Cryptopia-Hack – wie sicher sind Bitcoin-Börsen und was kann man als User tun?

Immer wieder sind Kryptobörsen Ziel von Hackern. Das zeigt, dass eines der wichtigsten Attribute der Krypto-Szene immer noch ist: Sei Herr (oder Frau) deiner Private Keys.

Am 14. Januar 2019 gab die neuseeländische Kryptobörse Cryptopia auf Twitter bekannt, dass die Website auf unbestimmte Zeit in den Wartungsmodus versetzt wurde. Kurze Zeit später wurde – ebenfalls auf Twitter – verkündet, dass Cryptopia gehackt wurde und signifikante Beträge von der Börse entwendet wurden. Über das genaue Ausmaß wurde bislang nichts bekannt gegeben, allerdings legt diese Transaktion nahe, dass über 19.000 Ether im aktuellen Gesamtwert von umgerechnet ca. 2.5 Mio. USD gestohlen wurden. Am 29.01. wurden abermals 1.675 Ether im Wert von umgerechnet 180.000 Dollar von den Hackern erbeutet. Cryptopia hat bereits die Ermittlungsbehörden informiert.

Da die meisten Kryptobörsen durch ihre zentrale Struktur einen Single Point of Failure haben, stellen diese für Angreifer ein beliebtes Ziel dar. Mittlerweile gibt es zwar bereits dezentrale Börsen; diese sind aber noch nicht vollständig ausgereift. Angesichts des Vorfalles stellt sich natürlich die Frage, welche Börsen sicher sind und wie man sich selbst am besten gegen derartige Vorfälle absichert.

Auch in der Vergangenheit wurden zentralisierte Börsen Opfer von Hackerangriffen, wie z. B. der im Jahr 2014 öffentlich bekannt gewordene Hack der damals größten Börse Mt. Gox, die aufgrund eklatanter Sicherheitslücken bereits ab Oktober 2011 von Hackern erfolgreich angegriffen wurde. Auch der lizenzierten japanischen Krypto-Exchange Zaif widerfuhr ein ähnliches Schicksal: Im September 2018 wurden Bitcoin, Bitcoin Cash und MonaCoin im Wert von umgerechnet 60 Millionen USD von den Hot Wallets der Exchange entwendet.

In diesem Kontext möchten wir euch die Ergebnisse einer Analyse von Kryptobörsen vorstellen, die im Dezember 2018 von der ICO-Ratingseite trackico veröffentlicht wurde. Diese hat insgesamt 135 Kryptobörsen auf ihre Sicherheit überprüft.

Dabei legten die Analysten den Fokus auf vier Kriterien:

– Account-Sicherheit

– Domain-Sicherheit

– Web(-protokoll)-Sicherheit

– Sicherheit vor DoS-Attacken

Account-Sicherheit

Hier betrachteten die Experten die Sicherheit der Benutzeraccounts. Dabei wurde beispielsweise die Möglichkeit, ein Passwort nur mit Ziffern oder Buchstaben zu erstellen, mit in die Bewertung einbezogen.

Domain-Sicherheit

Einen zweiten Schwerpunkt in der Analyse bildete die Sicherheit der Webadresse. Neben einem sog. Registry Lock, welche Veränderungen an der Domain (Webadresse) unterbindet, sollten für die Anmeldung der Domain sogenannte Role Accounts verwendet worden sein. Diese stellen sicher, dass die Daten der Person, die die Domain angemeldet hat, geschützt bleiben. Dies wiederum schützt Exchange-MitarbeiterInnen vor gezielten Hacker-Angriffen. Ein weiteres Kriterium war ein Zeitfenster von mindestens sechs Monaten, bis eine Domain verschwinden kann. Dieses Zeitfenster wird von den ExpertInnen als ausreichend betrachtet, um mit unvorhergesehenen Entwicklungen umzugehen (z. B. ehemalige MitarbeiterInnen, die sich unbefugt mit der Domain aus dem Staub machen). Zuletzt prüfte trackico das Vorhandensein zusätzlicher sicherheitsrelevanter DNS-Erweiterungen (DNSSEC).

