Gescheiterte Kopfgeldjagd: "Unhackbare" Wallet Bitfi leugnet Hacker-Erfolg

Im Juli hatte das leitende Vorstandsmitglied des Krypto-Hardware-Wallet-Herstellers Bitfi, John McAfee, behauptet, dass Bitfi das "weltweit erste unhackbare Gerät" sei und forderte Sicherheitsexperten heraus, für eine Gewinnprämie von 100.000 US-Dollar (86.000 Euro) in das Gerät einzudringen.

Seitdem sind eine Reihe von Berichten aufgetaucht, dass Bitfi tatsächlich nicht "unhackbar" ist, welche jedoch allesamt von dem Wallet-Dienst und McAfee selbst abgewiesen wurden, was die Herausforderung eher wie einen schlechten PR-Gag wirken lässt.

Was ist Bitfi?

Im Grunde ist Bitfi ein physisches Gerät - oder eine "Hardware"-Wallet -, welches "eine unbegrenzte Menge an Kryptowährungen" unterstützt. Das Gerät kostet laut der Webseite 120 US-Dollar (etwa 103 Euro). Auch wenn keine tatsächlichen Kontaktinformationen (abgesehen von Email-Adressen) aufgeführt werden, ist die Firma laut Companies House data in London registriert. Bitfis Geschäftsführer ist der 38-jährige, amerikanische Entrepreneur Daniel Khesin.

Das Projekt wurde erstmals im Juli bekannt, als der berüchtigte Investor John McAfee - der einst versprach, seinen "eigenen Schwanz in Nationalfernsehen zu essen", wenn Bitcoins Preis bis 2020 nicht auf 500.000 US-Dollar (430.500 Euro) klettert - die Krypto-Wallet auf seinem Twitter-Konto vorstellte. Er nannte Bitfi "den45er Colt der Krypto-Welt" und das "weltweit erste unhackbare Gerät". Um seinen Standpunkt zu festigen, rief er eine Belohnung aus: 100.000 US-Dollar gehen an die erste Person, die das neue Gerät hackt. "Geld redet, Bockmist läuft" verhöhnte er eins seine Skeptiker und hob die Belohnung der Kopfgeldjagd auf 250.000 US-Dollar (215.000 Euro) an.

Bemerkenswerterweise legt Bitfi - anders als andere Hardware-Wallets - kein besonderes Augenmerk auf Private Keys, wie es auf der Webseite steht:

"Die Bitfi-Hardware-Wallet löst dieses Sicherheitsproblem ein für allemal auf die eleganteste Art und Weise - die privaten Schlüssel werden einfach nirgendwo gespeichert. Dies ist eine weitere Sicherheitsebene, die über das Aufbewahren des privaten Schlüssels außerhalb der Computerumgebung oder von Geräten mit Internetzugang hinausgeht. Selbst wenn Ihre Bitfi-Hardware-Wallet beschlagnahmt oder gestohlen wird, gibt es nichts, was jemand tun könnte, um die privaten Schlüssel zu extrahieren, weil sie nicht auf dem Gerät sind. "

Stattdessen basiert das Sicherheitssystem auf einer Nutzer-generierten Phrase - die man sich angeblich merken kann -, statt auf den üblichen 24-Wort-Mnemonic-Samens, welcher aufgeschrieben werden muss, was so angeblich zur Sicherheit der gespeicherten Assets beitragen soll. Das Bitfi-Team argumentiert, dass auf diese Weise die privaten Schlüssel gar nicht erst auf dem Gerät gespeichert werden:

"In der Bitfi-Brieftasche wird Ihr privater Schlüssel bei jeder Eingabe Ihrer Geheimphrase mit unserem Algorithmus berechnet. Sobald eine Transaktion genehmigt wurde, wird der private Schlüssel nicht irgendwo im lokalen Speicher gespeichert. Der private Schlüssel ist nicht auf dem Gerät vorhanden, bis Sie Ihre geheime Phrase erneut eingeben. Wenn Ihr Gerät gestohlen oder beschlagnahmt wird, gibt es keine Möglichkeit, auf den privaten Schlüssel zuzugreifen, da es sich nicht auf dem Gerät befindet. Ihr Geld ist so immer sicher und es gibt keinen Grund für einen Alarm oder Bedenken, falls Ihr Gerät verloren geht oder gestohlen wird."

