Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

E-Commerce

Bitcoins: Größter Handelsplatz Mt. Gox kollabiert, immer noch offline (Update)

    Bitcoins: Größter Handelsplatz Mt. Gox kollabiert, immer noch offline (Update)

Was ist passiert bei der weltgrößten Bitcoins-Handelsbörse Mt. Gox? Die Informationen sind widersprüchlich, die Börse seit letzten Sonntag offline. Nun wird, wieder einmal, ein baldiger Neustart angekündigt. Ab dem morgigen Samstag, 5 Uhr deutscher Zeit will Mt. Gox wieder online sein. Ab 6 Uhr soll der Handel einsetzen. Wir fassen die Ereignisse der letzten Woche zusammen...

Bitcoins Black Sunday: Nach einem vermeintlichen Betrugsversuch wird Mt. Gox abgeschaltet

Es ist der 20. Juni. Gegen 3 Uhr früh japanischer Zeit, mithin gegen 20 Uhr deutscher Zeit ereignet sich auf Mt. Gox ein ungewöhnlicher Vorgang. Ein Unbekannter, der sich offenbar aus Hongkong einloggt, verschafft sich Zugang zu einem Konto mit einem erheblichen Volumen an Bitcoins. Die Rede ist von einem Vermögen in der Größenordnung von fast 8 % aller vorhandenen Bitcoins, was einem ungefähren Volumen von 520.000 Bitcoins (BTC) entspricht. Zu diesem Zeitpunkt liegt der Wert eines BTC bei rund 17,50 USD. Das betroffene Konto war also in etwa 9,1 Mio. USD wert.

Der Unbekannte verkauft zunächst das gesamte Depot, um es unmittelbar danach wieder zurück zu kaufen. Der nächste Schritt besteht darin, sich den Gegenwert in USD auszahlen zu lassen. Da für das Depotkonto eine Sperre eingerichtet ist, kann der Unbekannte nur einen Betrag von 1.000 USD tatsächlich liquidieren.

Im Nachgang bricht der BTC-Kurs komplett zusammen. Ein BTC ist nurmehr 1 Dollarcent wert. Mt. Gox entschließt sich, den Handel auszusetzen, um alle Handelsvorgänge seit dem Betrugsversuch rückabwickeln zu können. Zu diesem Zeitpunkt erklärt Mt. Gox noch, es sei lediglich dieses eine Konto betroffen. Niemand habe sich Zugang zu weiteren Konten verschaffen können. Im Grunde sei alles in Ordnung!

Lange kann Mt. Gox diese Darstellung nicht halten und muss einräumen, dass insgesamt ein Gegenwert in der Größenordnung von 8,75 Mio. USD gestohlen wurde. Mittlerweile hat sich der Fehlbestand um weitere rund 400.000 BTC erhöht.

Bereits im Vorfeld hatten sich immer mehr User beschwert, ihnen seien BTC gestohlen worden und jemand hätte sich Zugang zu ihren Accounts verschafft. Diese Beschwerden häufen sich seit Wochen. Mt. Gox nimmt diese jedoch nicht ernst, sondern tut sie als isolierte Probleme einzelner Nutzer ab, die nicht in der Lage sind, das Handelssystem richtig zu bedienen.

Im Zusammenhang mit dem angeblich isolierten ungewöhnlichen Vorgang am letzten Sonntag passiert dann weit schlimmeres. Innerhalb kürzester Zeit werden rund 100.000 BTC zu Schleuderpreisen auf Mt. Gox verkauft. Diese Schleuderverkäufe sind es, die den Kurs letztlich einbrechen lassen. Betroffen sind zu diesem Zeitpunkt bereits rund 25.000 Nutzerkonten. Innerhalb weniger Minuten werden über 478 verschiedene Accounts 25.000 BTC verkauft.

Bitcoins-SuperGAU: Die Mt.Gox Nutzerdatenbank steht zum freien Download zur Verfügung

Es wird deutlich: Die komplette Nutzerdatenbank von Mt. Gox mit den Kontodetails aller rund 61.000 Nutzer befindet sich in den Händen eines oder mehrerer Angreifer. Mt. Gox gibt diesen Super-GAU jedoch nicht zu, sondern verspricht lediglich, den Vorfall zu untersuchen. Allerdings würden alle Nutzer mit neuen Passwörtern versehen werden müssen. Die Börse will innerhalb weniger Stunden wieder online sein. Daraus wird nichts.

