IOTA Wallet Hack 2018 vs. 2020 – Der Vergleich


Überblick:

  • 2018: IOTA Wallet Hack – der Seed Generator Skandal
  • 2020: Schwachstelle im IOTA Trinity Wallet
  • Ein Vergleich beider Vorfälle
  • Fazit: Not your Keys, not your Coins

13. Februar 2020 – ein Schock ging durch die IOTA Community. Ein Hacker hatte sich Zugriff zu mehreren IOTA Trinity Wallets verschafft und diese leer geräumt. Die IOTA Foundation hat den Coordinator ausgeschaltet und ein zeitnahes Bug Fixing versprochen. Zudem waren IOTA Transaktionen vorübergehend nicht mehr möglich und die User konnten zeitweise nicht überprüfen, ob ihre IOTA noch in ihren Wallets waren.

IOTA Wallet Hack? Das kommt einigen sicherlich bekannt vor. War da nicht schon mal was? Ja! Auch im Januar 2018 wurden mehrere IOTA Wallets über Nacht ausgeraubt.

In beiden Fällen haben sich Hacker Zugriff zu IOTA Wallet Seeds verschafft und die Wallets unbemerkt geplündert. Dennoch sind beide Wallet Hacks verschieden. Was war im Einzelnen passiert? Wo liegen die Unterschiede? Welche Lehren sollte man ziehen?

Was ist IOTA?

Das Konzept hinter IOTA wird häufig als Blockchain der dritten Generation bezeichnet.

Während Bitcoin mit dem Proof of Work (PoW) Consensus-Mechanismus als Blockchain der ersten Generation gilt, spricht man bei Proof of Stake (PoS) von einer Blockchain der zweiten Generation. Bei PoW gibt es die Miner, die durch Mining (Work) die Blockchain validieren und als Nodes agieren. Bei PoS sind es die „Staker“, die als Validatoren ausgewählt werden, sofern sie eine Mindestanzahl an Kryptowährung in ihren Wallets haben. Ethereum (aktuell noch Proof of Work) will innerhalb der nächsten Monate auf Proof of Stake umstellen.

IOTA

IOTA verfolgt einen völlig anderen Ansatz. Mit dem sogenannten Tangle will IOTA das dezentrale Netzwerk mit der höchsten Sicherheit, besten Skalierbarkeit und den geringsten Transaktionsgebühren – nämlich Null, werden. Der Anreiz für einen IOTA Node soll dann darin liegen, dass durch das Bereitstellen von Netzwerkinfrastruktur mehrere Teilnehmer davon profitieren können und diese gewillt sind, sich an den Kosten zu beteiligen, anstatt selbst hohe Kosten für die Infrastruktur aufzuwenden.

Ein sehr ambitioniertes Ziel, weshalb IOTA nicht nur eine unglaublich eingeschworene Fan Community hat, sondern auch stets in strenger Kritik vieler externer Beobachter steht. Das Konzept klingt unglaublich vielversprechend und das Rennen um die beste Technologie ist noch lange nicht entschieden. Daher sollte man IOTA ernst nehmen und die weitere Entwicklung abwarten. Nicht grundlos setzt Bosch in seiner langfristigen Strategie unter anderem auf IOTA.

IOTA Wallet Hack in 2018 – Der Seed Generator Skandal

Es war an einem Freitagmorgen im Januar 2018. In einer IOTA Facebook-Gruppe hatten einige User Fotos von Ihren IOTA Wallets gepostet, die seltsame Transaktionen als „Ausstehend“ oder bereits als „Bestätigt“ zeigten. Die Posts und Kommentare wurden immer zahlreicher. Dann dauerte es auch nicht lange bis alle verstanden, dass ihre IOTA gestohlen wurden. Der absolute Super-GAU für „Crypto Hodler“!

IOTA Light Wallet
Screenshot IOTA Lite Wallet, Quelle: Facebook

Das in 2017 einzig verfügbare Wallet war das IOTA Light Wallet, welches erst einige Monate zuvor herauskam. Die IOTA Fans hatten sich lange nach einem Wallet gesehnt. Wollte man doch unbedingt seine IOTA von den Exchanges holen. Dort sind sie bekanntlich alles andere als sicher.

Um sich ein IOTA Light Wallet erfolgreich einzurichten, musste man einen eigenen Seed erstellen. Der Seed sollte demnach 81 Zeichen haben und aus den Großbuchstaben A-Z sowie der Ziffer „9“ bestehen, wobei diese Ziffer mindestens einmal vorkommen musste (eine Ziffer zusammen mit allen Buchstaben des Alphabets ergibt die Zahl 27, was wiederum 3³ ist – Ternary Gimmick).

