Populäre Kryptobörse gehackt Binance verliert Bitcoins im Wert von 40 Millionen Dollar

Sie ist einer der wichtigsten Kryptomarktplätze weltweit. Jetzt muss die Börse Binance den Verlust von 7000 Bitcoins eingestehen. Die Guthaben der Nutzer sollen sicher sein - Folgen hat der Hack für sie trotzdem.

Getty Images

Von


"Ich sehe erschöpft aus" und "Ich habe die letzten 29 Stunden nicht wirklich geschlafen": Mit diesen Sätzen beginnt ein aktuelles Twitter-Video von Changpeng Zhao. Er ist Chef der populären Kryptobörse Binance und tut in dem Beitrag, was man als Chef einer Kryptobörse eigentlich niemals tun will: eine größere Sicherheitslücke eingestehen. Sagen, dass die eigene Plattform von Hackern ausgetrickst wurde, die "sehr geduldig" vorgingen und so unter anderem viele Nutzer-Accounts übernehmen konnten.

Changpeng Zhao in einem Twitter-Livestream
Twitter

Changpeng Zhao in einem Twitter-Livestream

Auch per Pressemitteilung hat Binance in der Nacht zum Mittwoch deutscher Zeit bekannt gegeben, dass das Unternehmen am Dienstag ein größeres Sicherheitsproblem entdeckt hat. Hacker hätten unter anderem Codes, die bei der Zwei-Faktor-Authentifizierung der Absicherung von Accounts dienen, abgreifen können - ebenso sogenannte API-Schlüssel, über die sich Binance mit Dritt-Programmen wie Krypto-Apps verbinden lässt. "Die Hacker verwendeten eine Vielzahl von Techniken", schreibt Binance, "darunter Phishing- und Viren-, aber auch andere Angriffe."

Aus einer sogenannten Hot Wallet des Unternehmens seien 7000 Bitcoins - die zu diesem Zeitpunkt einen Wert von gut 40 Millionen Dollar hatten - transferiert worden, heißt es (hier via Blockchain.com nachzuvollziehen). Als Hot Wallet werden üblicherweise Krypto-Geldbörsen bezeichnet, die mit dem Internet verbunden sind - im Unterschied zu sogenannten Cold Wallets. Die Hot Wallet habe rund zwei Prozent des Bitcoin-Guthabens der Börse enthalten, den Transfer der 7000 Bitcoins habe man nicht rechtzeitig stoppen können - was ein Problem ist, da sich bestätigte Bitcoin-Transaktionen nicht wieder rückgängig machen lassen.

REUTERS

Binance ist eine der populärsten Krypto-Börsen weltweit. Das Unternehmen wurde in China gegründet, ist mittlerweile aber unter anderem in Malta ansässig. Wie andere Kryptobörsen ermöglicht es Binance Nutzern, unkompliziert mit Kryptowährungen zu handeln - etwa mit Bitcoin, Ether und Ripple. Dabei sind auch Echtgeld-Einzahlungen per Kreditkarte möglich. Über die Krypto-Guthaben, die Nutzer in ihren Accounts haben, verfügt praktisch aber jeweils die Börse - anders als wenn Nutzer ihre Kryptowährungen selbst und in Eigenverantwortung verwalten.

"Verletzt", nicht pleite

Binance betont, die Börsenguthaben der Binance-Nutzer seien von dem Vorfall nicht betroffen. Man werde einen für Notfälle eingerichteten Fonds namens Secure Asset Fund for Users (SAFU) nutzen, um den Verlust abzudecken. In den Fonds flossen der Plattform zufolge seit Juli 2018 zehn Prozent aller Transaktionsgebühren, die Binance erhält. Das Geld des Fonds befindet sich laut Binance in einer Cold Wallet. Man sei "verletzt", aber nicht pleite, schrieb Changpeng Zhao auf Twitter.

Wie auch Changpeng Zhao in seinem Video sagt, gelang es den Hackern, die bisherigen Sicherheits-Checks der Börse auszutricksen. Binance möchte nun eine Sicherheitsüberprüfung seines Systems durchführen. Voraussichtlich eine Woche lang werden daher auf der Plattform weder Aus- noch Einzahlungen möglich sein. In einer Pressemitteilung heißt es: "Bitte haben Sie auch Verständnis dafür, dass die Hacker in der Zwischenzeit noch einige Benutzerkonten kontrollieren und diese zur Preis-Beeinflussung nutzen könnten."

