Beanstalk ausgeraubt

182 Millionen Dollar innerhalb von 13 Sekunden – das sind die beeindruckenden Eckdaten des Raubzuges, den Hacker jüngst durchgeführt haben. Die noch junge Krypto-Bank Beanstalk wurde Opfer eines raffinierten Angriffs, der eine Lücke im System ausgenützt hat. Beanstalk gibt es erst seit wenigen Monaten, den Kern des Geschäfts bildet der Stablecoin Bean, dessen Wert in etwa auf dem Niveau eines US-Dollars gehalten werden soll. Laut FAZ bildet ein zentralisierter Fond die Basis des Bean. In diesen zahlen Nutzer Kryptowährungen als Anteile ein und geben dem Bean damit quasi Kredite. Genau hier setzten die „Diebe“ an.

Lücke im System

Warum „Diebe“? Weil die Hacker so raffiniert vorgingen, dass man genaugenommen nicht von einem Diebstahl sprechen kann. Doch der Reihe nach: Die Täter verschafften sich auf eine recht ungewöhnliche Weise Zugang zum Geld. Es ist bei dezentralen Blockchains Usus, dass die Nutzer über Änderungen am Code entscheiden, der die technische Grundlage bildet. Das Gewicht der Entscheidung der einzelnen Nutzer hängt bei Beanstalk davon ab, wie viele Beans man besitzt. Um also mehr Gewicht bei einer Entscheidung zu erlangen, muss man mehr Kryptos einzahlen und damit mehr Beans in seinen Besitz bringen.

Genau hier haben die Hacker angesetzt: Sie haben sich über Blitzkredite eine Milliarde US-Dollar in Form von Kryptowährungen geliehen und damit Beans erworben. Auf diese Weise gelangten sie an eine zwei Drittel-Mehrheit, die sie dafür nutzten, um 182 Millionen Dollar an sich selbst zu überweisen. Die FAZ rechnet damit, dass den Tätern nach Rückzahlung der Kredite eine Summe von etwa 80 Millionen US-Dollar bleiben – kein schlechter Stundenlohn, wenn man die 13 Sekunden bedenkt, die der Coup lt. The Verge nur gedauert haben soll.

Diebstahl?

Beanstalk ist nicht nur um 182 Millionen ärmer, sondern auch in einer Zwickmühle: Sie haben juristisch betrachtet wenig Handhabe gegen die Diebe, da es sich im Grunde bei der genutzten Schwachstelle nicht um eine Sicherheitslücke handelt. Den Betreibern hat es schlicht an der Weitsicht gefehlt, eine kurzfristige Übernahme vorauszusehen, wodurch die gestohlenen Kryptos wohl verloren sind und Beanstalk hilflos zurückbleibt.

Die Beanstalk-Gründer können nur an die Täter appellieren, ihre Beute zurückzugeben. Laut der FAZ bietet Beanstalk den Hackern 10 Prozent der gestohlenen Vermögenswerte als eine Art „Finderlohn“ für das Aufdecken der Schwachstelle an, wenn sie den Rest zurückzahlen. Wenn sie das nicht tun und lieber 80 statt 8 Millionen behalten, gilt für Beanstalk das, was einer der Gründer kurz nach Bekanntwerden in einer ersten Reaktion äußerte: „We are fucked.“

Ganz einfach teilen!