Der Schlüssel, der nie deiner war

“Nicht deine Schlüssel, nicht deine Coins.” — Andreas Antonopoulos

Hacker stahlen in einer einzigen Nacht $230 Millionen von WazirX, Indiens größter Krypto-Börse. Die Blockchain wurde dabei nicht einmal berührt. Was also ist genau schiefgelaufen?
Geld & Märkte
Author

Saatvik Raaman

Published

September 15, 2024

Pageviews:

Einleitung

Am 18. Juli 2024 stellten Millionen von Indern, die ihre Ersparnisse bei WazirX, einer der größten Kryptowährungsbörsen des Landes, angelegt hatten, beim Aufwachen fest, dass ihr Guthaben über Nacht fast auf die Hälfte gesunken war. Hacker begingen damit einen der größten digitalen Diebstähle in der Geschichte Indiens und erbeuteten in wenigen Stunden Kryptowährungen im Wert von $230 Millionen. Besonders beunruhigend ist dabei, dass die Angreifer die Blockchain nie berührt haben, also die Technologie, die Krypto fälschungssicher und nahezu unbetrügerisch machen soll. Sie griffen etwas viel Einfacheres und viel Verwundbareres an. Sie griffen ein Wallet an.

Was ist Krypto und warum vertrauen Menschen darauf

Kryptowährungen funktionieren auf einer Grundlage namens Blockchain, und es lohnt sich, diese zu verstehen, auch wenn man gar nichts kaufen möchte. Eine Blockchain ist ein gemeinsames Protokoll aller jemals getätigten Transaktionen, das nicht auf einem zentralen Computer, sondern gleichzeitig auf Millionen von Computern weltweit gespeichert wird. Jedes Mal, wenn jemand eine Kryptowährung wie Bitcoin kauft, verkauft oder überweist, wird diese Transaktion in diesem gemeinsamen Protokoll festgehalten, und eine frühere Eintragung zu ändern würde bedeuten, sie gleichzeitig auf Millionen von Computern zu ändern, was praktisch unmöglich ist. Deshalb nennt man die Blockchain auch “vertrauenslos”, das heißt das System funktioniert, ohne dass man sich auf eine Bank, eine Regierung oder eine Einzelperson verlassen muss.

Indien hat diese Technologie mit echtem Enthusiasmus angenommen. Zwischen Oktober 2023 und März 2024 stiegen die Neuanmeldungen bei WazirX um 122% und das Handelsvolumen um 217%, teilweise weil das Finanzministerium im Dezember 2023 den Zugang zu ausländischen Krypto-Plattformen gesperrt hatte und indische Anleger so auf einheimische Börsen umleitete. Als Hacker im Juli 2024 zuschlugen, hatte WazirX $570 Millionen an Kundengeldern an einem einzigen Ort konzentriert. Diese Konzentration erwies sich als das eigentliche Problem.

Heiße Wallets, kalte Wallets und wer wirklich dein Krypto hält

Es gibt etwas, worüber die meisten Erstkäufer von Krypto nie nachdenken. Wenn man ein Konto bei einer Börse wie WazirX eröffnet und etwas Bitcoin kauft, erhält man ein Login-Passwort. Was man nicht erhält, ist der sogenannte Private Key, also der eigentliche Code, der einem das Eigentumsrecht und die Kontrolle über die digitalen Assets in der Blockchain gewährt. Die Börse verwahrt den Private Key in deinem Auftrag, ähnlich wie eine Bank das Geld aufbewahrt, das man dort einzahlt. Das nennt man ein Custodial Wallet, und das bedeutet: Wenn bei der Börse etwas schiefläuft, sitzt man mitten in einem fremden Problem.