In seinem Twitter-Video rät Changpeng Zhao Nutzern seiner Börse, ihre Zwei-Faktor-Authentifizierung und ihre API-Schüssel neu einzurichten. Grundsätzlich dürfte auch ein Passwort-Wechsel sinnvoll sein - eventuell auch auf anderen Websites, falls man dort dasselbe Passwort wie bei Binance genutzt hat (was nicht zu empfehlen ist).

Grundsätzlich sollten Nutzer von Binance in diesen Tagen - wie aber auch sonst - misstrauisch und vorsichtig sein, falls sie von vermeintlichen Mitarbeitern des Binance-Supports kontaktiert werden, etwa in Foren oder Chatgruppen. Dabei handelt es sich um Betrüger. Gerade angesichts der Nachricht vom Hack könnten Kriminelle sich gute Chancen ausrechnen, verunsicherte Nutzer dazu zu bringen, ihnen zum Beispiel Account-Zugangsdaten zu überlassen.

Binance-Chef Changpeng Zhao ist auf Twitter auch für freche Sprüche bekannt. Als er etwa im Februar auf Betrugsversuche mit gefälschten Binance-Mitarbeiterprofilen hingewiesen wurde, antwortete er mit: "Lerne, mit Betrügereien umzugehen - und willkommen in der Welt der Freiheit.... lol."

Am Mittwochmorgen schrieb Changpeng Zhao nun in demütigem Ton: "Es ist zwar eine sehr teure Lektion für uns, aber dennoch eine Lektion."

Im Video: Die Bitcoin-Millionäre - Mit vollem Einsatz ins Risiko

dbate
Mehr zum Thema


insgesamt 15 Beiträge
Alle Kommentare öffnen
Seite 1
bernteone 08.05.2019
1. Verletzt aber nicht pleite
Und jetzt kommen Nutzer 1 Woche nicht an ihre Konten wegen Sicherheitschecks .. Wer es glaubt wird selig .
gman87 08.05.2019
2. Nutzer gehackt oder wirklich die Plattform selber?
Anscheinend haben die "Hacker" ja Nutzerdaten (API Schluessel und so) _von Nutzern_ erbeutet, also durch Viren und Fishing-Mails. Der Coup im Plattform-Hack selber bestand nur darin, dann auf einen Schlag schnell alles zu ueberweisen, bevor die Sicherheitsmechanismen der Plattform greifen, die merkwuerdig hohe Ueberweisungen erstmal auf Eis legen sollten, um sie manuell sichten zu lassen bevor sie durchgehen. Desweiteren sind wohl 2% der Binance-Funds betroffen, und nur ein Teil der Hot Wallet. Der ganze Cold Storage ist safe. Es fand also nicht wirklich ein "Hack der Plattform" statt sondern wiedermal nur User, die es nicht hinkriegen, Virenemails nicht zu doppelklicken?
cedric 08.05.2019
3. an Nr2.
Naja, so hab ich es auch verstanden. Seltsam ist aber, dass die gut 7000 BTC in einer Transaktion abgezogen wurden. Auch wenn die BTC der User in den selben Binance internen Wallets liegen, müsste man ja dennoch von jedem Benutzerkonto die jeweiligen BTCs separat überweisen. Irgendeinen Binance internen Hack muss es also doch gegeben haben.
spiegellazer 08.05.2019
4. @ Nr. 1
Macht ja Sinn dass im Moment keine Abhebungen getätigt werden können. Und was sind schon 40Mio für einen Riesen wie Binance....
Alpen_Milch 08.05.2019
5. Selber Schuld
Wenn wir ein dezentrales Geldsystem mit Eigenverwaltung in distributed ledgern haben wollen um uns vor den Betrügerischen Banken zu schützen, dann müssen wir auch in der Lage sein uns entsprechend abzusichern. Wer einen API-Key einrichtet sollte sehr genau wissen, welche Gefahren dadurch entstehen. Wer das gleiche Passwort auf mehreren (auch noch Krypto-relevanten) Internetressourcen benutzt hat nicht verstanden worum es geht. Ob und wie Sicherheitsmechanismen bei Binance nun funktioniert oder nicht funktioniert haben ist erstmal unrelevant. Wenn wir uns vom Bankensystem emanzipieren möchten, MÜSSEN wir davon ausgehen das keine Börse oder Wallet sicher ist und entsprechend EIGENE Sicherheitsmaßnahmen treffen. Dazu gehört ganz einfach: Keine Assets auf der Börse belassen. Aber egal, liest eh keiner.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.