Zu guter Letzt argumentiert Bitfi, dass das Produkt “komplett Open-Source" ist, was bedeutet, dass die Nutzer angeblich in jedem Szenario die Kontrolle über ihre Gelder behalten, solange sie sich an ihre geheime Phrase erinnern. Die Wallet bietet auch keinen Raum für "menschliche Fehler", behaupten die Erschaffer, da Updates ausnahmslos per WIFI installiert werden und der Nutzer die Software nicht manuell herunterladen kann.

Das schnelle Scheitern der Kopfgeldjagd 

Bitfis Webseite erörtert das Kopfgeld-Programm und listet eine Reihe von "Regel": Diejenigen, die teilnehmen möchten, müssen eine Bitfi-Wallet kaufen (für 120 US-Dollar), die im Voraus mit Coins aufgeladen wurde, die extra 10 US-Dollar kosten.

Das ultimative Ziel der Teilnehmer ist es, die Coins erfolgreich zu extrahieren und die Wallet zu leeren, während die Firma angeblich "jedem Teilnehmer in dieser Kopfgeld-Mission erlaubt, alle möglichen Angriffsvektoren, auch unsere Server, Nodes und Infrastrukturen zu nutzen".

"Das oben genannte [Ergebnis] ist es, was wir einen erfolgreichen Hack nennen", schreibt die Bitfi-Webseite; "nichts anderes qualifiziert sich".

McAfee kündigte die Herausforderung am 24. Juli an. Innerhalb einer Woche tauchten die ersten Hacker-Berichte auf. Am 1. August schrieb eine Krypto-Persönlichkeit von der niederländischen OverSoft-Firma (die sich auf andere Nutzer, namentlich Saleem Rashid, den 15-Jährigen, der 2017 eine Sicherheitslücke in der Ledger-Hardware-Wallet aufdeckte, und Andrew Tierney, einen Sicherheitsberater bei Pen Test Partners, bezog): "Wir haben einen Root-Zugriff, eine gepatchte Firmware und können bestätigen, dass die Bitfi-Wallet immer noch glücklich mit dem Dashboard verbunden ist." OverSoft veröffentlichte später die Bitfi-ROM-Verzeichnislisten.

Bitfi selbst antwortete nicht direkt auf OverSofts Original-Tweet. Trotzdem kündigte die Wallet bald darauf eine zweite Kopfgeldjagd an, dieses Mal mit einer moderaten Belohnung von 10.000 US-Dollar (8.600 Euro) und geänderten Regeln, behauptete jedoch weiterhin, dass die berichteten Sicherheitslücken nicht den Anforderungen der Kopfgeldjagd entsprechen und das Gerät daher nicht als gehackt gilt: "Rooting [d.h. administrativen Zugang zu dem Gerät zu erlangen] heißt nicht, dass das Gerät gehackt wurde", argumentierte das Bitfi-Team.

Später schrieb es auf Twitter, dass die Person, die den Bericht eingereicht hatte, "aufgrund von diversen frechen [und] beleidigenden Kommentaren gegenüber den smarten Forschern disqualifiziert wurde", während die Idee wiederholt wurde, dass ihr Dienst nicht "gehackt" worden war. "Unsere Gewinnprämie deckt nur einen einzigen Angriffsvektor und schließt den Zugriff der Hintertür auf das Gerät aus", antwortete Tiernay.

