Schau, schau – der Kryptoklau geht um

MÜNCHEN – Immer öfter schrecken Hacker die Kryptoszene auf. Dabei wurden bereits Kryptodevisen für Millionen Euro geklaut. „Hier stellt sich die Frage, wie die Hacks funktionieren, wie man sich schützt und wer letztlich die Zeche zahlt“, sagt Dr. Sven Hildebrandt, Geschäftsführender Gesellschafter der DLC Distributed Ledger Consulting.

„Der Einsatz von Blockchaininfrastrukturen geht einerseits mit faszinierenden Chancen einher – gleichzeitig allerdings auch mit nicht zu unterschätzenden Risiken. Eines der aus Anlegersicht größten Risiken ist in diesem Zusammenhang die Irreversibilität von Blockchain-Transaktionen, sofern wirklich dezentrale Chains wie Bitcoin oder Ethereum genutzt werden.
Vertippt man sich beispielsweise beim Eingeben der Empfängeradresse, sind die Kryptowerte unwiederbringlich verloren – es sei denn, es ergibt sich zufällig eine als faktisch ausgeschlossen anzusehende Fallkonstellation – nämlich dass die fehlerhafte Adresse einen Besitzer oder eine Besitzerin hat und dieser oder diese die Kryptowerte aus freien Stücken wieder zurück an die Ausgangsadresse schickt.
Neben diesen Verlusten durch Eigenverschulden aufgrund falscher Überweisungsadressen ist immer wieder auch der Verlust von Private Keys zu beklagen, ohne die die Auslösung einer Kryptowerttransaktion unmöglich ist. Sei es durch ein unverzeihliches Vergessen der kostbaren Zahlenkombination, sei es durch den Verlust des Zettels, auf den der Code notiert wurde, was beides ebenfalls in die Kategorie Selbstverschulden fällt.
Darüber hinaus erfolgen immer öfter und sicherlich auch in Zukunft Angriffe von Kriminellen, die an die Private Keys von vermögenden Kryptobesitzern gelangen wollen. Die häufigste Form ist der Versuch, die Medien zu hacken, auf denen diese Private Keys gespeichert sind – es kommt aber auch zu Androhung körperlicher Gewalt gegenüber Persönlichkeiten, die als „kryptowohlhabend“ gelten. So wird die digitale Welt spontan ziemlich analog – manchmal sollen bei solchen Taten auch Rohrzangen zum Einsatz kommen.

Hackerattacken nehmen zu
Neben dem Versuch, in den Besitz der Private Keys zu gelangen, versuchen Hacker außerdem immer wieder, Schwachstellen in sogenannten Smart Contracts zu nutzen. Diese Attacken zeichnen sich dadurch aus, dass dem Besitzer der Kryptowerte nicht der Private Key entwendet werden muss. Stattdessen werden die Kryptowerte abgegriffen, während sie durch den Smart Contract fließen, oder sie werden aus diesem Smart Contract gewissermaßen herausgelöst.
Genau solche Hacks führten in der Vergangenheit schon zu erheblichen Verlusten. Atlas VPN berichtet allein für das Jahr 2020 von 122 Angriffen, bei denen Coins im Wert von rund 3,8 Milliarden Dollar entwendet worden sein sollen.
Ein Hack im August dieses Jahres mit einem erbeuteten Vermögen von 600 Millionen Dollar nahm demgegenüber allerdings eine Aufsehen erregende Wendung: Der Hacker überwies die entwendeten Kryptowerte freiwillig wieder zurück und unterhielt sich währenddessen mittels Nachrichten auf der Ethereum-Blockchain auch noch mit der Community.

