in Zusammenhang zu stehen.
Update 4: Die oben bereits verlinkte Erklärung von Mt. Gox wurde inzwischen mehrfach aktualisiert und dort findet sich auch eine Erläuterung dafür, dass viele Passwörter nur als MD5-Hash gespeichert waren:
Two months ago we migrated from MD5 hashing to freeBSD MD5 salted hashing. The unsalted user accounts in the wild are ones that haven’t been accessed in over 2 months and are considered idle. Once we are back up we will have implemented SHA-512 multi-iteration salted hashing and all users will be required to update to a new strong password.
Darüber hinaus arbeite man mit Google zusammen, Googlemail-Accounts, die mit Mt.Gox-Konten verbunden waren, wurden zurückgesetzt und die Inhaber dieser Mailaccounts müssen ihr Konto neu verifizieren. Die ersten User berichten bereits von zurückgesetzten Passwörtern in ihren Googlemail-Konten.
Inzwischen wurden auch die ersten Mails an die Adressen aus dem Account-Dump versendet. Inhalt:
A few hours ago the Bitcoin trading website Mt Gox has been hacked. Malicious individuals have been able to obtain a database containing usernames, email address and encrypted passwords. This information has been posted publicly on the internet.
As a Bitcoin supporter I’m now sending a message to every email address contained in the hacked database. This is to warn you that your username, email address and password have been leaked. I therefore strongly advice you to change your passwords. If you have used the same password on different websites it’s highly recommended to change your password on all of your accounts!
For a more secure alternative to Mt Gox, the community appears to be moving to TradeHill. So this is no reason to lose faith in Bitcoin itself. It must be seen as a warning that not every website can be trusted with your data however! Their link is http://www.tradehill.com/?r=xxxxxx (Note: You can remove the Referral Code when registering if you want!) This is certainly not the only website where you can exchange Bitcoins, also check out http://www.thebitcoinlist.com/dp_bitcoin/bitcoin-exchange/
Es ist sicherlich nur eine Frage der Zeit, bis Mails mit Links zu irgendwelchen obskuren Tools oder speziellen Attachments bei diesen Adressen landen. Korrektur: Diese Mails sind bereits im Umlauf:
Dear Mt.Gox user,
Our database has been compromised, how you already know.
To protect your account in the future, please download the Certificate (self-extracting archive) from Attachment and install it.
If you were using the same password on Mt.Gox and other places (email, mybitcoin.com, etc), you should change this password as soon as possible.
Please accept our apologies for the troubles caused, and be certain we will do everything we can to keep the funds entrusted with us as secure as possible.
Any unauthorized access done to any account you own (email, mtgox, etc) should be reported to the appropriate authorities in your country.
Thanks,
The Mt.Gox team
Es ist hoffentlich überflüssig zu erwähnen, dass man dieses Attachment NICHT herunterladen oder gar installieren sollte…
Update 5: Mt.Gox hatte bereits eine kurze Information dazu verfasst, wie der Angreifer an die Accountdaten gelangt ist, ich hatte aber vergessen, das zu erwähnen. Hole ich hiermit nach:
It appears that someone who performs audits on our system and had read-only access to our database had their computer compromised. This allowed for someone to pull our database.
Man beruft sich also darauf, dass ein direkter Zugriff auf die Datenbank für den Angreifer nicht möglich war, sondern der Rechner einer Person, die einen Audit durchführte, mit Malware infiziert war. Und auf diesem Wege konnte der Angreifer auf die Datenbank zugreifen. Klingt schon nach ein paar komischen Zufällen wenn ich ehrlich sein soll, aber OK. Warten wir mal ab,welche Informationen noch bekannt werden.
Ich hatte gestern in meinem Artikel über die plötzlich zunehmende Berichterstattung über Bitcoins bereits einen Nachtrag hinzugefügt, in dem ich darauf hinwies, dass der BDVW (Bundesverband Digitale Wirtschaft e.V.) Händler und Verbraucher vor Bitcoins warnt. Heute möchte ich noch mal kurz auf ein paar sehr auffällige Punkte in dieser Mitteilung eingehen, die einfach ins Auge stechen.
Was insgesamt nach dem Lesen als erstes auffällt: Man möchte Panik schüren. Bitcoins sind böse, schlecht und vor allem ganz doll gefährlich. Weil… sie böse, schlecht und ganz doll gefährlich sind.
Nehmen wir uns einfach mal den ersten Absatz her:
„Durch die Nutzung von Bitcoins als Zahlungsmittel wird die notwendige Kontrolle durch den Staat in den Fällen von Steuerhinterziehung oder Geldwäsche unmöglich. Deswegen sind Bitcoins schlichtweg gefährlich und haben das Potenzial, der gesamten Gesellschaft eben durch Steuerhinterziehung, Geldwäsche oder andere illegale Geschäfte nachhaltig zu schaden.“
Ersetzen wir „Bitcoins“ in diesem Abschnitt durch „Bargeld“ (wie es Linus bereits getan hat), dann funktionieren die beiden Sätze immer noch hervorragend. Die Aussage macht nach wie vor Sinn. Denn nichts anderes trifft auf Bargeld zu. Egal, von welcher Währung wir sprechen.
Noch viel interessanter finde ich persönlich aber den später folgenden Abschnitt:
„Der BVDW empfiehlt daher allen Marktteilnehmern, auch weiterhin auf die bewährten Zahlungsmittel bei Online-Transaktionen im E-Commerce oder bei Online-Tauschgeschäften zu vertrauen. Eine Ansammlung von Bitcoins als monetäre Reserve könnte von einem auf den anderen Tag durch den staatlichen Eingriff entwertet werden.“
Was denn nun lieber BVDW? Ist staatliche Kontrolle nun möglich (wie der eben zitierte Ausschnitt darlegt) oder nicht (wie im ersten Zitat zu lesen)? Beides geht nicht. Entweder entziehen sich Bitcoins komplett staatlicher Kontrolle, dann können Bitcoin-Reserven durch staatliche Eingriffe auch nicht entwertet werden, oder sie entziehen sich eben nicht staatlicher Kontrolle, was eine Entwertung möglich machen würde. Aber so, wie Ihr es beschreibt, ist es schlicht und ergreifend ein Widerspruch.
Mit der Aussage „durch den staatlichen Eingriff“ soll dem Ganzen noch ein wenig mehr Nachdruck verliehen werden, es soll so klingen, als stünde ein „regulierender“ Eingriff unmittelbar bevor. Aber mal ganz ehrlich lieber BVDW: Was soll passieren, wenn in Deutschland beispielsweise Bitcoins „verboten“ werden? Löschen dann plötzlich alle ihre Wallets und werfen die Bitcoins weg? Oder würde durch solch ein Verbot nicht viel eher erreicht werden, dass die Transaktionen erst Recht an sämtlichen staatlichen Kontrollen vorbei durchgeführt werden? Die Übertragung von Bits und Bytes lässt sich nun einmal nicht verbieten.