Auf Pastebin schreibt ein Unbekannter, er verfüge über die Mt. Gox Datenbank und bietet sie zum Verkauf an. Kurze Zeit später stellt er die Datenbank zum freien Download öffentlich online. Während ich diesen Artikel schreibe, kann die Datenbank mit 61.017 Einträgen, die 3,8 MB groß ist und im CSV-Format mit dem sprechenden Namen accounts.csv vorliegt, immer noch unter dieser Adresse heruntergeladen werden.

Noch in der gleichen Nacht teilt Mt. Gox mit, der Diebstahl der Datenbank hätte über einen Computer stattgefunden, den ein Servicetechniker lokal bei Mt. Gox verwendet habe. Dieser sei offenbar infiziert gewesen und habe so den Zugriff auf die Datenbank erlaubt. Berichte über eine Hackerattacke seien falsch, insbesondere sei der Zugriff nicht über eine SQL-Injection erfolgt. Was haben die bei Mt. Gox für Techniker, fragt man sich da...

Was die BTC-Community dann in Rage versetzt, ist die umfangreiche Einlassung von Mt. Gox zu den eingesetzten Verschlüsselungstechniken, was die Passwörter ihrer Nutzer betrifft. Danach setzte Mt. Gox lange Zeit auf MD5-Hashing und migrierte erst vor wenigen Wochen den Großteil der User auf FreeBSD MD5 Salted Hashing. Beide Verfahren gelten als nicht zu 100% sicher, weil mit entsprechenden Methoden das Knacken der Hashes eine reine Zeit- und Ressourcenfrage ist. Mt. Gox wird massiv dafür kritisiert, nicht auf stärkere Verschlüsselung, etwa SHA-512 gesetzt zu haben und verspricht, dies unverzüglich zu implementieren.

Bitcoins: Andere Handelsplätze handeln weiter - Kurse um 14 USD/BTC

Bitcoins: Marktübersicht von Freitag, 25. Juni 2011, 20 Uhr (Auszug)

Ab diesem Moment beginnt sich das Thema in die Länge zu ziehen. Immer wieder müssen Updates geschrieben werden, die im Grunde immer den gleichen Tenor haben: Wir sind noch nicht soweit und bleiben weiterhin offline.

Zum Teil liegt es auch an den Usern. Diese werden keine großen Sympathein mehr für Mt. Gox hegen. So ist es kein Wunder, dass innerhalb von 24 Stunden nach der Aufforderung der Börse, seinen Account zu claimen, sich also als rechtmäßiger Inhaber eines Mt.Gox-Accounts zu identifizieren, nur 10% der User das auch tatsächlich getan hatten. Immer wieder weist Mt. Gox auf die Notwendigkeit dieses Vorgangs hin.

Am 23. Juni ändert Mt. Gox die Strategie und verspricht denen Zugang, die ihre Accounts bereits geclaimt haben. Ab Freitag, 24. Juni um 5 Uhr deutscher Zeit soll Mt. Gox für diesen Userkreis wieder benutzbar sein. Handel sei dann zwar nicht möglich, aber das Einzahlen und Auszahlen von Beständen werde bereits funktionieren.

Am gleichen Tag verspricht Mt. Gox, in den ersten zwei Wochen nach Wiederanschalten der Börse mit reduzierten Handelsgebühren von 0,3, statt 0,65% zu arbeiten. Gebeutelte Nutzer, also solche dessen Umsätze von Rückabwicklungen betroffen waren, dürfen einen Monat gebührenfrei handeln und sollen eine Subskription des kommenden SMS-Sicherheitsverfahrens kostenlos erhalten. Erstaunlich, dass Mt. Gox in dieser Situation bereits wieder ans Geld verdienen denkt, anstatt eine SMS-Authentifizierung kostenfrei für alle anzubieten. Immerhin ist es Mt. Gox, der das Vertrauen der Nutzer zurück gewinnen muss.

Bitcoins: Mt. Gox verliert die Glaubwürdigkeit

Am Freitag, den 24. Juni, also heute morgen, updated Mt. Gox den Status 20 Minuten vor dem zugesicherten Start erneut und gibt bekannt, man könne den Zeitpunkt erneut nicht halten, sondern müsse ein letztes Mal um 24 Stunden verschieben. Dies läge nun daran, dass man sich bei der Schätzung des Aufwands für die Bearbeitung der Claims vertan habe.

