Der größte Hack aller Zeiten – und sein paradoxer Einfluss auf den Preis von ETH

Am Wochenende wurde die Börse Bybit gehackt. Mit einer Beute von etwa 1,5 Milliarden Dollar in Ether war dies der größte Kryptohack überhaupt – und wahrscheinlich sogar der größte Diebstahl der Geschichte. Hinter dem Hack steht ein wohlbekannter Schurkenstaat, während Bybit ihn erstaunlich leichtfertig wegsteckt. Die Folgen für den Preis von Ethereum sind dagegen paradox.

Am Freitagabend wurde Bybit gehackt. Die in Dubai angemeldete Krypto-Börse verlor gut 400.000 Ether, in Form von nativen ETH, aber auch staked Ether (stETH, cmETH). Dies entspricht 0,42 Prozent aller ETH und einem Wert von etwa 1,5 Milliarden Dollar.

Der Bybit-Hack wird damit zum größten Hack des Ökosystems aller Zeiten. Er stellt den bisherigen Rekord, den Hack von Poly Network, etwas über 600 Millionen Dollar, weit in den Schatten. Überhaupt dürfte der Bybit-Hack der teuerste Hack aller Zeiten gewesen sein, sogar, wie der Blockchain-Analyst Elliptic meint, der größte Diebstahl in der Geschichte der Menschheit.

Das Opfer dieses größten Diebstahls aller Zeiten, Bybit, ist natürlich schwer getroffen – geht aber, erstaunlicherweise, nicht bankrott. Bybit CEO Ben Zhou kündigte umgehend an, dass die Börse liquide bleibe und den Schaden übernehmen könne. Ein weiterer Manager von Bybit, Shunyet, erklärt in einem Interview mit Colin Wu, was in den dramatischen Stunden nach dem Hack geschah: Die gestohlenen Ether machten etwa 70 Prozent des gesamten ETH-Bestands aus, daher musste die Börse vorübergehend ETH-Auszahlungen ausschalten und nahm sie erst nach und nach wieder vor, vor allem bei größeren Kunden mit hohem Volumen.

Dank der Hilfe anderer Börsen, etwa Bitget und MEXC, sowie großen OTC-Händlern, konnte Bybit die Lücken aber rasch wieder schließen. Durch günstige Kredite füllte die Börse ihre Ether-Wallets wieder auf und konnte, keine 12 Stunden nach dem Hack, wieder Auszahlungen bedienen. Dass eine Börse den größten Hack aller Zeiten so leicht wegsteckt – auch das ist rekordverdächtig.

Aufsehenerregend ist aber auch der Tathergang.

Wie man den Goldstandard der Wallet-Sicherheit knackt

Bybit hielt ihre Ether in einer kalten Multisig-Wallet: Eine Wallet, die nicht mit dem Internet verbunden, aber durch mehrere Schlüssel gesichert ist. Dies ist eigentlich der absolute Goldstandard der Sicherheit. Es sollte unhackbar sein.

Die Hacker verschafften sich jedoch durch einen ausgeklügelten, mehrschichtigen Angriff den Zugang. Zunächst haben sie das Interface geklont, durch das die Schlüsselverwahrer Transaktionen mit der Cold Wallet signieren. Dann haben sie es geschafft, diese auf das geklonte Interface zu leiten, damit sie eine präparierte Transaktion signieren. Diese hat aber keine Ether aus der Wallet abgezogen, sondern den Code des Smart Contracts so geändert, dass die Hacker den vollen Zugriff darauf erhielten.

Der Hack ist auf so vielen Ebenen ein Meisterwerk: Er benötigt zunächst die Einsicht in das Interface. Danach müssen die beteiligten Signierer dazu gebracht werden, die geklonte Seite aufzusuchen und auch noch eine Transaktion signieren, die eigentlich verdächtig sein sollte. Auch der letzte Schritt, die Manipulation des Smart Contracts, setzt Experten zufolge eine tiefe Einsicht in die EVM voraus, die Umgebung der Smart Contracts. Wie dies gelingen konnte, bleibt vorerst Spekulation. Gab es einen Maulwurf bei Bybit? Waren Hardware-Wallets, die zum Signieren verwendet werden, manipuliert?

Mehr Klarheit herrscht dagegen, wer die Hacker sind.

