Viele Investoren, die auch in Kryptowährungen investieren, sind davon überzeugt es sei sicher, die Funds auf einer Krypto-Börse zu halten.
Während die meisten Krypto-Börsen hohe Sicherheitsrichtlinien haben, kann es trotzdem zu Hacks kommen, wodurch die Funds in Gefahr sind.
In den letzten Jahren gab es einige solcher Fälle, z.B. die Bitgrail-Börse, Binance und Cryptopia. Während Binance die Verluste der Kunden aus eigener Tasche ausgeglichen hatte, mussten die Kunden von Bitgrail und Cryptopia herbe Verluste hinnehmen.
In diesem Artikel führe ich dich durch die Geschichte des Cryptopia Hacks und was Betroffene sich nun von dem Gerichtsverfahren erhoffen können.
Inhaltsverzeichnis
- Cryptopia Hack
- Zweiter Angriff auf Cryptopia
- Vollständiger Relaunch der Website
- $4 Millionen gestohlene ETH in unbekanntes Wallet transferiert
- Neue Unsicherheiten: Website seit 8 Stunden offline
- Cryptopia wird liquidiert
- Licht am Ende des Tunnels
- Welche Vermögenswerte werden ausbezahlt?
- Fazit: Not your keys, not your coins!
Cryptopia Hack
Die Geschichte des Cryptopia Hacks beginnt im Januar 2019. Am 14. Januar 2019 berichtete die Cryptopia-Börse, dass man unerwartete Wartungsarbeiten zu erledigen hätte und die Börse so lange geschlossen sein würde:
We are currently experiencing an unscheduled maintenance, we are working to resume services as soon as possible. We will keep you updated.
— Cryptopia Exchange (@Cryptopia_NZ) January 14, 2019
Einen Tag später wurden die schlimmsten Befürchtungen zur unangenehmen Wahrheit. Die Cryptopia Exchange wurde gehackt und es gab hohe Verluste:
— Cryptopia Exchange (@Cryptopia_NZ) January 15, 2019
In den Folgetagen wurde das Ausmaß des Hacks ersichtlich, wie man Meldungen von Diensten wie Whale Alert entnehmen konnte.
Am 13. Januar wurden knapp 20.000 ETH im Wert von damals gut 2,4 Millionen US-Dollar von den Cryptopia Wallets in unbekannte Wallets der Hacker transferiert.
Ethereum, Dentacoin, Oyster Pearl, Lisk ML, Centrality, Mothership, Ormeus, DAPS, Zap und Pillar waren die größte Anzahl der gestohlenen Cryptopia-Währungen.
Die gestohlenen Kryptowährungen waren auf vierzehn Börsen verteilt. Die größte Zahl der Kryptowährungen ging an Bibox, die zweitgrößte befand sich bei Binance, die drittgrößte Position wurde zu Huobi transferiert.
Die neuseeländische Polizei wurde direkt informiert und begann ohne Verzögerung mit den Ermittlungsarbeiten. Auch die erforderlichen Aufsichtsbehörden wurden über den Vorfall informiert.
Zweiter Angriff auf Cryptopia
Cryptopia hatte den ersten Schock noch gar nicht richtig verdaut, als es am 28. Januar 2019 einen zweiten Angriff auf die Krypto-Börse gab.
Dieser Hack begann um 7 Uhr und hielt den ganzen Tag über an. Über 5.000 Wallets, die bereits zuvor Opfer der Attacke wurden, wurden erneut geleert.
In den Folgemonaten konnte man nur zusehen, wie die Funds von einem Wallet in andere verschoben wurden, während die Polizeiarbeit der neuseeländischen Behörden voranschritt. Es dauerte einen Monat, bis die Behörden Cryptopia die Freigabe für die Wiederaufnahme des Betriebs gaben.
Obwohl die Börse einen so großen Verlust erlitt, informierte sie regelmäßig über den aktuellen Status. Am 4. März 2019 öffnete das Unternehmen die Website wieder, sodass die Benutzer nun ihren Kontostand überprüfen können. Die Website drängte die Benutzer, ihr Passwort zurückzusetzen. Außerdem baten sie um die Aktivierung der Zwei-Faktor-Authentifizierung.
Vollständiger Relaunch der Website
Am 11. März 2019 bot Cryptopia den Benutzern die Möglichkeit, ihre Orders zu stornieren. Diese Option zur Stornierung von Orders ermöglichte es den Kunden, Orders, die seit dem 14. Januar im System noch offen waren, zu entfernen.
Um die ordnungsgemäße Funktionalität zu gewährleisten, führte Cryptopia eine Systemaktualisierung durch. Das Team verschickt E-Mails an alle von dem Hack betroffenen Benutzer. Die Börse twitterte:
“Wir werden Ihnen in Kürze wieder per E-Mail weitere Einzelheiten zu den Rabatten und den voraussichtlichen Terminen für einen wieder aktiven Handel mitteilen. Bitte seien Sie sich bewusst, dass wir hoffen, dies bis zum Monatsende zu erreichen.”
Am 19. März 2019 gab die Börse bekannt, dass sie den Handel mit 40 Handelspaaren, die sie als sicher einschätzte, wieder aufnehmen wird.
Die Börse stellte ihren Nutzern eine Liste mit handelbaren Paaren zur Verfügung, damit diese entsprechend planen konnten. Sie informierte auch über die Aufnahme weiterer Paare, sobald diese freigegeben und als sicher eingestuft werden.
Später riet die Börse ihren Kunden, keine Kryptowährungen an die alten Cryptopia-Adressen einzuzahlen, da die Börse neue Wallets eingerichtet hatte. Weiter ging es in der Mail auch darum, dass sie allen Kunden, die ihr Geld während des Vorfalls verloren haben, ihr Geld zurückerstatten würden.
