Bitcoin-Börsen offenbar unter koordiniertem Beschuss

Zahlreiche Bitcoin-Börsen sind zum Ziel einer DDoS-Attacke geworden. Die News-Seite Coindesk berichtet unter Berufung auf Andreas Antonopoulos, den Sicherheits-Chef des Bitcoin-Dienstes Blockchain.info, dass Unbekannte eine Lücke im Bitcoin-Protokoll auszunutzen versuchen, um durch massiven Transaktions-Spam Abhebungen zu manipulieren.

Die Lücke ist seit 2011 bekannt und laut Aussage von Kern-Entwicklern des Bitcoin-Systems in der Standard-Wallet auch längst berücksichtigt. Der Fehler erlaubt es, die ID einer Transaktion zu verändern, bevor diese im Zahlungsverzeichnis (Blockchain) bestätigt wird. Das öffnet den Weg zu weiteren betrügerischen Manipulationen; unter bestimmten Umständen ließe sich damit zum Beispiel eine Börse überzeugen, Geld mehrfach auszuzahlen, was vermutlich Mt. Gox passiert ist.

Bereits seit mehreren Tagen kämpft dieser wichtige Handelsplatz mit der Lücke. Bitcoin-Abhebungen in Millionenhöhe blieben im System hängen; vergangenen Freitag wurde eine Abhebungssperre verkündet. Am Montag gingen die Börsen-Betreiber an die Öffentlichkeit und erklärten erstmals den Grund für ihre Schwierigkeiten. Zahlreiche Beobachter verwiesen darauf, dass die Probleme wohl eher in der selbstimplementierten Wallet-Software von Mt. Gox liegen, die mit einem längst bekannten Bug nicht zurecht komme.

Von Attacken war in der Mitteilung von Mt. Gox nicht explizit nicht die Rede. Der Bericht von Coindesk legt aber nahe, dass die Börse ein zentrales Ziel ist. Offenbar versuchen die Angreifer aber auch, andere Bitcoin-Börsen auf diese Lücke hin abzuklopfen.

Bitstamp, die nach Handelsvolumen aktuell größte Plattform, hat bereits eingestanden, ein Ziel der Angriffe zu sein. Deshalb seien alle Bitcoin-Abhebungen bis auf Weiteres eingestellt. Die Welle fehlerhafter Transaktionen habe zu Inkonsistenzen im System der Börse geführt. Allerdings seien keine Guthaben verloren gegangen und es bestehe auch keine Gefahr, das dies passiere. Man sei zuversichtlich, das der normale Betrieb bald wieder aufgenommen werden könne, heißt es in der Mitteilung.

Welches Ausmaß die Angriffe haben und wie viele Börsen betroffen sind, ist zur Stunde noch nicht abzusehen. Antonopoulos mutmaßte gegenüber Coindesk, dass wohl auch andere Börsen den Abhebungsbetrieb einstellen würden, um Fehler in ihren Zahlungssystemen zu vermeiden. Allerdings gab er sich gelassen und schätzte, dass in den nächsten 24 bis 72 Stunden wieder normaler Betrieb herrsche.

Jeff Garzik, einer der Kern-Entwickler, erklärte dem Bericht nach, die Kern-Mechanismen des Bitcoin-Systems seien nicht von der Attacke beeinflusst. Die Bitcoin-Kern-Entwickler und Börsen-Betreiber hätten sich bereits zusammengetan, um eine schnelle Lösung zu schaffen.

[Update, 12.02.2013, 14:40]

Auch die Börse Btc-e teilte am Donnerstag abend noch via Twitter mit, von dem DDoS getroffen worden zu sein. Damit haben die Unbekannten mindestens die aktuell größten drei Bitcoin-Börsen aufs Korn genommen. Der Bundesverband Bitcoin schätzte auf Anfrage von heise online ein, dass die Angreifer wenig erfolgreich dabei waren, andere Börsen auf Lücken abzuklopfen,. Abgesehen von Mt. Gox, die mutmaßlich Geld verloren haben, sei den angegriffenen Börsen im wesentlichen nur der Aufwand für einen Audit der eigenen Software entstanden. Mt. Gox äußerte sich nach wie vor nicht weiter zur Sache.

Im Blog der Bitcoinfoundation nahm Bitcoin-Entwickler Gavin Andreesen derweil noch einmal Stellung: Der Versuch der Angreifer, den Fehler der Transaction Malleability durch eine Flut manipulierter Transaktionen auszunutzen, könne sowohl die Börsen als auch die Nutzer der Standardsoftware beeinträchtigen. Nutzer, die in kurzer Zeit viele Transaktionen losgetreten haben, könne es treffen, dass ihre Zahlungen unbestätigt hängen blieben.

Er betonte aber, dass es sich lediglich Überlastungsangriffe handele, die nur die korrekte Ausführung von Transaktionen behinderten. Es würden keine Coins aus Wallets gestohlen. Andreesen versprach zudem, dass Lösungen in Arbeit seien und stellte Updates in Aussicht.

[Update, 12.02.2013, 15:20]

In der früheren Fassungen erweckte der Artikel den Eindruck, der Fehler im Bitcoinsystem würde einen direkten "Double spend" erlauben, also das mehrfache Ausgeben von Bitcoins. Das war irreführend und wurde korrigiert. (axk)