Klingt kompliziert? Das war es wohl auch, zumindest für einige User. Und zwar für diejenigen, die bis dato noch nie einen Passwort-Manager benutzt hatten. Wenn man nun willkürlich 81-mal auf die Tastatur tippte, erzeugte man seinen eigenen individuellen Seed. Aber war das wirklich sicher? Man bekam das Gefühl, dass dies nicht die beste Lösung sein kann. Warum gibt es keinen integrierten Seed Generator, wie es bei vielen Bitcoin Wallets schon lange Standard ist?

Die ominöse IOTA Seed Generator Website

Auf der Suche im Internet nach einem IOTA Seed Generator wurde man schnell fündig. Unter https://iotaseed.io/ konnte man ein Tool finden, welches in wenigen Sekunden einen IOTA Seed generierte. Die Website sah absolut vertrauenswürdig aus, IOTA Logo, gute Beschreibung, handliches Tool. Man musste mit dem Cursor eine gewisse Zeit über eine angezeigte Fläche streichen und das Tool spuckte einen Seed samt Keys und Wallet-Adressen aus. Diese konnte man dann direkt in eine PDF-Datei umwandeln und abspeichern. Eine perfekte Lösung schien gefunden.

Im Zeitraum zwischen August 2017 und Januar 2018 haben anscheinend zig User Ihren IOTA Seed über dieses Tool generiert, in dem Glauben das ihre IOTA damit sicher im IOTA Light Wallet aufgehoben sind.

iotaseed.io betrog IOTA Investoren um Millionen

Dann kam der 19. Januar 2018. Der Täter schlug nun zu und räumte über Nacht Wallet für Wallet leer, sofern dieses mit Hilfe des Seed Generators erstellt war.

Der Aufschrei war riesig. Viele Betroffene meldeten sich in IOTA Foren auf Facebook und Discord oder in Hello IOTA und baten um Hilfe. In den meisten Fällen war jedoch leider nichts mehr zu machen. Auch wenn viele Transaktionen noch als „Ausstehend“ angezeigt wurden, die IOTA waren verloren!

Die Reaktion der IOTA Foundation

Es stellte sich schnell heraus, dass die Seite https://iotaseed.io nichts mit IOTA oder der IOTA Foundation zu tun hatte. Entsprechend waren auch die ersten Reaktionen der IOTA Foundation, die jegliche Verantwortung ablehnte und zunächst nur zögerlich Unterstützung anbot. Dies war ehrlich gesagt auch nicht verwerflich. Hatte die IOTA Foundation doch wirklich nichts mit dem Seed Generator Tool zu tun. Ganz im Gegenteil, die IOTA Foundation hatte sogar in der Vergangenheit davor gewarnt externe Seed Generatoren zu nutzen. Aber nun war es spät. Die betroffenen User sind leider selbst verschuldet auf dieses Tool reingefallen. Aber spricht man so über seine Unterstützer?

Es schien höchst merkwürdig, dass über so viele Monate niemandem aufgefallen war, dass diese IOTA Seed Generator Website wirklich nichts mit IOTA zu tun hatte. Schließlich war sie prominent verlinkt.

Innerhalb eines Tages kippte die Stimmung und die IOTA Foundation stieg nun auch mit geeinten Kräften in die Lösung des Problems ein. Waren es doch die eigenen Fans, die hier betroffen waren und dringend Unterstützung brauchten.

In den bekannten IOTA-Foren wurde mit umfassender Aufklärung begonnen. Zudem wurde die ominöse Website vom Netz genommen. Alle Exchanges wurden informiert und dazu angehalten, eingehende Transaktionen von den betroffenen IOTA Adressen entsprechend zu kennzeichnen und das Trading zu blockieren.

Trading IOTA

Wer war der Hacker?

Es dauerte auch nicht lange, bis man erste Indizien fand und einen bestimmten User bei „Reddit“ und „Github“ ins Visier nahm, der vielleicht etwas damit zu tun haben könnte. Ein gewisser User namens norbertvdberg.

Den Betroffenen blieben zwei Möglichkeiten. Entweder zur lokalen Polizei zu gehen und Anzeige gegen Unbekannt zu erstatten. Oder diesen selbst verschuldeten Verlust als Lehrgeld zu verbuchen.

Die Spur zu „Norbert“ schien die richtige gewesen zu sein. Die IOTA Community und die IOTA Foundation ließen nicht nach zu recherchieren. Mit deren Hilfe konnte die Polizei schließlich ein Jahr später tatsächlich einen Verdächtigen festnehmen.

