Die unsichere Welt der Blockchain

Samuel Gerber: «Swiss Banking und die Crux des Autopiloten»

Von Peter Hody

Die Blockchain soll die Finanzwelt sicherer machen, heisst es. Nun zeigen zwei Vorfälle die unsichere Seite der Technologie. Betroffen sind zwei Fintech-Wunderkinder, die in Zug arbeiten.

In der virtuellen und weitgehend unkontrollierten Bitcoin-Welt sind Hacks und Diebstähle zwar nichts Ungewöhnliches. Doch zwei Fälle sorgen nun auch bei hartgesottenen Verfechtern der virtuellen Währungen und Transaktionen für Nervosität.

Denn sie betreffen zwei Lichtgestalten der Szene, deren Unternehmen weltweiten Status geniessen: Shapeshift von Erik Voorhees und Ethereum von Vitalik Buterin.

Schnell, sicher, Star

Der Amerikaner Voorhees und der Russe Buterin zählen zu den einflussreichsten Personen und Botschaftern in Sachen Bitcoin und Blockchain. Und sie treiben ihre Unternehmen und Technologien in der Schweiz voran, in der Bitcoin-Cluster-Region Zug.

Voorhees gründete Shapeshift im Jahr 2014. Das Unternehmen preist sich als schnellste und sicherste Tauschplattform für Krypto-Währungen an.

Buterin ist der Star der Blockchain-Szene. Mit Ethereum betreibt er eine Plattform, auf der Nutzer mittels Blockchaintechnologie und virtuellem Geld Transaktionen ausführen können.

Dem 22-Jährigen wird als Programmiergenie zugetraut, die Finanzwelt zu revolutionieren.

50 Millionen Dollar weg

Doch hat er im Moment ganz andere Probleme: Er versucht, 50 Millionen Dollar zurückzubekommen, die ihm gestohlen wurden. Es ist einer der grössten virtuellen Raubzüge in der noch jungen, aber recht abwechslungsreichen Geschichte der «Kryptowährungen» – und er trifft ausgerechnet das Wunderkind der Szene.

Und noch schlimmer: Der Diebstahl geschah im Rahmen eines Projektes namens «Dao», ein virtuelles Anlagevehikel, das ebenso virtuell von Investoren eingesammeltes – reales und umgewandeltes – Geld in Unternehmen steckt. Alles auf Basis der Blockchain-Technologie, welche als absolut sicher gilt.

Blockchain manipulieren

Der Dieb fand eine Lücke im Programm und zweigte während mehreren Tagen im vergangenen Juni 50 der eingesammelten 160 Millionen Dollar ab. «Attacker» nennt sich der Dieb und meldete sich auf Buterins-Blog, er habe nichts Unrechtes getan, kein Programm gehackt, bloss das Geld umgeleitet. Der von Buterins Team programmierte Code habe dies zugelassen.

Die Pointe an der Geschichte ist: Es wäre für Buterin ein Leichtes, das Geld wieder zurückzuholen; er müsste nur das Programm zurücksetzen. Doch das geht nicht, weil er dann den Beweis liefern würde, dass die nicht manipulierbare Blockchain-Technologie eben doch manipulierbar ist.

Ein Insider-Job

Um eine deutlich weniger hohe Summe geht es im Fall von Shapeshift, nämlich rund 230'000 Dollar. Doch der Diebstahl, dessen Umstände von Voorhees auf dem Shapeshift-Blog bis ins kleinste Detail beschrieben worden sind, hat für ähnlich viel digitales Rauschen in der Bitcoin-Szene gesorgt. Denn es war ein sogenannter «Inside-Job».

Ein Angestellter stahl zunächst rund 130'000 Dollar, verkaufte dann die Informationen zur Sicherheitslücke an einen Hacker, der weitere 100'000 Dollar in Kryptowährungen klaute.

Ungenügendes Sicherheitsdispositiv

Die Bedeutung dieses Falles ist nicht zu unterschätzen. Denn er hat gezeigt, dass entgegen allen bisherigen Behauptungen weder Programme noch die Technologie dahinter «sicher» sind. Die Shapeshift-Software, auf der öffentlich Währungen getauscht werden können, war mit Insiderwissen geknackt worden, was Lücken im Sicherheitsdispositiv von Shapeshift offenbarte.

Und der Dao-Fall zeigt, dass auch ein Blockchain-Mastermind wie Buterin Fehler einprogrammiert und diese übersieht.

Anfälliges digitales Finanzsystem

Wie er sich aus der Affäre zieht, ist noch ungewiss. Sein Team hat noch knapp eine Woche Zeit, eine Lösung auszuarbeiten, dann löst das Programm die Deblockade der 50 Millionen Dollar aus und der Dieb kann damit verschwinden.

Für Veerhoos war die Lösung klar, er baute eine neue Shapeshift-Plattform. Oft werden sich die Protagonisten der revolutionierten Finanzwelt solche Fehltritte aber nicht mehr leisten können. Sie sind angetreten, das alte und anfällige Finanzsystem zu überholen. Nun sind sie Beispiele dafür, wie anfällig ein vollkommen digitales Finanzsystem ist.