"Billiges, ausgeschlachtetes Android-Handy"

Pen Test Partners, welche eine Blog-Serie zu dem Hack auf Bitfi veröffentlichen, behauptete, dass Bitfi in Bezug auf seine Hardware "ein Mediatek MT6580 [...] ein Android-Handy minus einige Komponenten" sei. "Jemand wird bis Freitag Doom drauf installiert haben" kommentierte Ryan Casellucci, ein selbsternannter "Softwareentwickler und Hardware-Hacker", der das Gerät ein "billiges, ausgeschlachtetes Android-Handy" nannte In einem Beitrag zur Serie "Hacking Bitfi" veröffentlichten die Pen Test Partner ein Video, das angeblich beweisen soll, dass das Bitfi-Gerät über Speicherplatz verfügt: Die Wallet zeigt ein hochgeladenes Video von John McAfee. Die Bitfi-Webseite wiederum verweist auf ihre Wallet weiterhin als das "fortschrittlichste Gerät der Welt.”

Bitfi tat Saleem Rashids Behauptung als unwahr ab und zitierte dafür dessen Entscheidung, auf die Belohnung zu verzichten. Rashid retweetete den Kryptowährungs- und Cybersicherheitsforscher Alan Woodward, der den Hack mit Bitfi im selben Twitter-Thread diskutiert hatte.

"Es ist keine Spekulation basierend auf dem, was ich sehe", hatte Woodward geschrieben und fuhr fort:
"Und wir wollen dein Geld nicht. Spende es für wohltätige Zwecke. Wir sind besorgt, dass andere ihr Geld an ein Gerät übergeben, dass nicht auf die Art sicher ist, wie es [anscheinend] suggeriert."

"Troll-Armee": Bitfis Antwort auf die Kritik

Ungeachtet den Berichten, dass Bitfi seinen Social-Media-Verantwortlichen entlassen hat, leugnet - und bedroht sogar - seine Kritiker in den sozialen Plattformen weiter: Das Wallet-Team beispielsweise fragte Woodward als Antwort auf seine Befürchtung, dass Bitfis Affiliierte bei der Verteidigung des Gerätes angeblich Hassreden verbreiten, ob es "[ein] Foto [seines] Gesichtes mit etwas Erniedrigendem" ergänzen könne.

Am 1. August ging ein Sprecher Bitfis noch weiter und teilte dem Nachrichtendienst Hard Fork gegenüber mit, dass die neusten Kritiken über die Wallet-Sicherheit auf Twitter einer "Troll-Armee" entspringen, die von den Wallet-Konkurrenten Trezor und Ledger angeheuert wurden. Die Anschuldigungen wurden von Trezors Gründer und Geschäftsführer seitdem abgestritten. Bitfis Sprecher sagte:

"Bitte verstehen Sie, dass die Bitfi-Wallet eine große Bedrohung für Ledger und Trezor darstellt, da sie dessen Technologie überflüssig macht [...] Daher haben sie eine Armee auf Trollen angeheuert, um unseren Ruf zu ruinieren (was OK ist, da sich die Wahrheit immer durchsetzen wird).

Unterdessen vertritt Bitfis Geschäftsführer Daniel Khesin weiterhin eine skeptische Position gegenüber Rashid und forderte ihn heraus, dass Geld anzunehmen, wenn er tatsächlich in das Gerät eingedrungen sei, was den unreifen Ansatz der Firma bei der Handhabung von Kritik verdeutlicht:

"Die Person, die behauptete, das Kopfgeld geknackt zu haben, ist nicht gekommen, um es zu beweisen, und hat vor fünf Minuten getwittert, dass sie das Kopfgeld nicht einfordern wird, da es ihre Zeit nicht wert sei", sagte er gegenüber Cointelegraph.

"Heute Morgen hat er noch getweetet, dass er sich in unsere Wallet gehackt hat. Ich finde, es ist eine Schande für jedes menschliche Wesen, so etwas zu tun, aber ich lasse jeden selbst sein Urteil fällen."