So schmerzlich diese Erfahrung auch für manche Betroffene war, so hatte es letztlich nur wenig Einfluss auf die weitere Entwicklung für IOTA. Zwar entstand ein kurzeitiger Image-Schaden, der aber nicht nachhaltig war.

In weiterer Folge wurde mit Hochdruck an einem besseren IOTA Wallet gearbeitet und sogar auch an einer Hardware Wallet Integration. Hardware Wallets gelten bekanntlich als sicherste Lösung für die Aufbewahrung von Seeds und Private Keys.

Im Juli 2019 war es endlich soweit. Das IOTA Trinity Wallet wurde veröffentlicht und kurze Zeit später auch eine Hardware Wallet Lösung mit Ledger für das Trinity Wallet sowie für das Web Wallet Romeo. Ende gut, alles gut?

Ledger Nano X
Ledger Wallet Nano X: Das neueste Modell aus dem Hause Ledger.

IOTA Wallet Hack in 2020 – Schwachstelle im Trinity Wallet

Für die meisten schien nach dem Vorfall im Januar 2018 ein erneuter IOTA Wallet Hack ausgeschlossen. Hatte man doch aus der Vergangenheit gelernt und das neue Trinity Wallet hatte einen integrierten Seed Generator.

Leider sollte sich das als Irrglaube herausstellen.

Im Februar 2020 ging erneut ein Schock durch die IOTA Community. Einige User berichteten auf Discord, dass ihre Trinity Wallets auf unerklärliche Weise leer geräumt wurden. In wenigen Stunden häuften sich derartige Vorfälle. Da diesmal kein externer Seed Generator im Spiel war, sondern sich der Verdacht erhärtete, dass etwas mit dem IOTA Trinity Wallet nicht stimmen könnte, zögerte die IOTA Foundation nicht und griff sofort ein.

Was war genau passiert?

Am 12.02.2020 berichteten erste User in Discord über gestohlene Funds. Dabei wurde schnell klar, dass dies keine Einzelfälle waren und IOTA Developer begannen umgehend mit der Analyse. Als Folge wurde der Coordinator ausgeschaltet. Eine sehr drastische Maßnahme, aber die einzige, um weiteren Schaden für andere User zu verhindern.

Der Coordinator ist eine Applikation der IOTA Foundation, die den Tangle vor externen Angriffen schützen soll. Die IOTA Nodes verwenden den Coordinator, um Konsensus für das Bestätigen von Transaktionen zu erreichen. Ohne den Coordinator ist es also nicht möglich IOTA Transaktionen im Netzwerk vorzunehmen.

Im weiteren Verlauf nach dem 12. Februar zeichnete sich die IOTA Foundation durch exzellentes Krisenmanagement aus. Es wurde über Status IOTA und Twitter klar und deutlich kommuniziert, um die User umfassend zu informieren und auch zu notwendigen Aktionen aufzurufen. Die Schwachstelle wurde binnen kurzer Zeit identifiziert und nach einigen Tagen wurde der Bug gefixt. Eine neue Version des Trinity Wallets wurde anschließend zum Download bereitgestellt.

Das Trinity Wallet galt eigentlich als sicher, wurde es doch mehrmals von Externen auditiert. Die Analyse ergab, dass die Schwachstelle in einer Third-Party-Abhängigkeit mit dem Partner Moonpay lag, welche inzwischen entfernt wurde.

Seed Migration Tool

Alle IOTA Trinity Wallet Nutzer, die zwischen dem 17. Dezember 2019 und 18. Februar 2020 auf das Trinity Wallet zugegriffen hatten, sollten umgehend die neue Version herunterladen und ein extra eingerichtetes Seed Migration Tool nutzen. Außerdem sollte auch dringend das Passwort geändert werden.

Lediglich User, die Trinity über das Hardware Wallet von Ledger nutzten, mussten das Migration Tool nicht nutzen, allerding wurde auch hier ein Passwortwechsel dringend empfohlen.

Für die Nutzung des Migration Tools bestand eine Frist vom 29. Februar bis 7. März 2020. Wer diese Frist verpasste, hatte leider Pech und musste seine IOTA in Eigenregie migrieren.

Am 10. März 2020 wurde der Coordinator wieder aktiviert und das IOTA Netzwerk nahm endlich wieder den Normalbetrieb auf.

hacker

IOTA Wallet Hack – Vergleich 2018 vs. 2020

In beiden Fällen hatten sich Hacker IOTA Seeds zu Eigen gemacht und Funds aus den IOTA Wallets gestohlen. Während in 2018 jedoch die User auf einen externen Seed Generator reingefallen sind, so lag die Ursache in 2020 in einer Schwachstelle im IOTA Trinity Wallet.

