Kryptowährungen: Auch auf seinen Bitcoin-Geldbeutel muss man gut aufpassen

Anbieter von Krypto-Wallets versprechen, in diesen seien Bitcoins sicher verstaut. Sind sie nicht, zeigten nun Sicherheitsforscher auf dem Kongress des Chaos Computer Clubs.

Artikel von Kai Biermann/Zeit Online veröffentlicht am
Bitcoin-Miner im italienischen Florenz
Bitcoin-Miner im italienischen Florenz (Bild: Alessandro Bianchi/Reuters)

Der Kurs von Bitcoin hat in letzter Zeit ein wenig gelitten. Das heißt aber nicht, dass Bitcoin und andere auf Blockchains basierende Währungen nicht noch immer viel Geld wert sind. Deshalb ist es nach wie vor eine gute Idee, sie möglichst sicher aufzubewahren. Dafür gibt es speziell verschlüsselte USB-Sticks, sogenannte Krypto-Wallets, elektronische Brieftaschen.

Inhalt:
  1. Kryptowährungen: Auch auf seinen Bitcoin-Geldbeutel muss man gut aufpassen
  2. Wenn die Wallet plötzlich fernsteuerbar ist

Mit denen gibt es nur ein Problem, das hat Thomas Roth zusammen mit zwei weiteren Sicherheitsforschern gerade auf dem 35. Kongress des Chaos Computer Clubs in Leipzig demonstriert: Die drei haben die gängigsten Krypto-Wallets angegriffen - und geknackt. Oder, wie Roth und seine Kollegen Josh Datko und Dmitry Nedospasov es auf einer Website über die Hacks kurz und einprägsam beschreiben: 'Poof goes your crypto ...' ("Puff, und weg ist deine Verschlüsselung/Kryptowährung ...")

Wie genau sie das geschafft haben, ist ein wenig kompliziert, denn es sind schließlich keine normalen USB-Sticks, die da für 70 bis 200 Euro als besonders sicherer Aufbewahrungsort von Bitcoin und anderen Kryptowährungen verkauft werden. Wem das Folgende zu technisch ist, sollte sich wenigstens eines merken: als Besitzer auf den entsprechenden Stick immer sehr gut aufzupassen. "Wenn du ihn aus der Hand gibst, dann ist es vorbei", sagt Nedospasov.

Die kleinen Datenspeicher werden jedoch alle mit dem Versprechen vermarktet, dass niemand Zugriff auf die Bitcoin darauf bekommt, wenn man den Speicher mal verliert. Verschlüsselung, Passwortschutz und PIN-Codes sollen das verhindern. Doch Roth, Datko und Nedospasov haben sich drei Geräte der beiden wichtigsten Hersteller Ledger und Trezor angeschaut und konnten alle drei komplett auseinandernehmen. Mehr noch, sie belegten in ihrem Vortrag auch, dass einige der Sicherheitsversprechen geradezu fahrlässig sind.

Hacker-Werkzeug Fön

Stellenmarkt
  1. System Engineer (m/w/d) Citrix ADC / NetScaler
    DATAGROUP Köln GmbH, Köln (Home-Office)
  2. CRM-Manager (m/w/d)
    Limbach Gruppe SE, Heidelberg
Detailsuche

Trezor beispielsweise verschickt seine Wallet namens Trezor One in einem Paket, das mit einem holografischen Aufkleber versiegelt ist. Der unbeschädigte Sticker soll dem Kunden zeigen, dass niemand an dem Gerät herumgespielt hat. Datko hat sich solche holografischen Siegelaufkleber via Internet preiswert bei einer Druckerei bestellt. Die verklebte Schachtel der Verpackung öffnete er mit der heißen Luft aus dem Fön seines Hotelzimmers. "Aufkleber funktionieren nicht als Sicherheitsmerkmal", sagt Datko.

Doch war das nur das Vorspiel. Der Trezor One ist der wohl am weitesten verbreitete Stick für die Speicherung von Kryptowährungen. Der Chip darauf ist aus Sicherheitsgründen so programmiert, dass sein Inhalt nicht einfach ausgelesen werden kann. So lässt er es beispielsweise nicht zu, einen sogenannten Debugger zu nutzen, ein Werkzeug zur Fehlersuche. Doch durch das Erzeugen eines Glitch im Chip, eine Art Schluckauf, konnten Roth und seine beiden Kollegen eben einen solchen Debugger anflanschen.

Für den Angriff mussten die Sicherheitsforscher Zugriff auf dem Trezor haben. Sie schlossen ihn dazu an seine normale Stromversorgung via USB an, doch während des Hochfahrens des Trezor unterbrachen sie die Stromzufuhr zum richtigen Zeitpunkt für einen winzigen Moment. Dadurch konnten sie den internen Prüfprozess des Chips überlisten und ihm eine manipulierte Version der auf dem Chip laufenden Software unterschieben. Es dauerte Wochen, den richtigen Zeitpunkt zu finden, aber dabei entdeckten die drei weitere Probleme. Letztlich gelang ihnen, was nie passieren dürfte: Sie konnten das geheime Passwort, Seed genannt, unverschlüsselt im Klartext auslesen.

Diese Angriffsmethode ist etwas kompliziert, daher bauten sie sich ein Gerät, um jeden beliebigen Trezor zu knacken. Nun müssen sie nur noch die Plastikhülle aufhebeln, den Chip aus dem Trezor herauslöten, in ihr Glitcher genanntes Hackerwerkzeug legen - dann können sie das Passwort auslesen und an die auf dem Trezor gespeicherten Bitcoin kommen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Wenn die Wallet plötzlich fernsteuerbar ist 
  1. 1
  2. 2
  3.  


matzems 01. Jan 2019

Deshalb lass ich dies auch. Ist mir alles zu suspekt. Ist ja alles nur eine riesen...

My1 01. Jan 2019

ja sicher waren das physische angriffe, aber der sinn dieser angriffe ist zu zeigen dass...

... 29. Dez 2018

Im Artikel steht klar irreführend: "Anbieter von Krypto-Wallets" Ne, es geht hier um...

neokawasaki 29. Dez 2018

https://www.ledger.fr/2018/12/28/chaos-communication-congress-in-response-to-wallet-fails...



Aktuell auf der Startseite von Golem.de
Microsoft
Das nächste große Update für Windows 10 kommt im November

Die Version 21H2 wurde wohl auch wegen Windows 11 etwas nach hinten verschoben. Der Patch soll nun aber im November für Windows 10 kommen.

Microsoft: Das nächste große Update für Windows 10 kommt im November
Artikel
  1. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

  2. Arduino und Python: Bastler nimmt Audiokassette als Speichermedium für Retro-PC
    Arduino und Python
    Bastler nimmt Audiokassette als Speichermedium für Retro-PC

    Die Kassette kann nicht nur Lieder speichern, sondern auch Bitmuster. Ein Bastler baut dafür eine Schnittstelle mit 1,5 KBit/s Datenrate.

  3. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AOC CQ32G2SE/BK 285,70€ • Dell Alienware AW2521H 360 Hz 499€ • Corsair Vengeance RGB PRO SL 64-GB-Kit 3600 253,64€ • DeepCool Castle 360EX 109,90€ • Phanteks Glacier One 240MP 105,89€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. Thermaltake Core P3 TG Snow Ed. 121,89€) [Werbung]
    •  /