Das Bild zeigt die Kryptowährung Bitcoin als Münze symbolisiert
Wer früh mit Bitcoin begonnen hat, könnte unter Umständen auf die falsche Verwahrungsmöglichkeit der Kryptowährung gesetzt haben.
Reuters/Ruvic

Bei dem Versuch, den Zugriff auf ein verloren geglaubtes Kryptovermögen zu erlangen, hat ein Unternehmen eine folgenschwere Sicherheitslücke zum Vorschein gebracht. Sie könnte Bitcoin im Wert von fast einer Milliarde US-Dollar gefährden. Die Lücke betrifft Wallets, die vor 2016 erstellt worden sind, und hat das Unternehmen dazu veranlasst, mit seinen Erkenntnissen an die Öffentlichkeit zu gehen, um betroffene Menschen und deren Vermögen vor potenziellen Hackerangriffen zu schützen.

Konkret geht das Aufdecken der Sicherheitslücke auf einen Fall zurück, in den Tech-Unternehmer Nick Sullivan verwickelt war – er hatte den Zugriff auf Bitcoin im Wert von mehr als 600.000 Dollar verloren. Wie die "Washington Post" berichtet, konnte sich Sullivan nicht mehr an das Passwort erinnern, woraufhin er das Start-up Unciphered anheuerte, das seine Bitcoin-Wallet knacken sollte.

Dem Unternehmen gelang es zwar nicht, wieder auf Sullivans Kryptowährung zugreifen zu können, durch den Fall wurde es allerdings auf besagte Lücke aufmerksam, die Millionen anderer Wallets ausbeuten lässt. Die Experten gehen davon aus, dass dadurch Diebstähle in Höhe von mehr als einer Milliarde Dollar realisierbar wären.

"Randstorm" nutzt fehlerhaften Code aus

Die vom Expertenteam als "Randstorm" bezeichnete Lücke entsteht durch unzureichende Zufälligkeiten im kryptografischen Schlüssel, die von Wallet-Programmen erzeugt werden. Diese Schwäche soll sie deutlich anfälliger für Hackerangriffe machen. Betroffen sind von der Sicherheitslücke nicht nur Bitcoin, sondern verschiedene Währungen und Dienste, darunter auch Dogecoin und Litecoin, deren Wallets mit demselben fehlerhaften BitcoinJS-Code erstellt wurden.

Hinter BitcoinJS steckt an sich eine JavaScript-Bibliothek für Bitcoin-Anwendungen. Sie ermöglicht das Erstellen von Wallets, das Generieren und Signieren von Transaktionen und unterstützt Multi-Signatur-Wallets sowie verschiedene Bitcoin-Netzwerke. Ihre modulare Struktur erlaubt es Entwicklern, nur benötigte Komponenten zu verwenden, wodurch sie theoretisch ideal für die Entwicklung effizienter Bitcoin-basierter Anwendungen sein sollte.

Genaue Zahl der Betroffenen unbekannt

Besonders gefährdet sind laut Unciphered Wallets, die vor März 2012 erstellt wurden. Wallets, die zwischen diesem Zeitpunkt und dem Ende des Jahres 2015 erstellt wurden, sind größtenteils zwar in Ordnung, dennoch könnten mindestens zwei Prozent anfällig sein. Bei allen danach erstellten Wallets konnte Unciphered "Randstorm" nicht mehr entdecken.

Blockchain.com, die größte noch aktive Website, die von "Randstorm" betroffen war, hat eine Möglichkeit gefunden, die Wallets ihrer Nutzer automatisch zu aktualisieren, wenn sie die Plattform besuchen, und hat auch schon E-Mails an 1,1 Millionen betroffene Kunden geschickt. Das Problem trat laut dem Dienstleister nur bei zwei Prozent seiner insgesamt 90 Millionen Wallets auf, die im Laufe der Jahre erstellt worden sind. Insgesamt könnten dennoch die Wallets von Millionen anderer Personen anfällig für diese Lücke sein. Auf der Website keybleed.com kann man überprüfen, ob die eigene Wallet betroffen ist.

Sullivans eigene Wallet, die nach 2014 erstellt wurde, war ironischerweise nicht von dieser Schwachstelle betroffen. Immerhin: Trotz seiner persönlichen Verluste und der Abkehr von Krypto drückte Sullivan seine Zufriedenheit darüber aus, dass er versehentlich vielen helfen konnte, die weiterhin in Kryptowährungen investieren. (red, 15.11.2023)