Dieses Land steckt hinter dem Hack

Nachdem Arkham Intelligence ein Bounty ausgeschrieben hatte, wies der Analyst ZachXBT Spuren nach, die zur Lazarus Gruppe aus Nordkorea führen. Die Spuren fand er nicht im Hack selbst, sondern in dem, was danach geschah: Die anschließenden Transaktionen, mit denen die Hacker die Beute verschleierten, verbanden sie mit einer Adresse, die bei früheren Lazarus-Hacks involviert gewesen war. Auch das Muster der Geldwäsche folgt dem Standard von Lazarus, wie ihn Elliptic erklärt:

• Erst werden die tokenisierten Ether wie stETH auf dezentralen Börsen gegen native Ether gewechselt
• Diese werden danach über komplexe Transaktionsmuster auf eine Vielzahl an Wallets verteilt sowie
• über dezentrale Bridges auf verschiedene Blockchains
• um durch Mixer wie Tornado Cash oder Cryptomixer weiter verschleiert zu werden

Dies geschah. Die 400.000 Ether landeten auf 50 verschiedenen Wallets, von denen jedes ungefähr 10.000 Ether hielt. Diese wurden danach systematisch geleert. Einige Börsen und Dienstleister, etwa Tether, haben, soweit es möglich war, durch Blacklists und Konfiszierungen eingegriffen. Aber der absolute Großteil der Beute bewegt sich frei auf der Blockchain, zum Teil wurden Ether bereits über eXch, eine eher schwarze Wechselplattform, gegen Dollar getauscht.

Damit wird also Nordkorea zum vermutlich größten Ether-Holder. Lazarus ist so etwas wie die Hacker-Elite des Landes. Man kennt sie noch von der Ransomware-Welle WannaCry, welche auch die Deutsche Bahn erwischte, aber auch von einer Vielzahl großer Kryptohacks, etwa Ronin (Axie Infinity), Harmony, Atomic Wallet oder, erst im letzten Jahr, die indische Börse WazirX, die 230 Millionen Dollar an Coins verlor. Eigentlich haben nordkoreanische Hacker vor allem Unternehmen in Südkorea angegriffen, doch mittlerweile suchen sie mit Ransomware und Hacks Opfer auf der ganzen Welt heim.

Die Hacker gehen hochprofessionell und kreativ vor. Insgesamt schreibt man ihnen Hacks im Umfang von mehr als drei Milliarden Dollar zu. Damit stellen sie einen signifikanten Anteil des Bruttosozialprodukts des Landes, das nur etwa 40 Milliarden Dollar beträgt, und, mehr noch, seines Zugangs zu Devisen, der durch Finanzsanktionen erheblich erschwert ist. Manche Beobachter meinen, das Land könne sein Atomwaffenprogramm nur dank der Erlöse aus Krypto-Hacks bezahlen, was aber vermutlich Spekulation ist.

Es gibt auch Schätzungen, denen zufolge Lazarus der 14.-größte Bitcoin-Holder ist.

Was bedeutet das für den Preis von ETH?

Auch über den Einfluss des Hacks auf den Preis von Ether kann man nur spekulieren. Auf der einen Seite zahlt der Hack nicht eben in das Vertrauen in Ethereum ein, insbesondere, wenn Diskussionen weiter um sich greifen, ob die Entwickler und Staker den Hack durch ein Rollback, also eine Hardfork, rückabwickeln sollen. Aber rein technisch kann der Hack auch gut für den Preis sein.

Denn zunächst einmal hat Bybit die Ether aufgetrieben, um die Lücke in der Bilanz zu stopfen. Die Börse hat sie nicht gekauft, sondern geliehen, in der Hoffnung, dass eine Chance besteht, sie vom Hacker zurückzuerhalten. Dies dürfte bei der Lazarus Gruppe auszuschließen sein. Denn die Hacker haben bisher noch nie verhandelt oder eine Beute zurückgegeben. Für Bybit verursacht das Darlehen daher lediglich Zinsen. Um diese zu vermeiden, wird sie so rasch wie möglich Ether kaufen werden.

Lazarus auf der anderen Seite ist ein geduldiger Akteur. Der Prozess der Geldwäsche streckt sich über zahlreiche Schritte, sodass es Jahre dauert, bis die Ether vollständig verkauft sind. Falls überhaupt. Berichten zufolge besitzt Lazarus noch immer zahlreiche Millionen aus Hacks von 2016. Praktisch gesehen hat der Hack dem Markt eine große Menge Ether entzogen. Nicht viel anders, als es ein Staatsfonds machen würde.

Und im Grunde genommen sind die 400.000 Ether genau das: Ein Staatsfonds von Nordkorea, bestehend aus Coins, die sich die Regierung durch einen Hack angeeignet hat und den sie, je nach Bedarf und Gelegenheit, nur tröpfchenweise auscashen wird.