Am 25. März 2019 gab der Austausch eine Erklärung ab, dass Einlagen, die mehr als 24 Stunden nach der Ankündigung getätigt wurden, nicht wieder eingezogen würden.
Dies bedeutete, dass, falls der Benutzer nach dem 16.01.2019 um 12:00 Uhr NZT Einzahlungen geleistet hat, die Gelder nicht zurückgefordert werden.
$4 Millionen gestohlene ETH in unbekanntes Wallet transferiert
Am 30. März 2019 veröffentlichte WhaleAlert eine Warnmeldung, die besagt, dass ETH im Wert von über 4 Millionen Dollar an eine andere Adresse überwiesen wurden. Der Hacker transferierte insgesamt 30.789 ETH-Token in eine unbekannte Wallet. Später begann die Börse damit, private Schlüssel für die 457 an der Börse gelisteten Coins und Token zu generieren.
Neue Unsicherheiten: Website seit 8 Stunden offline
Ein Reddit Nutzer postete am 14. Mai 2019, dass Cryptopia wieder für 8 Stunden nicht erreichbar gewesen sei. Auf der Website erschien lediglich folgende Nachricht:
“Keine Panik! Wir sind derzeit in der Wartung. Wir danken Ihnen für Ihre Geduld und entschuldigen uns für die Unannehmlichkeiten.”
Natürlich wurden schnell Spekulationen über einen dritten Hack laut oder dass das Team sich einfach von der ganzen Geschichte distanzieren möchte und die Kunden im Stich lässt.
Cryptopia wird liquidiert
Am Ende gab es für Cryptopia nur noch einen Ausweg, und zwar die Liquidierung des Unternehmens. Die Börse ernannte Grant Thornton, eine Kanzlei, zum Verantwortlichen dieses Verfahrens.
David Ruscoe und Russell Moore, waren die beiden Beamten von Grant Thornton, die den Liquidationsprozess durchführten. Am 16. Mai 2019 forderte die Börse ihre Nutzer auf, die Einzahlungen bei Cryptopia einzustellen.
So begann das fieberhafte Warten auf den Ausgang dieser Insolvenzverhandlungen.
Licht am Ende des Tunnels
Im April 2020 war es dann endlich so weit und es gab endlich die heiß ersehnten Neuigkeiten aus dem Gerichtsverfahren, als Richter Grendall sein Urteil bekannt gab.
In einem am 8. April veröffentlichten Tweet teilte Cryptopia Informationen zu dem 74-seitigen Gerichtsdokument mit, in dem das Urteil detailliert und zusammenfassend dargestellt wird:
„Heute, am 8. April 2020, verkündete Richter Gendall sein Urteil, in dem er erstens feststellte, dass Krypto-Währungen „Eigentum“ sind […] und zweitens, dass die Krypto-Währung der Kontoinhaber auf mehreren Trusts gehalten wurde, die durch einzelne Krypto-Asset-Typen getrennt waren. Dies bedeutet, dass die Kryptowährungen im wirtschaftlichen Eigentum der Kontoinhaber stehen und nicht zum Vermögen der Gesellschaft gehören“.
In seinem heutigen Urteil stellte Richter Grendall fest, dass die Vermögenswerte der Benutzer an der Börse in mehreren Trusts gehalten wurden, die jeweils Kontoinhaber mit einer bestimmten Art von digitalen Vermögenswerten zusammenfassten.
Bezüglich der Frage, ob Krypto-Vermögenswerte nach neuseeländischem Trust-Gesetz qualifiziert sind, kam Richter Grendall zu dem Schluss, dass Krypto „eine Art immaterielles persönliches Eigentum und ein eindeutig identifizierbares Gut von Wert“ ist.
Als Vermögen ist das Krypto-Vermögen daher „ohne Frage […] geeignet, Gegenstand eines Trusts zu sein“. Sollte es den Liquidatoren gelingen, das gestohlene Vermögen wiederzuerlangen, so sieht das Urteil dies vor:
„Sie sind innerhalb jedes spezifischen Trusts für den betreffenden digitalen Vermögenswert anteilsmäßig zu behandeln, und zwar entsprechend den wiedergefundenen Beträgen, die anhand der gestohlenen Beträge bewertet werden.”
Welche Vermögenswerte werden ausbezahlt?
Während die Kontoinhaber entschädigt werden, stellte Richter Grendall fest, dass der Pool der liquidierten Vermögenswerte, die den Gläubigern zur Verfügung stehen, wahrscheinlich 3,22 Millionen US-Dollar betragen wird.
Dies entspricht weniger als 50 % des Wertes ihrer Forderungen, wenn man bedenkt, dass der Gesamtwert aller Forderungen der Gläubiger auf schätzungsweise 7,57 Millionen US-Dollar geschätzt wird, wovon 2,9 Millionen US-Dollar von den Steuerbehörden gefordert werden.
Betroffene Cryptopia-Kunden müssen jetzt ihren Anspruch geltend machen. Dabei ist zu beachten, dass die Identität des Kunden bekannt gegeben werden muss. Gibt es dabei Schwierigkeiten, unterliegen die entsprechenden Funds vorübergehend dem neuseeländischen Treuhandgesetz.
Fazit: Not your keys, not your coins!
Der Cryptopia Hack zeigt mal wieder deutlich, warum man Bitcoin & Co nicht über einen längeren Zeitraum auf einer zentralisierten Exchange halten sollte. In jedem Fall wird empfohlen, ein Software- oder Hardware-Wallet zu nutzen.
Der Aufwand dafür hält sich in Grenzen und bietet als Belohnung einen ruhigen, sorgenfreien Schlaf.