bitcoin
© dpa, Jens KalaeneDie auf der Handelsplattform Mt. Gox fehlenden Bitcoins sind nach Ansicht der Zürcher Informatiker nicht über die bekannte Lücke abgegriffen worden.
850.000 Bitcoins will die insolvente Bitcoin-Börse Mt. Gox wegen einer Lücke im Bitcoinsystem verloren haben. Zwei Forscher aus der Schweiz stellen das in Zweifel: Mit dem genannten Problem dürften es nur 386 Bitcoins sein.

Experten bezweifeln, dass die insolvente Bitcoin-Börse Mt. Gox tatsächlich durch Ausnutzung einer Lücke in Bitcoinsystem um 850.000 Bitcoins erleichtert wurde. Sollten Angreifer tatsächlich die sogenannte Transaction Malleability ausgenutzt haben, könne sich der Verlust gerade einmal auf 386 Bitcoins belaufen, lautet das Ergebnis einer Analyse von zwei Informatikern der Distributed Computing Group (DCG) der ETH Zürich.

Die seit 2011 bekannte Transaction Malleability erlaubt es Angreifern, innerhalb eines Zeitfensters die Transaktions-ID einer Zahlung zu manipulieren und den Eindruck zu erwecken, die Überweisung habe nie stattgefunden. Ein Schaden entsteht dabei aber erst, wenn man etwa eine offenbar technisch wie buchhalterisch schlecht aufgestellte Börse wie Mt. Gox damit überzeugen kann, erfolgte Bitcoin-Abbuchungen nochmals anzuweisen, und dann auf dem Weg Stück für Stück die Börse leerräumt.

Die Forscher Christian Decker und Roger Wattenhofer haben für ihre Analyse selbst programmierte Nodes am dezentralen Bitcoin-Netzwerk teilnehmen und von Januar 2013 an Informationen über die dort verarbeiteten Transaktionen sammeln lassen. Dabei konnten sie in dem Zeitraum Manipulationsversuche bei Transaktion in einem Gesamtwert von rund 302.000 Bitcoins feststellen. Davon fand aber ein Großteil zu einem Zeitpunkt statt, als Mt. Gox Anfang Februar längst die Abhebungsmöglichkeit für Bitcoins gesperrt und in Pressemitteilungen die Transaction Malleability als Ursache der Probleme benannt hatte.

Verlustobergrenze von unter 400 Bitcoins

Im Zeitraum davor waren es lediglich Manipulationsversuche, die einen Wert von rund 1800 Bitcoins hätten betreffen können. Und da nur ungefähr jeder fünfte Manipulationsversuch erfolgreich ist, haben Decker und Wattenhofer einen Wert von unter 400 Bitcoins errechnet, der der Börse verloren gegangen sein kann. „Wir haben immer eine obere Grenze für die fehlenden Bitcoins errechnet,“ erklärte Autor Christian Decker gegenüber heise online. „Sollte Mt. Gox eine Liste der Auszahlungs-Transaktionen freigeben, so könnte man diese gegen die von uns gefundenen Angriffe checken und somit genau errechnen was der Verlust von Mt. Gox ist. Allerdings sind diese Daten momentan nicht verfügbar - und sie könnten den Anteil von Mt. Gox auch lediglich schmälern.“

Das Paper hat Decker zufolge noch kein Peer Review durchlaufen. Da dies relativ lange dauern könne und die Erkenntnisse von allgemeinem Interesse seien, habe man sich für eine schnelle Publikation entschieden, erklärte er. Sollten Decker und Wattenhofer richtig liegen, wirft das natürlich erhebliche Fragen zu den Aussagen von Mt.-Gox-Chef Mark Karpeles auf.

Insolvenzverfahren, Klagen und Betrugsvorwürfe

Mt. Gox hatte nach monatelangen Problemen mit Abhebungen schließlich alle Bitcoin-Abhebungen eingefroren, dann den Betrieb eingestellt und erst in Japan und darauf folgend auch in den USA Insolvenz angemeldet. Zunächst hieß es, dass 850.000 Bitcoins, darunter 100.000 eigene an Angreifer verloren gegangen sein. Wenig später präsentierte die Börse 200.000 Bitcoins, die überraschend auf einer „alten Wallet“ gefunden wurden.

Wilde Spekulationen über den Verbleib der Bitcoins und Betrugsvorwürfe werden seitdem immer wieder laut. Klagen gegen Mark Karpeles und das Firmenkonstrukt hinter der Börse werden ebenfalls angestrengt. Letzter Stand des Insolvenzverfahrens ist, dass Mt. Gox Unterlagen und Daten für Ermittlungen zum Bitcoinverlust an die Polizei in Tokio übergeben hat. Ebenfalls soll laut Mitteilung vom Donnerstag die Frist für Prüfung des Insolvenzverfahrens auf den 9. Mai verlängert werden.