Kryptobörse Altsbit wälzt Diebstähle auf einzelne Kunden ab
Anfang Februar informierte die Kryptobörse Altsbit ihre Kunden, dass sie Opfer eines Einbruchs geworden sei. Den Schaden ersetzte jedoch nicht Altsbit, sondern bürdete ihn einzelnen Kunden auf.
Mamma mia, das ging aber gehörig in die Hose: Am Morgen des 6. Februar informierte die italienische Kryptobörse Altsbit ihre Kunden via Twitter, dass man in der vorangegangenen Nacht Opfer eines Hackerangriffs geworden sei und nahezu alle Bitcoins, Ether, Komodo Coins, Pirate Coins und Versus Coins gestohlen wurden.
Den Schaden von über 300.000 Euro trug jedoch nicht das Unternehmen selbst, sondern es kürzte stattdessen die Guthaben etlicher Kunden. Dazu ermittelte Altsbit für jede der fünf betroffenen Kryptowährungen separat, welchen Prozentsatz des Kryptovermögens der Börse die Diebe erbeutet hatten – und reduzierte die Kontenstände jener Kunden um den berechneten Prozentsatz, die in die jeweilige Kryptowährung investiert hatten. So blieben Altsbit-Kunden, die etwa nur ZCash oder GameCoins gekauft hatten, vollkommen ungeschoren, während Kunden mit Bitcoins, Ether und Pirate Coins in ihrem Portfolio gleich dreifach zur Kasse gebeten wurden. Einzelne Kunden verloren auf diese Weise zwei Drittel ihres Guthabens.
Umlage nach Gutdünken
Altsbit betrachtet die Guthaben der Kunden offenbar so, als handle es sich um individuelles Barvermögen – vergleichbar mit Gold, Schmuck oder Bargeld, das im Schließfach einer Bank aufbewahrt wird. Wird ein solcher Banktresor aufgebrochen, erleiden nur jene Kunden einen Schaden, deren Schließfächer geplündert wurden. Folgt man dieser Ansicht, müsste Altsbit feststellen, welche Wallets welcher Kunden von dem Diebstahl betroffen sind. Das Guthaben aller anderen Kunden, gleich in welcher Kryptowährung, bliebe unverändert.
Doch Altsbit ist kein Wallet-Anbieter, der lediglich Aufbewahrungsmöglichkeiten für Kryptowährungen (Schließfächer) bereitstellt. Altsbit arbeitet mit Buchwerten: Um Kryptowährungen zu kaufen, haben die Kunden zum Beispiel Bitcoins an eine ihnen zugeordnete Wallet-Adresse von Altsbit geschickt. Der Betrag wurde dann intern ihrem Kundenkonto gutgeschrieben – als reiner Buchwert. Es gibt also keine einzelnen Schließfächer, sondern nur einen großen Tresor, in dem die Guthaben aller Kunden aufbewahrt werden. Die Bitcoins hat Altsbit dann frei verwendet, etwa um Gelder auszuzahlen oder sie auf das Cold Wallet der Kryptobörse zu transferieren. Die Kunden hatten darüber weder ein Weisungsrecht noch eine Verfügungsmöglichkeit.
Ein guter Vergleich hierzu ist ein Sparbuch: Man zahlt Bargeld auf das Sparbuch ein und bekommt den entsprechenden Buchwert gutgeschrieben. Bei einer Auszahlung erhält man dann wiederum Bargeld im gleichen Wert zurück – jedoch nicht dieselben Geldscheine, die man eingezahlt hat. Für die Inhaber des Sparbuchs ist es unerheblich, ob später die komplette Barkasse der Bank mit den Tags zuvor eingezahlten Geldscheinen geraubt wird. An dem Guthaben des Sparbuchs ändert sich nichts.
Keine Einlagensicherung
Altsbit hat seine Kunden aber so behandelt, als wären bei einem Bankraub 100- und 50-Euro-Scheine geklaut worden, weshalb nun die Guthaben jener Sparbücher nach unten korrigiert werden, auf die 100- oder 50-Euro-Scheine eingezahlt wurden. Wer nur 10er und 20er eingezahlt hat, bleibt hingegen verschont.
Sämtliche Kryptobörsen einschließlich Altsbit arbeiten rein mit Buchwerten, denn nur so funktioniert das Geschäft: Man verkauft eine Währung und erhält dafür eine andere, die man wiederum weiterverkauft. Das benutzen die Kryptobörsen auch regelmäßig als Argument, wieso sie Millionengewinne aus Forks wie Bitcoin Cash selbst einstreichen und nicht an ihre Kunden ausschütten – die Bitcoins gehören den Kunden nicht mehr, sie haben lediglich einen Anspruch auf einen gewissen Betrag in Bitcoin gegenüber der Kryptobörse.
Doch die Kryptobörse und deren Eigentümer sahen keinen Grund oder keine Möglichkeit, für die Diebstähle geradezustehen. Die Umlage der Verluste erfolgte strikt anhand der Prozentsätze der gestohlenen Kryptowährungen. Offenbar ist Altsbit pleite, denn man schloss kurz nach dem Diebstahl die Kryptobörse und will das Unternehmen bis zum 8. Mai abwickeln. Wer bis dahin sein Altsbit-Konto nicht abgeräumt hat, soll gänzlich leer ausgehen. Eine Einlagensicherung wie bei Bankguthaben üblich gibt es bei Altsbit nicht.
Kunde zahlt die Zeche
Geprellte Kunden müssen sich deshalb beeilen, ihre Ansprüche geltend zu machen, wobei keineswegs klar ist, ob bei Altsbit überhaupt noch etwas zu holen ist. Anhand der von Altsbit veröffentlichten Zahlen zu den gestohlenen Kryptowährungen schätzen wir, dass Altsbit Kundengelder im niedrigen einstelligen Millionenbereich verwaltete. Ein Großteil der Gelder dürfte bereits Mitte Februar ausgezahlt worden sein. Eine juristische Aufarbeitung des Falls scheint aber dringend geboten, denn nicht nur die willkürliche Verteilung der Verluste auf einzelne Kunden wirft Fragen auf. Es gibt auch Hinweise darauf, dass Altsbit grundlegende Pflichten verletzt haben könnte.
Einen solchen Hinweis auf einen möglicherweise problematischen Umgang mit den Kundengeldern gab Altsbit in seiner ersten Twitter-Meldung zum Diebstahl. Laut Altsbit seien nahezu alle Guthaben gestohlen und nur kleine Mengen sicher in Cold Wallets aufbewahrt worden. Im Fall der Kryptowährung Ether eine durchaus zutreffende Einschätzung, denn hiervon wurden über 70 Prozent entwendet. Altsbit hatte also nicht einmal 30 Prozent aller Ether in einem Cold Wallet aufbewahrt, wo es vor automatisierten Transfers sicher gewesen wäre – dabei ist das die wichtigste Schutzmaßnahme vor Diebstahl. Schließlich war Altsbit keineswegs die erste Kryptobörse, die Angreifer ausgeplündert haben, weil zu viel Geld gedankenlos in Hot Wallets aufbewahrt wurde.
Die Gefahr liegt vor allem im automatisierten Handel mit Kryptowährungen: Kryptobörsen handeln rund um die Uhr, eine Kontrolle durch einen Menschen findet kaum statt. Damit muss die Software auf die privaten Schlüssel des Hot Wallets zurückgreifen können – finden Hacker eine Lücke, können sie darüber das gesamte Hot Wallet plündern. Ob die Hacker bei Altsbit das erst drei Wochen vor dem Diebstahl veröffentlichte API ausnutzen, ist eine von vielen Fragen, die uns die Kryptobörse bis zum Redaktionsschluss nicht beantwortete.
Verluste sozialisieren
An dem grundsätzlichen Anspruch aus dem Guthaben der Kunden gegenüber Altsbit ändert der Diebstahl bom 6. Februar nichts – auch nicht der Umstand, dass Altsbit nach den auf Twitter veröffentlichten Zahlen nicht über genügend Bitcoins und andere Währungseinheiten verfügt, um alle Ansprüche zu befriedigen. Im Zweifel ist die Kryptobörse nach dem Einbruch insolvent. Dann jedoch müsste das noch vorhandene (Krypto-)Vermögen auf alle Gläubiger verteilt werden. Es wären dann alle Kunden von Altsbit betroffen, nicht nur jene, die Guthaben in Bitcoins, Ether, Komodo Coins, Pirate Coins oder Versus Coins haben. Altsbit zahlt jedoch seit dem 10. Februar Guthaben aus anderen Kryptowährungen in voller Höhe aus – im Falle einer Insolvenz wäre das mehr, als den einzelnen Kunden zustehen dürfte.
Immerhin würde im Falle einer Insolvenz das gesamte Firmenvermögen verwertet, während Altsbit bisher keinerlei finanzielle Verantwortung übernommen, sondern alle Verluste 1:1 an seine Kunden weitergereicht hat. Gewinne privatisieren, Verluste sozialisieren – das schon von Karl Marx beschriebene Prinzip hat sich auch in Zeiten von Bitcoin & Co. nicht geändert.
Der Fall Altsbit zeigt wieder einmal, dass man sehr genau darauf achten muss, wem man sein Geld anvertraut. Kryptobörsen ohne Einlagensicherung oder im Ausland bergen stets das Risiko eines Totalverlusts, man sollte ihnen also niemals große Beträge anvertrauen und auch nicht länger als nötig. Bewahren Sie Ihre Bitcoins und anderes Kryptogeld lieber selbst auf, etwa in mit Hardware-Token wie dem Trezor One oder Ledger Nano S gesicherten Wallets oder auf einem Multisignatur-Wallet mit Offline-Signierung auf dem Raspberry Pi. Dann müssen Sie nicht im Fall der Fälle für die Fehler anderer geradestehen.
Dieser Artikel stammt aus c't 6/2020.
(mid)
