HOME

Ups: Hacker suchte nur Computer-Fehler - und vernichtete aus Versehen 140 Millionen Euro

Eigentlich wollte er nur nach Sicherheitslücken suchen, plötzlich hatte ein Hacker fremde Konten in seinen Besitz gebracht - völlig aus Versehen. Am Ende waren über 140 Millionen Euro futsch.

Ein man schaut entsetzt seinen Computer an und schlägt die Hände über dem Kopf zusammen

Man kennt es: Da will man kurz helfen - und schon sind 140 Millionen Euro futsch

Glaubt man den Visionären, ist digitales Geld, sogenannte Kryptowährungen, die Zukunft. Den meisten Menschen fehlt bis jetzt allerdings das Vertrauen in die Geldanlage in Bitcoin und Co. Ein aktueller Fall dürfte das noch verschärfen: Durch zwei winzige Fehler sind 140 Millionen Euro vielleicht für immer verloren.

Wie so oft fing die Geschichte mit guten Absichten an. Ein Hacker hatte einen Fehler in einem Programm entdeckt und wollte nun ausprobieren, ob man den tatsächlich missbrauchen konnte, bevor er ihn meldete. Leider handelte es sich nicht um irgendeine herkömmliche Software. Er bastelte an den digitalen Geldbörsen ("Wallet") des Anbieters Parity herum, in denen Nutzer ihr digitales Geld sichern können.

Plötzlich Millionär - ohne Absicht

Und tatsächlich: Der Hacker schaffte es, sich selbst zum Besitzer von ganzen 587 dieser Wallets zu machen. Der Inhalt: 513.774,16 Einheiten der digitalen Währung Ethereum. Bei aktuellem Preis entspricht das satten 142 Millionen Euro. Und sie sind plötzlich unter seiner Kontrolle. Bloß: Das wollte er ja gar nicht. Also machte er den Schritt schnell rückgängig. Ein großer Fehler.

Als die Entwickler wenig später eine Meldung des Fehlers durch einen Nutzer mit dem Pseudonym “devops199” erhalten, geraten sie schnell in Panik. Die erste Untersuchung zeigt: Sämtliche betroffenen Konten sind gesperrt, die Kunden kommen nicht mehr an ihr Geld.

Zwei Entscheidungen, eine Katastrophe

Anbieter Parity gibt sich selbstkritisch. In einem langen Blogpost erklärte der Anbieter am 15. November, wie es zu dem Fehler kommen konnte. Man wollte den ersten Start einer Wallet vereinfachen, die sogenannte Initialisierung, und spielte im Sommer ein entsprechendes Update ein. Weil man aber so nah wie möglich an einer unabhängig geprüften Version der Software bleiben wollte, behielt man eine Selbstzerstörungsfunktion bei, die bei Beendigung des Vertrages vom Nutzer aktiviert werden konnte. 

Im Zusammenspiel erwies sich das als fatal: Der Hacker löste, vermutlich unwissentlich, die Initialisierung aus und machte sich damit zum Besitzer der Wallets. Als er diesen Status aufhob, löste er die Selbstzerstörung aus. Und die echten Besitzer kamen nicht mehr an ihr Geld. Mit einer automatischen Initialisierung nach dem Update oder einer Entfernung der Selbstzerstörung hätte man den Vorfall wohl vermeiden können, gibt sich Parity selbstkritisch.

Ganz aufgeben will der Anbieter aber nicht. Man arbeite eng mit den Entwicklern von Ethereum zusammen, um das Geld wieder zu entsperren, heißt es in dem Blogpost. Der Anbieter setze sich zudem mit sämtlichen Betroffenen in Verbindung. Aktuell scheint es aber keine Methode zu geben, das Geld zu retten. Wie gut die Chancen dazu stehen, weiß zur Zeit wohl niemand.

Themen in diesem Artikel