Scroll Top

Insider Hack

Der Vorfall

Im Dezember 2017 wurden einer Firma ~4.700 BTC von deren Wallets gestohlen.

Bei den gestohlenen Bitcoins handelte es sich um die Vermögenswerte der Kunden besagter Firma.
Diese Firma bietet im Internet eine Plattform zum Mieten von Rechenleistung für das Mining verschiedener Kryptowährungen an. Die Rechenleistung wird von deren Kunden zur Verfügung gestellt und über die Plattform an Nutzer vermietet.
Die Abwicklung der Zahlungen (Einzahlungen für das Anmieten von Rechenleistung und Auszahlungen an die Anbieter der Rechenleistung) wird hierbei von der betroffenen Firma abgewickelt.

Zum damaligen Bitcoinkurs betrug der Wert der entwendeten Bitcoins ~53.815.000,00 EUR.

Datum

Dezember 2017

Schadenssumme

~4.700 BTC / ~53.815.000 EUR

Status

offen

Wenn Sie Interesse an einer Demoversion der Analysedaten haben, nehmen Sie bitte Kontakt mit uns auf.

Die Analyse

Aufgrund der Komplexität des Falles gestaltete sich die Analyse des selbigen sehr aufwendig.
Wir verwendeten hierfür die von uns entwickelten Analysetools für die Blockchainanalyse.

Darüber hinaus umfasste unsere Analyse unter anderem folgende Recherchen:

  • Steuerdaten aus öffentlich einsehbaren Geschäftsberichten der Firma.
  • Aussagen der Firma gegenüber Ihren Kunden, bzw. der Presse (z.B. in deren Blog).
  • Recherchen über die vermutlichen Umsätze der Firma (durch Statistiken auf deren Internetseite).
  • Recherchen zur Vorgeschichte des Firmengründers (dieser wurde bereits in einem anderen Fall wegen Computerbetruges zu einer mehrjährigen Haftstrafe verurteilt).
  • Eine aufwendige Recherche zu den Rückzahlungen, welche die Firma an Ihre Kunden leistete.
  • Da es sich um einen offenen Fall handelt, werden wir hier nicht alle Details unserer Analyse veröffentlichen. Wir bitte hierfür um Ihr Verständnis.

Blockchainanalysen

Die entwendeten Bitcoins wurden unmittelbar nach dem Hack tausendfach in kleine Teilbeträge unterteilt und zwischen hunderten Bitcoinaddressen transferiert, um die Spuren der Transaktionen zu verschleiern.
Wir haben diese Transaktionen in unserer Analyse bis zu Einzahlungen auf Wallets verfolgt, welche wir eindeutig Kryptobörsen zuordnen können.
Dabei ergab sich die Tatsache, dass die entwendeten Bitcoin (bis auf wenige*) bis Ende Januar 2018 alle auf Kryptobörsen verkauft, bzw. in andere Kryptowährungen umgetauscht, wurden. Die entwendeten Bitcoin wurden wahrscheinlich zu einem großen Teil in Monero umgetauscht.
Unsere Analyse ergab für diese Börsen alle Transaktionen der gestohlenen Bitcoin, mit der genauen Transaktionskennung, der dazugehörigen Bitcoinadresse, dem exakten Zeitpunkt der Transaktion und dem Volumen der Transaktion.

* Die nicht veräußerten Bitcoin befinden sich bis zum heutigen Zeitpunkt auf Adressen, welche wir als eine vermeintliche “Falle” für FiFo Analysen einordnen.

Analyse der Rückzahlungen an die Kunden

Es hat uns schon kurz nach dem Vorfall verwundert, dass die bestohlene Firma bereits im Januar 2018 (also nur einen Monat nach dem Diebstahl) Ihren Kunden gegenüber die Aussage machte, sie würde den entstandenen Schaden vollumfänglich begleichen.
Die Einsicht in die Geschäftsberichte der Firma ergab für die Jahre vor dem Hack einen Gewinn von 77.750,00 Euro (2015), 118.384,00 Euro (2016) und 3.264.210,00 Euro (2017).
Ein Vergleich dieser Summen mit dem gesamten Wert der entwendeten Bitcoins lies uns diese Aussage noch gewagter erscheinen.

Die Rückzahlungen an die bestohlenen Kunden wurde bis zum 28. November 2019 durchgeführt und es wurden insgesamt 82 % der entwendeten Bitcoins erstattet.
Diese Rückzahlungen haben wir analysiert um die hierdurch entstandenen Kosten beurteilen zu können.
Hierfür haben wir verschiedene Berechnungsmodelle angewendet.
Bei einem Modell sind wir vom niedrigsten Bitcoinkurs zum Zeitpunkt der Rückzahlung ausgegangen, beim zweiten Modell vom höchsten Bitcoinkurs und dann noch vom Bitcoinkurs zum exakten Datum der Rückzahlung und zuletzt vom durchschnittlichen Bitcoinkurs zwischen den einzelnen Rückzahlungen.
Hierbei ergab sich ein Wert für die entstandenen Kosten der Rückzahlungen zwischen 19.536.339,00 Euro und 30.289.845,00 Euro.
Diese Werte sehen Sie in der folgenden Grafik (die Kosten für die Rückzahlungen sind blau dargestellt).

Analyse der Wallets der bestohlenen Firma

Nachdem die entwendeten Bitcoins auf Kryptobörsen verkauft, bzw. in eine anonymisierte Kryptowährung umgetauscht wurden und deren Verbleib somit nicht mehr nach zu verfolgen war, haben wir in einem nächsten Schritt die Bitcoin Wallets der bestohlenen Firma ausfindig gemacht.
Wie sie der Grafik entnehmen können stieg der Kontostand dieser Wallets bereits kurz nach dem Hack signifikant an, um dann letztendlich Mitte 2018 einen Stand zu erreichen, welchen fast der Gesamtsumme der entwendeten Bitcoin entsprach (der Kontostand der Wallets ist in gelb dargestellt).
Selbstverständlich sind hierin auch die Einzahlungen der Kunden der Firma enthalten.
Wenn man aber die Gewinne / Umsätze der Firma aus den Vorjahren berücksichtigt, erklärt das vermutlich nicht einen derartig schnellen Anstieg der Kontostände.

Das Fazit

Wir haben diesen Fall unter der Bezeichnung “Insider Hack” veröffentlicht, da wir davon ausgehen, dass es sich hierbei nicht um einen Diebstahl durch Dritte handelt.
Die Daten deuten alle darauf hin, dass der Hack vom Dezember 2017 nur vorgetäuscht wurde, um an die Vermögenswerte der eigenen Kunden zu gelangen.

Wenn Sie Interesse an der kompletten Analyse oder an einem Zugang zu unserer Demoversion hiervon haben, nehmen Sie bitte Kontakt mit uns auf.