Mit einem simplen Trick hat ein Ethereum-Hacker wohl gerade 7,3 Millionen Euro geklaut

Ein Hacker hat angeblich gerade 7,3 Millionen Euro in Form der in den letzten Monaten gehypten Kryptowährung Ethereum erbeutet. Während gestern eine Art Crowdfunding für eine neue Ethereum-App lief, brachte er Investoren durch einen Trick dazu, Geld an die falsche Adresse zu senden. Das betroffene Startup Coindash berichtete, dass seine potenziellen Geldgeber ihr Vermögen in Wirklichkeit an den Hacker überwiesen hatten.

Am Montag sollte ein sogenanntes Initial Coin Offering (ICO) für die Ether-Handelsplattform Coindash stattfinden. Diese ICOs funktionieren ein wenig wie eine Mischung aus Crowdfunding und dem Börsengang eines Unternehmens: Investoren haben die Möglichkeit, einen Anteil der App zu erwerben, indem sie digitale Vermögenswerte, sogenannte Token, kaufen. ICOs sind ein beliebter und erfolgreicher Weg, um neue Apps auf Ethereum zu finanzieren: Einige ICOs haben innerhalb von Minuten mehrere Millionen Euro eingenommen und selbst die albernsten Apps können noch ein paar Tausend Euro in Ether abgreifen.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Das ICO von Coindash begann wie jedes andere: Auf der Website der App wurde die Ethereum-Adresse gepostet, an die Investoren ihre Kryptowährung schicken konnten. Wenige Minuten später schickte Coindash jedoch eine Meldung raus, dass die Seite gehackt worden sei und warnte Investoren, kein Geld mehr an die Adresse zu senden.

Bisher lässt sich nicht mit absoluter Sicherheit sagen, was hier passiert ist, aber vieles deutet darauf hin, dass der Hack extrem simpel gewesen sein muss: Der Hacker übernahm vermutlich die offizielle Website von Coindashs und tauschte die angegebene Wallet-Adresse gegen seine eigene aus. Dadurch schickten die Investoren ihr Ether nicht an Coindash, sondern direkt in die virtuelle Geldbörse des Hackers.

Obwohl Coindash den Hack sehr schnell bemerkte und seine Investoren umgehend warnte, war es für die meisten Investoren bereits zu spät.

"WEBSITE HACKED", lautete die kurze, eindringliche Nachricht, die Coindash-Mitarbeiter Emmanuel Giminez drei Minuten nach dem ICO-Startschuss in den offiziellen Slack-Kanal des Unternehmens postete.

"GUYS WEBSITE IS HACKED! Don't send your ETH!!!", lautete wenige Minuten später auch die Warnung im beliebten Forum Bitcointalk, die Kryptowährung bloß nicht an die angegebene Adresse zu senden. Diese Nachricht wurde vom Coindash-Account etwa sechs Minuten nach dem ICO-Start gepostet.

Auch auf Twitter informierte Coindash darüber, dass der Token-Verkauf beendet sei, und dass Nutzer an keine Adresse Ether überweisen sollten.

Doch der Schaden hatte längst ein gigantisches Ausmaß angenommen: Bis gestern Abend hatten willige Investoren bereits 43.438,45 Ether an die vermeintliche Coindash-Adresse gesendet, die dem Unternehmen zufolge aber in Wirklichkeit einem Hacker gehört. Die Summe entspricht nach dem Wechselkurs zur Zeit der Veröffentlichung einer fetten Beute von 7,3 Millionen Euro. Auch Etherscan, ein Webtool zum Nachverfolgen von Ethereum-Transaktionen, warnt davor, "dass die Coindash Crowdsale-Adresse kompromittiert wurde".

"Wir wissen nur, dass ein externer Angreifer die Adresse gleich nach Beginn des Verkaufs geändert hat", erklärte Ram Avissar, Coindashs Marketingleiter, gegenüber Motherboard. "Wir haben den Contract für den Token-Verkauf gestoppt und versuchen nun herauszufinden, wie wir die Betroffenen am besten entschädigen können."

In einer Stellungnahme im Slack-Kanal von Coindash schreibt das Unternehmen, dass es "Opfer eines Hacking-Angriffs" wurde, bei dem ein "unbekannter Täter" oder Hacker böswillig eine falsche Ethereum-Adresse auf der Firmen-Website platzierte.

Einige Nutzer zweifeln jedoch an dieser Geschichte und wittern ein falsches Spiel. Auf Reddit wird beispielsweise spekuliert, dass es sich bei dem angeblichen Hack tatsächlich um einen Inside Job handeln könnte. Einige Nutzer vermuten, dass sich die Erfinder von Coindash durch die Finte bequem mit den Millionen davon machen wollten und die Schuld einem mysteriösen Hacker in die Schuhe schieben, der wahrscheinlich sowieso nie gefasst wird. Bisher gibt es jedoch keinerlei Hinweise darauf, dass Coindash selbst eine Hand im Spiel hatte. Tatsächlich klingt Coindashs eigene Erklärung recht plausibel: Ein Hacker hat die schwächste Stelle im ICO-Ablauf ausgenutzt – die Website von Coindash.

Doch momentan ist den geprellten Nutzern offenbar egal, wer wirklich hinter dem Angriff steckt, sie sind vor allem wütend auf Coindash. "Ach komm schon, ich habe bereits meine ETH geschickt", schrieb ein Bitcointalk-Nutzer, "Ich will mein Geld zurück. Das ist eure Website, also ist es auch eure Schuld, wenn ihr nicht für die nötige Sicherheit sorgt." Eine andere Person, die angibt Ether investiert zu haben, schreibt im Forum Bitcointalk: "Zu spät, ich habe schon investiert!!!! Habe schon 31.000 ETH an die Adresse geschickt!!! Ihr holt besser mein Geld zurück." Motherboard konnte nicht verifizieren, ob diese Personen tatsächlich in Coindash investiert haben, doch über Etherscan lässt sich bestätigen, dass große Geldsummen an die angegebene Adresse übermittelt wurden.

Ebenfalls auf Motherboard: Zu Besuch in der chinesischen Bitcoin-Mine

Der vermeintliche Hack ist einer der größten in der Geschichte von Ethereum. Nachdem ein Investment-Fond namens DAO im vergangenen Jahr durch einen Hacking-Angriff über 50 Millionen US-Dollar verloren hatte, unternahmen die Entwickler von Ethereum einen krassen Schritt: Um die verlorene Summe zu retten, teilten sie die Kryptowährung mit einem sogenannten "Hard Fork" in Zwei. Diese Strategie spaltete jedoch auch die Ethereum-Community, denn sie wurde von vielen als unnötig riskant angesehen. Es ist also eher unwahrscheinlich, dass es eine erneute Teilung der Währung geben wird.

Für alle Coindash-Investoren gibt es jedoch auch eine gute Nachricht: Im offiziellen Slack-Kanal verkündeten die Entwickler der App, dass alle Geldgeber Token erhalten werden, selbst wenn sie ihr Ether an die gefälschte Adresse geschickt haben.