Hacker deckt Schwachstellen auf
Hintergrund ist, dass der Hacker ein sogenannter White Hat Hacker war – also ein Mensch, der durch seine Hacks niemandem schaden, sondern nur auf Sicherheitslücken aufmerksam machen will. Abgegriffen hatte er vor allem Einheiten der Kryptowährungen Ether, Binance Coin und Polygon.
Wie aber kann man sich vor solchen Angriffen schützen? Da die potenziellen Angriffsvektoren mannigfaltig sind, muss auch das Sicherheitskonzept entsprechend ausgeprägt sein. So muss einerseits sichergestellt werden, dass die Private Keys nicht entwendet werden können. Für professionelle Finanzmarktteilnehmer gibt es an dieser Stelle ein breites Angebot von Dienstleistern, denen im Auftrag bereits im Zuge eines Tests der Kryptoverwahrer auf den Zahn gefühlt wurde (siehe TiAM 02/2021).
Vor Smart-Contract-Angriffen kann man sich beispielsweise durch sogenannte Smart-Contract-Audits schützen, in denen Computerexperten den Quellcode auf entsprechende Schwachstellen untersuchen. Vor körperlicher Gewalt wiederum schützt am besten eine gewisse Verschwiegenheit über die eigenen Kryptoinvestments. Oder man geht noch einen Schritt weiter und lässt sich von Männern in schwarzen Anzügen mit Knopf im Ohr begleiten.
Für den Privatinvestor bieten sich indes weniger drastische Maßnahmen wie die Nutzung von externen Hardware Wallets an – beispielsweise dem Ledger Nano X oder vergleichbaren Modellen.

Wer zahlt die Zeche?
Insbesondere im Rahmen der institutionellen Kapitalanlage stellt sich nicht zuletzt die Frage, wer denn am Ende die Zeche bezahlt, wenn wirklich einmal etwas schief geht. Um diese Frage beantworten zu können, muss zunächst näher untersucht werden, um was für ein Produkt es sich handelt. Werden beispielsweise Papiere erworben, die lediglich den Kurs eines gewissen Werts tracken, ohne dass das Underlying auch wirklich gekauft wird – es werden also keine Kryptowerte erworben –, dann geht man eigentlich „nur“ das Emittentenrisiko ein.
Wird hingegen das Asset direkt erworben, stellt sich die Frage, welches Asset man erwirbt. Also ein vergleichsweise simples und seit langer Zeit getestetes Kryptoasset wie den Bitcoin, oder ein vergleichsweise neues und komplexes Produkt (Stichwort: Decentralized Finance).
Grundsätzlich gilt an dieser Stelle – wie so häufig im Leben – je neuer und komplizierter, desto gefährlicher. Allerdings kann auch hier Abhilfe geschaffen werden: Verschiedene Versicherungen bieten mittlerweile nicht nur Absicherungen gegen das Abhandenkommen von Private Keys an, sondern auch gegen Verluste, die aus Smart-Contract-Hacks resultieren. Das geht zwar nicht über gewöhnliche Sachversicherer, weshalb die Suche etwas länger dauern kann, aber im Gegensatz zu früheren Jahren finden sich inzwischen durchaus Angebote am Markt.

Vorsorge ist geboten
Zusammenfassend ist zu konstatieren, dass das faszinierende Feld der Kryptowerte – so wie jede neue Technologie – mit verbundenen Themen daherkommt, mit denen man sich als Investor beschäftigen sollte. Im Rahmen einer entsprechenden Due Diligence der Produkte und insbesondere auch der eingesetzten Dienstleister durch den Produktanbieter können viele Risiken auf ein vertretbares Maß gesenkt werden. Überdies können firmeninterne Fachkomittees beim Entschluss für oder gegen ein Investment in bestimmte Vehikel dabei helfen, transparente Entscheidungen herbeizuführen.
Wichtig hierbei ist es allerdings, wirkliche Experten auf dem Gebiet mit einzubeziehen – da es sich um neue Produkte, neue Technologien und auch neue Marktteilnehmer handelt. In diesem Sinne: Seien Sie mutig – mit Bedacht!“

Dr. Sven Hildebrandt ist Geschäftsführender Gesellschafter der DLC Distributed Ledger Consulting, der nach eigenen Angaben einzigen Blockchain-Spezialberatung, die auf semiprofessionelle und professionelle Finanzmarktteilnehmer fokussiert ist. Gründer Hildebrandt ist Mitglied von Fachgremien bei ISO und DIN und Boardmember der International Association for Trusted Blockchain Applications.
Hinweis: Dieser Beitrag ist zuerst erschienen in TiAM – Trends im Asset Management 03/2021
Falls Sie sich für TiAM interessieren, klicken Sie bitte hier.