Erstaunlich, immerhin sollte die Börse ohnehin nur für diejenigen zugänglich sein, deren Claim-Verfahren bereits abgewickelt war. Verständlich ist zwar, dass das Wiedereinsetzen des Handels nur dann einigermaßen sinnvoll ist, wenn wieder eine breite Nutzerbasis auch wirklich Zugang hat. Mittlerweile wirken die Stellungnahmen jedoch mehr wie Ausflüchte.

Wir werden sehen, was morgen früh passiert. Ich würde nicht darauf wetten, dass Mt. Gox in rund neun Stunden tatsächlich wieder online ist. Dieser Artikel wird jedenfalls dann ein Update erfahren...

[UPDATE 25. Juni 2011, 10:00 Uhr: Wie erwartet, ist Mt. Gox immer noch offline. Nächster angekündigter Starttermin ist heute 16:00 Uhr. Nun hat man angeblich Probleme mit Bestandsabweichungen gefunden. Wir halten euch auf dem laufenden...]

[UPDATE 25. Juni 2011, 18:00 Uhr: Mt. Gox ist wieder online, allerdings ist die Login-Seite kaum zu erreichen. Das mag am Ansturm der User liegen. Wie es scheint, ist bislang noch kein Handel möglich...]

Weiterführende Links:

Finde einen Job, den du liebst zum Thema Bitcoin

6 Reaktionen
Axel
Axel

Wie ging es weiter?
Gibt es schon ein Update?

Antworten
Dieter Petereit

Nur für den Fall, dass sich irgendjemand fragt, ob an dem Vorwurf des Herrn Max was dran ist: Alle Quellen sind, wie immer, verlinkt. Einfach selbst ein Bild machen...

Antworten
Max
Max

Ich habe ganz, ganz selten in der letzten Zeit so einen Schwachsinn gelesen. Berichten (und zwar die Wahrheit) nicht bewerten wäre ein Fortschritt.

Naja. Trotzdem weiter so:

Irgendwann werden Sie aufwachen und sagen, JUCH. Warum hat man mir das nicht vorher gesagt das die Wahrheit so aussieht?

Glauben Sie schön weiter an Ihre bunten Papierscheine. Gibt ja so viele davon und es werden ständig neue gedruckt. Schöööön.

Peer-to-peer, Open Source und Mathematik sind die Waffen von Bitcoin.

Antworten
Dieter Petereit

@Alexander: Dem bei Heise erwähnten Aspekt haben wir in früheren Bitcoin-Beiträgen bereits mehrfach Rechnung getragen.

Antworten
Alexander Schmidt

Danke für den interessanten Artikel, doch viel interessanter ist die Frage, warum die Bitcoin-Tauschbörse angehackt wurde. Sicherlich nicht aus persönlicher Raffgier. Dazu habe ich einen sehr guten Kommentar auf heise.de gelesen.

Klassischer Angriff auf eine Währung | Bitcoin-Tauschbörse nach Angriff geschlossen http://itr.im/211

Antworten
Kein Preis
Kein Preis

Zeitschriften-CDs und die Friedensnobelpreis-Webseite hatten auch schon Viren bzw. Trojaner drauf. Handies, USB-Sticks u.ä. m.W. auch.

Eine Frage ist ob 0.65% nicht gering sind und man mit 0.3% nur die variablen Kosten einspielt. Paypal macht ja dasselbe: Virtuell Kontengelder transferieren... . Deren Prozente weiss ich aktuell aber nicht.

Das Konzept großer Konten braucht man bei Bitcoins dachte ich nicht. Das Geld hält man auf einem USB-Stick o.ä. und schiebt es nur ins System wenn man es ausgeben oder halt konvertieren will. Geldcontainer die jeder plündern kann, machen wenig Sinn. D.h. beim Einloggen muss man die Kohle virtuell runterziehen oder Strafe zahlen. Jeder darf 100 BitCoins oder den durchschnittlichen Bestand von 10 Tagen oder sowas auf dem Konto haben, sobald man sich eingelogged hat. Wer mehr lagert, erhöht das Risiko und müsste Lagergebühren ("Strafzahlungen") abdrücken.
Banken hingegen verleihen das Geld weiter. Das gibts bei Gox wohl nicht. Gox ist daher wie Schliessfächer: Am besten möglichst alle leer.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen