Zwei damals minderjährigen Nachwuchs-Hackern war es gelungen, Schober über einen Link auf Reddit zur Installation einer Software namens „Electrum Atom“ zu bewegen. Schober hielt die Software für eine Bitcoin-Wallet. Damit lag er falsch.
Malware jubelt Schober falsche Bitcoin-Adressen unter
Stattdessen handelte es sich um eine Malware, die im Hintergrund Schobers Aktivitäten überwachte und darauf wartete, dass er eine Bitcoin-Adresse kopierte. Wenn er die Adresse wieder einfügen wollte, tauschte die Malware die kopierte Adresse gegen eine von 195.000 anderen aus, die im Code gespeichert waren. So dachte Schober, er würde Bitcoin von einer seiner Adressen auf eine andere übertragen. Tatsächlich schickte die Malware die Kryptowährung an die Adresse der Hacker. Das Prinzip ist als Man-in-the-Middle-Angriff bekannt.
Schober gingen auf diese Weise etwas mehr als 16 Bitcoin verloren. Damals hatten die einen Wert von knapp 200.000 US-Dollar, heute wären sie über 800.000 Dollar wert. Als der Bestohlene die Tat durchschaut hatte, schwor er sich, die Diebe ausfindig zu machen und die Bitcoin zurückzuholen.
Schober beauftragt Experten mit Krypto-Forensik
Er beauftragte Experten damit, die Wege der Coins nachzuvollziehen. Insgesamt kostete ihn diese Suche über 10.000 Dollar. Letztlich war sie jedoch erfolgreich. Schober machte die Täter ausfindig. Die reine Analyse der Blockchain-Daten hätte indes nicht für die Identifizierung der Täter gereicht.
Vielmehr machten die einen Fehler, der Schober letztlich auf ihre Spur führte. Nachdem die Blockchain-Analyse gezeigt hatte, dass die Hacker versucht hatten, die Bitcoin in Monero, einer besonders auf Privatsphäre ausgerichteten Kryptowährung, umzutauschen, war klar, dass sie versuchen müssten, an den privaten Schlüssel zu gelangen, der mit dem öffentlichen Schlüssel für die von der Malware verwendete Adresse einherging.
Auf GitHub stellte nun ungefähr zum Zeitpunkt des Diebstahls ein Nutzer die Frage, wie man an einen solchen privaten Schlüssel gelangen könne. Im GitHub-Konto dieses Nutzers fanden sich dann Repositories für die Malware sowie für ein Programm, das den algorithmischen Handel an der Bitfinex-Börse ermöglichte. Dorthin hatten sich zwei Einzahlungen mit Schobers Bitcoins zurückverfolgen lassen. Alles zusammen gab einen soliden Verdacht ab und führte Schober schließlich zu den mutmaßlichen Dieben.
Schober versucht es im Guten
Es stellte sich heraus, dass die beiden Täter zum Zeitpunkt des Diebstahls minderjährig waren. Daher entschloss sich Schober die Eltern per E-Mail zu kontaktieren. „Es scheint, dass ihr Sohn Malware benutzt hat, um online Geld von Leuten zu stehlen“, schrieb er. Zudem hatte er angeboten, „die Sache in Ordnung zu bringen, ohne die Strafverfolgungsbehörden einzuschalten“.
Die Eltern sollten einfach für eine vollständige Rückgabe der Bitcoin sorgen, dann wäre die Angelegenheit für ihn erledigt. Eine Adresse und eine Frist lieferte Schober mit. Die kontaktierten Eltern antworteten weder auf die erste Nachricht im Jahr 2018, noch auf eine zweite 2019.
Anfang dieses Jahres holte sich Schober daher anwaltlichen Beistand und ließ Klage gegen die Täter und ihre Eltern erheben. Er vertritt darin den Standpunkt, dass sich auch die Eltern strafbar gemacht hätten, weil die Erwachsenen „wussten oder hätten wissen müssen“, dass ihre Kinder „illegale(n) Computermissbrauch und/oder Kryptowährungsdiebstahl“ betrieben. Die damaligen Kinder sind mittlerweile volljährig und sollen an einer Universität Informatik studieren.
Tat wird offenbar nicht bestritten
Eine der beklagten Mütter hat inzwischen die Abweisung der Klage beantragt. Interessanterweise bestreitet sie dabei nicht die Tat, sondern macht für drei der vier Ansprüche Verjährung geltend. Schobers Anwälte vertreten indes die Auffassung, dass die Verjährungsfrist nicht mit dem Diebstahl der Bitcoins begann, sondern erst mit dem Bekanntwerden der Identitäten der mutmaßlichen Hacker.
Der Fall zeigt die Unterschiede zwischen dem Bank- und dem Kryptosystem besonders anschaulich. So musste Schober erhebliche Summen in das Nachvollziehen der Transaktionsverläufe investieren. Und, obwohl ihm das gelungen war, hat er die gestohlenen Bitcoins noch immer nicht zurück. Über den Fall hat zuerst Brian Krebs von „Krebs on Security“ berichtet.