l+f: Die Bank gewinnt eben nicht immer
Ein Kasino-Thriller. Ohne George Clooney, dafür aber mit einem dreisten Hacker, der eine Million in Bitcoins abräumt.
- Fabian A. Scherschel
Wer heutzutage Kasinos ausräumen will, braucht dafür nicht mal einen schicken Anzug. Das geht auch in der Jogging-Hose von zu Hause aus. Ein besonders interessantes Beispiel dieser Art liefert uns das Bitcoin-Online-Kasino Primedice. Letztes Jahr hatte ein Hacker dort über eine Million US-Dollar in Bitcoins abgeräumt, in dem er das hauseigene Zufallszahlen-Protokoll ausnutzte. Das soll eigentlich den Spielern versichern, dass die Bank nicht bescheißt. Der Hacker hatte das allerdings geschickt gegen die Kasino-Betreiber genutzt.
Bei einer Wette erzeugt der Primedice-Server eine Zufallszahl. Der Spieler erzeugt lokal eine eigene und beide werden dann verglichen, um zu sehen, wer gewinnt. Der Server zeigt dem Spieler vor seiner Wette die Server-Zahl verschlüsselt und entschlüsselt sie danach. So kann der Spieler sicher sein, dass alles mit rechten Dingen zugeht. Der Hacker hatte allerdings so viele Anfragen für neue Zahlen an den Server geschickt, dass dieser durcheinander kam und ihm manchmal die entschlüsselten Zahlen vor der Wette anzeigte. So wusste der Hacker, ob er gewinnt oder nicht und konnte entsprechend setzen.
Das Kasino entdeckte die Manipulation erst, als es zu spät war. Zuerst fanden sie keinen Fehler und mussten eingestehen, dass der Spieler einfach nur unheimlich Glück hatte. Von wegen. Jetzt ist das Geld weg und Versuche, den Gegenspieler dazu zu bewegen, es zurückzugeben, endeten in einer düsteren Drohung: "Ich bin glücklich damit, mein Geld zu nehmen und zu gehen. Wenn Ihr das weiter verfolgen wollt, werde ich das auch tun. Ich denke Ihr wollt das nicht. Mir macht dieser Scheiß tatsächlich Spaß. Ihr seid am Zug."
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
(fab)
