Ob es sich beim "grössten Diebstahl in der Geschichte der Kryptowährungen" um eine Posse, um eine White Hat Hacker-Lektion oder schlicht um überforderte Black Hats handelt, die eine offenbar leicht zugängliche Sicherheitslücke gefunden haben, breit wie ein Scheunentor – der angerichtete Schaden geht weit über die gestohlenen 600 Millionen US-Dollar hinaus.
Die Nachrichtenlage am Dienstag
Die etwas diffuse Nachrichtenlage besagt, dass Hacker bei einem massiven DeFi-Hack auf das US-amerikanische Unternehmen Poly Network Kryptowährungen im Wert von rund 600 Millionen US-Dollar gestohlen haben. Poly Network, ein noch junges Netzwerk, schafft mit einem Chain-übergreifenden Protokoll die Möglichkeit, Token über mehrere Blockchains hinweg zu bewegen und zu tauschen. Durch eine ausgenutzte Sicherheitslücke und die unautorisierten Bewegungen der Hacker sollen Vermögenswerte der Netzwerke Binance, Ethereum und Polygon "verschoben" worden sein.
Poly Network teilte am Dienstag über Twitter mit, dass Hacker die Sicherheitshürden des Unternehmens ausgetrickst, eine Schwachstelle ausgenutzt, und dadurch die Einlagen von "zehntausenden" Kunden auf Konten umgeleitet hätten, die von den unbekannten Angreifern kontrolliert würden. Es soll sich, so das Unternehmen, um den grössten Diebstahl in der Geschichte der Kryptowährungen handeln.
Poly Network wandte sich über Twitter an die Hacker mit der Aufforderung, die gestohlenen Vermögenswerte zurückzugeben. Das wirkt etwas naiv, war jedoch in Anbetracht zehntausender Kunden mit leergeräumten Konten offenbar die Defensiv-Strategie der Wahl. Das Unternehmen hob auch den Mahnfinger und warnte die Hackern: "Die Behörden eines jeden Landes werden eure Missetaten als schweres Wirtschaftsverbrechen betrachten und ihr werdet strafrechtlich verfolgt". Damit waren denn auch sämtliche Zweifel ausgeräumt, ob der Diebstahl von 600 Millionen US-Dollar als Hackathon oder als Verbrechen zu betrachten wäre.
Die Nachrichtenlage am Mittwoch
Die weiterhin diffuse Nachrichtenlage am Folgetag besagt, dass die die Hacker Bereitschaft signalisiert hätten, die gestohlenen Kryptowährungen wieder zurückzugeben. Hacker und Poly Network sind gewissermassen im Gespräch und am Mittwoch soll ein Teil der gestohlenen Vermögenswerte bereits zurücktransferiert worden sein.
Vorgängig sollen die Hacker allerdings die Community um Unterstützung bei der "Wäsche" der geklauten digitalen Vermögenswerte gebeten haben. Offenbar ist es auch für erfolgreiche Hacker nicht ganz einfach, die Spuren gestohlener Kryptowährungen zu verwischen – schon gar nicht in der Grössenordnung von 600 Millionen US-Dollar. Die angefragte Community zeigte sich jedoch nicht in der Stimmung gestohlene Kryptos zu waschen, die Hacker blieben auf sich allein gestellt. Das schien Kopfschmerzen verursacht zu haben.
Wie auch immer, die Black Hats die nun scheinbar zu White Hat-Hackern mutieren wollen, scheinen entweder überfordert mit der Kryptowäsche oder dann tatsächlich willig, die ergaunerte Beute wieder an Poly Network zurückfliessen zu lassen. Welchen Hut die Hacker nun auch immer tragen wollen, ganz humorfrei scheinen sie nicht zu sein – nach einer Meldung des Security-Unternehmens SlowMist sollen die Angreifer die folgende Nachricht abgesetzt haben:
Es wäre ein Milliarden-Hack gewesen, wenn ich die restlichen Shitcoins bewegt hätte! Habe ich gerade das Projekt gerettet? Ich bin nicht so sehr an Geld interessiert und überlege jetzt, ob ich einige Token zurückgeben oder sie einfach hier lassen soll.
Alles halb so schlimm oder möglicherweise doch ein Supergau?
Ein Teil der Beute ist bereits zurück und dazu sind offensichtlich Hacker mit Ironie und Humor am Werk – also: alles halb so schlimm? Oder alles noch viel schlimmer? Dass der Hack mit dem Resultat von gestohlenen 600 Millionen US-Dollar langsam die Form einer Posse annimmt, ändert nichts an den Fakten.
Die von den Hackern ausgenutzte Sicherheitslücke bei Poly Network muss die Dimension eines Scheunentors haben. Anders ist nicht zu erklären, wie 600 Millionen US-Dollar in eher kurzer Zeit abgezügelt werden können. Zudem: "zehntausende" bestohlene Nutzerinnen und Nutzer lesen mit, wie ein Robin Hood sich auf die stolz geschwellte Retter-Brust klopft und ein Dankeschön dafür einfordert, dass er nicht noch sehr viel mehr Coins bewegt, sprich gestohlen hat, was offenbar möglich gewesen wäre.
Weitere zehntausende Nicht-Bestohlene lesen ebenfalls mit und bekommen zu hören, dass ein Einzelner oder eine einzige Gruppe laut darüber nachdenkt, möglicherweise "einige Token zurückgeben" zu wollen. Vielleicht. Oder auch nicht. Je nach Laune und Tagesform halt. Und wenn doch, dann vielleicht nur deshalb, weil der Versuch der Geld- und Kryptowäsche kläglich gescheitert ist.
Ob da nun, wie im aktuellen Fall, Plattformen im DeFi-Netzwerk gekapert werden oder ob Handelsplätze betroffen sind, macht für Newbies und bestehende Krypto-Anleger keinen Unterschied, die Message lautet:
Eure Coins und Anlagen können jederzeit gestohlen werden. Von genialen oder auch von mittelmässig begabten Hackern. Offenbar ohne gewaltige Hürden überspringen zu müssen, die Tore scheinen eher weit offen zu stehen. Nach einem Super-Hack ist euer Geld weg. Ziemlich sicher für immer, weil: Robin Hoods und White Hats bestehlen euch nicht, die schliessen Sicherheitslücken meistens geräuschlos.
Diese Message verunsichert Menschen, die erst auf dem Weg sind, irgendwann vielleicht Krypto-Anleger zu werden. Und vor allem leitet diese Botschaft allen Krypto-Kritikern sehr viel Wasser auf die Mühlen. Waren Kryptowährungen bisher nur volatil, nicht durchwegs energieeffizient, irgendwie gefährlich und für vehemente Gegner überhaupt des Teufels, kommt jetzt durch diese seltsame Posse in Gestalt eines Riesenraubs das Argument des El Dorados und Selbstbedienungsladens für Hacker dazu.
Die Branche ist gefordert. Weil Kryptowährungen und DeFi sich nur dann zur Breitenbewegung entwickeln können, wenn Nutzerinnen und Nutzer die Gewissheit haben dürfen, dass die Sicherheits-Standards nicht so volatil ausgelegt sind, wie Kryptowährungen das in diesen Tagen noch sind.