Deswegen hat die IOTA Foundaton wohl auch in 2020 sofort vorbildlich reagiert. Die Kommunikation war sehr transparent und das Krisenmanagement höchst professionell.

Der bezifferte Schaden in 2018 lag angeblich bei ca. 11,4 Millionen US-Dollar. Der Preis von IOTA lag zum damaligen Zeitpunkt bei ungefähr 2,8 US-Dollar für 1 MIOTA. Gestohlen wurden demnach knapp 4.071 GIOTA (1 MIOTA = 1.000.000 IOTA, 1 GIOTA = 1.000 MIOTA, 1 TIOTA = 1.000 GIOTA).

In 2020 wurde die Anzahl gestohlener IOTA auf 8,55 TIOTA geschätzt, bei einem IOTA-Preis von ca. 0,33 US-Dollar pro 1 MIOTA. Das ergibt einen Gesamtschaden von ca. 2,8 Millionen US-Dollar.

Wie in 2018 waren auch in 2020 die Betroffenen angehalten, Anzeige bei der lokalen Polizei zu erstatten. Hinsichtlich der Hoffnung auf schnellen Schadenersatz gibt es jedoch einen großen Unterschied zwischen beiden Fällen.

IOTA Co-Founder David Sønstebø, der in 2018 anfangs noch etwas ungehalten reagiert hatte, zeigte sich in 2020 von einer völlig anderen Seite. Er garantierte öffentlich, für die finanziellen Schäden aller Betroffenen privat aufzukommen. Eine wirklich sehr großzügige Geste, die große Anerkennung verdient!

Der Coordinator macht den Unterschied

Die Besonderheit im Vorfall 2020 liegt sicherlich im Ausschalten des Coordinator durch die IOTA Foundation. So etwas ist normalerweise ein No-Go bei Blockchain-Projekten, die ansonsten nicht oft genug betonen, wie dezentral alles funktioniert. Letztlich war dies das einzige Mittel, um größtmöglichen Schaden abzuwenden. Andererseits zeigt dies erneut auf, wie zentral IOTA aufgestellt ist. IOTA war, ist und bleibt (zumindest vorläufig) ein zentralisiertes Projekt.

Aber eigentlich gibt es keinen Grund dies zu kritisieren. Der Coordinator ist unter anderem genau für solche Notfälle implementiert worden. Egal wie die IOTA Foundation reagiert hätte, die Kritiker hätten sich in jedem Fall entsprechend zu Wort gemeldet.

Fazit: Not your Keys, not your Coins!

Schade, dass ein IOTA Wallet Hack wiederholt negative Schlagzeilen verursachte. Gleichwohl sind solche Geschehnisse ungemein heilsam und lehrreich für die User.

Wenn man nicht absolut sicher sein kann, dass der Seed oder die Private Keys niemals externen Augen ausgesetzt waren, dann sollte man schnellstens handeln. Jeder User sollte sich im Klaren darüber sein, dass das Online-Eingeben von einem Seed oder Private Key immer ein Restrisiko birgt. Als sicherste Wallets gelten Hardware Wallets. Hier verlässt der Seed bzw. Private Key niemals das Device und man muss diese auch nicht auf irgendeiner Website eingeben.

Bei der Schwachstelle im Trinity Wallet waren die Seeds der Ledger Hardware Wallets nicht in Gefahr.

Der berühmte Satz von Andreas Antonopoulos: „Not your Keys, not your Bitcoin“ gilt für alle Kryptowährungen, und zwar mehr denn je. Über die Zeit kommen immer mehr Neueinsteiger hinzu, denen solche schmerzhaften Erfahrungen wie beim IOTA Wallet Hack hoffentlich erspart bleiben. Wer IOTA kaufen möchte, sollte unbedingt auch über den Kauf eines Hardware Wallets nachdenken.



Über den Autor

Crypto und DLT Enthusiast

eToro-Icon

eToro

200€

Mindesteinzahlung

Besuchen »

75% der privaten CFD-Konten verlieren Geld.


Plus500-Icon

Plus500

100€

Mindesteinzahlung

Besuchen »

80,5% der CFD-Kleinanlegerkonten verlieren Geld.

Schreibe einen Kommentar



Melden Sie sich zu unserem Newsletter an:
Melden Sie sich jetzt zu unserem Newsletter an und erhalten Sie alle brandneuen Informationen rund um das Thema Kryptowährungen bequem per Mail in Ihr Email Postfach. Garantiert kostenlos und ohne Spam!