Die Alternative ist ein Cold Wallet, ein physisches Gerät etwa in der Größe eines USB-Sticks, das den Private Key vollständig offline, ohne Internetverbindung und damit für Angreifer von außen unerreichbar speichert. Anleger weltweit bewegen sich still in diese Richtung. Der gesamte Bitcoin-Bestand auf Börsen fiel von 2,7 Millionen BTC im Januar 2024 auf 2,4 Millionen BTC zur Jahresmitte, das heißt Hunderttausende von Bitcoins wurden von Plattformen abgezogen und in persönliche Cold Wallets verlagert. Indische Anleger bewegten sich jedoch in die entgegengesetzte Richtung und steckten immer mehr Geld in einheimische Börsen, obwohl das globale Vertrauen in diese leise schwand.

Die Nacht, in der WazirX alles verlor

Am 18. Juli 2024 brachen Hacker in eines der Multi-Signatur-Wallets von WazirX ein, also Wallets, bei denen jede Transaktion mehrere Genehmigungen erfordert und die gemeinhin als eine der sichersten Setups in der Krypto-Welt gelten. Die Angreifer fanden eine Schwachstelle im Genehmigungsprozess selbst und nutzten sie aus, innerhalb weniger Stunden hatten sie $230 Millionen aus dem Wallet abgezogen und in Sicherheit gebracht. Von den 16 Millionen registrierten Nutzern von WazirX sahen etwa 4,2 Millionen, also etwa jeder Vierte, ihren Bestand ohne Vorwarnung auf fast die Hälfte sinken. Die Börse fror sofort den gesamten Handel ein und stoppte Auszahlungen, und als sie schließlich begrenzten Zugang erlaubte, konnten Nutzer nur zwei Drittel ihres Guthabens abheben, auch das nur schrittweise. Die Muttergesellschaft von WazirX, die in Singapur ansässige Zettai Pte, beantragte anschließend vor dem High Court of Singapore rechtlichen Schutz, womit der gesamte Streit in ein kompliziertes grenzüberschreitendes Rechtsverfahren ohne klares Ende mündete.

Der Kampf betroffener Nutzer, ihr Geld zurückzubekommen, verweist auf eine Lücke im indischen Finanzsystem, von der die meisten Menschen erst erfahren, wenn etwas schiefgelaufen ist. Bankeinlagen in Indien werden von der Reserve Bank of India reguliert und bis zu einem bestimmten Betrag versichert, sodass Sparer ein Sicherheitsnetz haben. Krypto-Börsen operieren in einem ganz anderen Umfeld, die Regulierung ist noch im Werden und ein vergleichbarer Schutz für Anleger existiert nicht. Wenn auf einer Krypto-Plattform etwas schiefgeht, ist der einzige verfügbare Weg ein langsames und teures Zivilverfahren, das sich möglicherweise über Jurisdiktionen erstreckt, die nicht einmal kooperieren.

Abschließende Gedanken

Der WazirX-Hack ist keine Geschichte vom Versagen der Krypto-Technologie. Die Blockchain funktionierte genau so, wie sie konzipiert worden war, und keine einzige Transaktion wurde darauf gefälscht. Was versagte, war die um Krypto herum aufgebaute Infrastrukturschicht, die Börsen, die Wallets und das Vertrauen, das Millionen von Nutzern in Plattformen setzten, die sie weder vollständig einsehen noch prüfen konnten. Für alle, die über eine Investition in digitale Assets nachdenken, dreht sich die Lektion um Verwahrung. Krypto auf einer Börse zu halten ist durchaus bequem, bedeutet aber, die Kontrolle über den Private Key an jemand anderen abzugeben und sich auf deren Sicherheitsstandards zu verlassen. Cold Wallets lösen dieses Problem direkt, erfordern aber mehr technisches Knowhow, als die meisten Anfänger mitbringen. Während Indiens Krypto-Markt wächst, und die Zahlen deuten darauf hin, dass er weiter wächst, lohnt es sich, die Lücke zwischen dem, was Anleger über Sicherheit annehmen, und dem, was sie tatsächlich schützt, so bald wie möglich zu schließen.