Manche Nachrichten aus der Kryptowelt sind nach wie vor so übel, dass man sie gar nicht erfinden könnte: Normalerweise sollte man davon ausgehen, dass große Kryptobörsen in der Lage sein sollten, Industriestandards zur Sicherung von Kundenvermögen einzuhalten.

Ein aktueller Bericht der Insolvenzverwalter von FTX deckt nun unter anderem aber auf, dass die kollabierte Börse kryptografische Schlüssel und Seed-Phrasen von Kunden sogar in Klartextdokumenten aufbewahrte – und diese für Mitarbeiter frei zugänglich waren. Offenbar nur die Spitze eines Eisbergs, was das Totalversagen hinsichtlich der Sicherheitsvorkehrungen von FTX betrifft.

Konkret geht es in dem Bericht darum, die Kontrollversäumnisse des früheren Managementteams der FTX-Gruppe in kritischen Bereichen, unter anderem eben auch der Informationssicherheit und Cybersecurity, aufzuzeigen. Laut offizieller Mitteilung der Insolvenzverwalter basieren die Informationen "auf der Überprüfung von Terabytes elektronischer Daten und Kommunikation, mehr als einer Million Dokumenten und Interviews mit 19 ehemaligen Mitarbeitern der FTX-Gruppe".

Aus dem Bericht geht hervor, dass sich die Kryptobörse FTX offenbar nicht im Geringsten um die Sicherheit der Vermögen ihrer Kunden geschert haben dürfte. Das artikulierte sich zunächst darin, dass FTX keine ordnungsgemäße Überwachung seiner Systeme und Protokolle hatte, um potenzielle Cyberangriffe zu erkennen und zu verhindern.

Unverschlüsselte Aufbewahrung von Seed-Phrasen

Das Unternehmen dürfte zudem auch keine angemessenen Sicherheitsrichtlinien oder Verfahren für seine Mitarbeiter festgelegt haben. Eine Absicherung gegen Social-Engineering- oder Phishing-Angriffe, die dazu führen könnten, dass Mitarbeiter auf schädliche Links klicken oder sensible Informationen preisgeben, war somit auch nicht gegeben.

Das ist nicht zuletzt deshalb "bedenklich", um es noch höflich zu formulieren, weil sensible kryptografische Schlüssel und Seed-Phrasen in Klartextdokumenten abgespeichert worden sind. Diese Schlüssel oder Phrasen ermöglichen erst den Zugang zu den Wallets der Kunden. Kein Scherz also, richtig gelesen: Wallets im Wert von mehreren zehn Millionen Dollar lagen mehr oder weniger unverschlüsselt bei FTX einfach so herum.

Hot Wallets bevorzugt

Auch die vergangenen Behauptungen mehrerer FTX-Führungskräfte, wonach die Aufbewahrung von Kundenvermögen in Cold Storages veranlasst wurde, wird in dem Bericht widerlegt. Hieß es ursprünglich noch, dass nur eine kleine Menge an Kryptos online in Hot Wallets aufbewahrt worden sei und der Großteil "offline in luftdicht verschlossenen Laptops" gelagert werde, zeigt sich nun ein ganz anderes Bild. Außer in Japan, "wo man aufgrund der Vorschriften dazu verpflichtet war, machte die FTX-Gruppe nur wenig Gebrauch von Cold Storages", heißt es im Bericht.

Vor diesem Hintergrund verwundert es noch weniger, wie es kurz nach der Insolvenz der Kryptobörse zum "mysteriösen" Verschwinden von 450 Millionen US-Dollar kommen konnte. Der Prozess gegen Sam Bankman-Fried, dem FTX-Gründer, der alleine mehr als 2,2 Milliarden US-Dollar abgezweigt haben soll, ist derzeit für Anfang Oktober angesetzt. Die Wahrscheinlichkeit ist relativ hoch, dass bis dahin noch die eine oder andere Ungereimtheit in Zusammenhang mit FTX auftauchen dürfte. (bbr, 11.4.2023)