Websicherheit

Hier standen die Sicherheit der Bitcoin-Börsen vor diversen webbasierten Angriffen (z. B. Clickjacking, Man-in-the-middle attack, POODLE attack) sowie die Einhaltung bestimmter Sicherheitsstandards (z. B. TLSv1.3) und das Vorhandensein von HSTS-Headern im Mittelpunkt.

Insbesondere Kraken konnte hier punkten: Mit neun erreichten Punkten hat die Krypto-Börse bei der Websicherheit am besten abgeschnitten.

Sicherheit vor DoS-Attacken

Ob die Exchanges ausreichend gegen sogenannte DoS-Attacken gesichert sind, war der vierte und letzte Teil der Untersuchung. DoS-Attacken sind Angriffe, bei denen versucht wird, durch das Überfluten der entsprechenden Server die Verfügbarkeit außer Kraft zu setzen und somit die Seite vom Netz zu nehmen.

Die Testergebnisse der Kategorie: 74 % der Exchanges waren vor DoS-Attacken geschützt.

Das Ergebnis

Insgesamt konnten die Exchanges 100 Punkte sammeln. Die einzelnen Kategorien waren unterschiedlich stark gewichtet: Für die Kategorie Websicherheit gab es bis zu 57 Punkte, für Domain-Sicherheit 18 Punkte, gefolgt von Account-Sicherheit (17) und Sicherheit vor DoS-Attacken (8). Je nach Gesamtpunkteanzahl erhielten die Exchanges ein Rating von A+ bis C-.

Im Ergebnis hat sich die Exchange Kraken gemeinsam mit Cobinhood als Gewinnerin hervorgetan. Die beiden Exchanges konnten als einzige ein „A“-Rating erreichen. Die bekannten Exchanges Poloniex, Bitmex und Bitfinex belegten die Plätze 3 bis 5. Fast die Hälfte der untersuchten Kryptobörsen konnten nur eine C-Wertung erzielen. Die anfangs erwähnte Exchange Cryptopia wurde in dieser Untersuchung mit einem „B“ auf Platz 60 geratet.

Als KundIn ergibt es also Sinn, sich die Exchange der Wahl genau anzusehen und die Coins nach Möglichkeit immer direkt an eigene Wallets zu senden, für die man ausschließlich selbst den privaten Schlüssel hält. Wie man sich sonst vor derartigen Vorfällen schützen kann, haben wir im Folgenden kurz zusammengefasst.

User-Tipps für mehr Sicherheit

Es gilt das Sprichwort: „Not your (private) keys, not your coins“. Man sollte also:

– nur Coins auf Exchanges lagern, die man kurzfristig zum Traden benötigt

– seine Coins auf Adressen lagern, deren Private Keys man ausschließlich selbst besitzt (für kurz- und mittelfristige Lagerung mit Wallet Apps wie Copay oder Bread)

– für längerfristige Aufbewahrung Offline-Storage-Lösungen verwenden (für Bitcoin: Card Wallet, bei mehreren Coins: Hardware Wallets wie Ledger oder Trezor)

– starke Passwörter verwenden (inkl. Großbuchstaben, Zahlen, Sonderzeichen, mindestens 8 Zeichen)

Coinfinity-Philosophie mit Kundengeldern

Unsere Philosophie als Broker ist es, die Coins unserer KundInnen nicht zu lagern, sondern diese nach erfolgreicher Bezahlung an die gewünschte Adresse zu senden, damit die KundInnen selbst im Besitz ihrer privaten Schlüssel sind und die Coins selbst verwalten können.

Zusammenfassend lässt sich sagen, dass es hohe Sicherheit nur dann gibt, wenn man die privaten Schlüssel seiner Coins ausschließlich selbst hält und dies nicht an Exchanges auslagert. Außerdem sollte man die Exchanges mit Bedacht auswählen, diese nur für Trading und kurzfristige Lagerung verwenden und im Zweifelsfall immer Wallet Apps (Copay, Bread – hier hält man selbst die Private Keys) oder Offline-Storage-Lösungen (Card Wallet, Trezor, Ledger) den Vorzug geben.