Nutzerbetrug bei ALQO? Discord-User auf der Spur

Quelle: Shutterstock

Nutzerbetrug bei ALQO? Discord-User auf der Spur

Eine kleines Projekt namens ALQO soll über eine Online-Wallet widerrechtlich Gelder an sich gerissen haben. Das Entwicklerteam wiederum beschuldigt die Ankläger, sich durch einen Hack Passwörter beschafft zu haben. BTC-ECHO begibt sich auf eine Spurensuche.

Disclaimer: Die hier dargestellten Informationen wurden nach bestem Wissen und Gewissen überprüft. Dennoch können wir keine Garantie für die komplette Vollständigkeit und Richtigkeit der dargestellten Informationen geben.

Ein Großteil der Leser wird mit den Namen Bitfineon, ALQO und Liberio vermutlich wenig anfangen können. Mit aktuell 1.2 Millionen US-Dollar Marktkapitalisierung, einem Handelsvolumen von unter 20.000 US-Dollar und einer Präsenz auf nur einer Börse gehört ALQO zu den eher unbekannten Kryptowährungen. Auch Bitfineon, eine Krypto-Börse im Entwicklungsstadium, und die Online-Wallet Liberio gehören nicht zu den beliebtesten Themen.

Und doch schaffte es diese Kryptowährung, dass über sie gesprochen wurde. Leider nicht positiv. Der Vorwurf ist extrem: Das Entwicklerteam wird beschuldigt, über eine Online-Wallet Nutzern ihre Funds gestohlen zu haben. Umgekehrt wird den Anklägern, neben FUD-Vorwürfen im Geist von 2017, das Hacken von Bank-Accounts unterstellt.

Scam- und FUD-Vorwürfe sind bekanntermaßen im Krypto-Ökosystem keine Seltenheit. Dieser Fall war jedoch, egal, auf welcher Seite man steht, sehr interessant. Schließlich begründen die Ankläger ihre Vorwürfe mit Transaktionen auf verschiedenen Blockchains, mit Ausschnitten aus den Source Codes und mit (offiziell) nicht zugänglichen API-Calls. Interessierte erwartet eine spannende Tour de Force.

ALQO oder auch PIVX meets ZCash

Bei ALQO handelt es sich um eine Kryptowährung, welche auf private und instantane Transaktionen, Masternodes sowie auf Staking setzt. Neben dem Anspruch, gleich mehrere Probleme bestehender Kryptowährungen zu lösen, sind besonders letztere beiden Punkte für Krypto-Investoren interessant. Masternodes und Staking sind zwei Ansätze, von denen sich viele erhoffen, Geld im Schlaf zu verdienen. Ende 2017 warb ein Youtuber noch damit, bis zu 1.200 US-Dollar monatlich mit ALQO-Masternode-Hosting zu verdienen.

Nachdem die Kryptowährung seit dem Allzeithoch über 99 Prozent ihres Wertes verlor und damit an den Kursen steht, die ALQO vor dem Bullenmarkt hatte, wird es wohl deutlich weniger sein, was man über Masternode-Hosting verdienen kann. Zynismus beiseite gelegt, konnte sich der XLQ-Kurs durchaus manchmal als Bärenmarkt-resistent erweisen. In der Seitwärtsphase, die dem großen Kurssturz von November 2018 voranging, konnte ALQO seinen Kurs verdreifachen. Dabei handelte es sich nicht um einen kurzfristigen Pump, sondern um eine positive Kursentwicklung zwischen August und Anfang November 2018.

Bei Masternodes kommen schnell Stichworte wie Dash oder PIVX in den Kopf. Und tatsächlich: Es fällt auf, dass deren Code stark an den von PIVX erinnert. Ein Vergleich zwischen beiden Github-Repositories zeigt durchaus einige Parallelen auf:

Developer-Fee und Premine

Bevor jemand „Plagiat“ ruft: Dass sich Open-Source-Projekte an vorhandenen Codebases orientieren ist weder neu noch verwerflich. Das Projekt hat dieses Vorbild auch nie verschwiegen:

Copyright (c) 2010 Satoshi Nakamoto
Copyright (c) 2009-2014 The Bitcoin developers
Copyright (c) 2014-2015 The Dash developers Copyright (c) 2015-2017 The PIVX developers
Copyright (c) 2017-2019 The ALQO & Bitfineon developers

Obiger Code ist beispielsweise in der Datei chainparams.cpp zu finden. Was aber – neben der Nähe zum Original – noch etwas unschön auffällt ist, dass ALQO an einer Stelle eklatant von PIVX abweicht: Es gibt eine Steuer für das Entwicklerteam:

Das allein ist nun auch nicht verwerflich. Mit ZCash existiert eine prominente Kryptowährung, welche ebenfalls über eine Founders Feeverfügt. Krypto-Puristen mag eine solche Abführung von Geldern an eine zentrale Stelle aber schon eine ähnliche Red Flag sein wie ein Premine. Letzteren gab es ebenfalls bei ALQO. Mit 0,17 Prozent war er jedoch sehr gering. Reste dieses Premines sollen am 18. Februar verbrannt worden sein.

Insgesamt also eine Kryptowährung, die an manchen Stellen misstrauisch stimmen mag, aber nicht sofort unter einen Scam-Verdacht fällt. Jedenfalls nicht mehr als so manche andere Kryptowährung.

Liberio – eine Online-Wallet mit Sicherheitslücken?

Den Entwicklern hinter ALQO geht es jedoch um mehr als eine Kryptowährung: Es soll ein gesamtes Ökosystem geschaffen werden. Zu der Kryptowährung selbst soll eine Krypto-Börse namens Bitfineon geschaffen werden. Doch um diese Börse, deren Beta-Version in den nächsten Tagen live gehen soll, geht es nicht.

Kommen wir deshalb zu des Pudels Kern: Dieser heißt nicht ALQO, sondern Liberio. Dabei handelt es sich um eine Wallet, die ebenfalls aus dem Hause ALQO stammt. Als „light wallet on steroids“ beworben erfreute es sich großer Beliebtheit in der Community um die Kryptowährung. Masternode-Hosting und Staking. Aktuell funktioniert das Masternode-Hosting über Liberio nicht, Staking scheint jedoch noch zu klappen. Mit einem ROI von fast 50 Prozent wird dieses beworben.

Das fehlende Masternode Hosting ist jedoch – so die Vorwürfe – nicht das Problem. Zum einen stört, dass es sich bei der Online Wallet um keine Open-Source-Lösung handelt. Es wird zwar versprochen, dass der Quellcode veröffentlicht wird, aber bisher ist dies nicht geschehen. Ab und an werden Screenshots von der Aktivität in einem privaten Github-Account gezeigt, aber das ist auch alles. Als Begründung für dieses Verhalten wird vorgeschoben, dass andere Projekte den Quellcode übernehmen könnten.

Nun ist Liberio längst nicht die einzige intransparente Online-Wallet (warum muss ich nur gerade an Coinbase denken?). Zynisch ausgedrückt könnte man dem Liberio-Wallet unterstellen, dass sie den Spruch „Not your keys, not your money“ ernst nimmt. Private Keys sind in der Wallet sichtbar. Ebenso kann man einen bereits vorhandenen Private Key importieren. Ob es eine gute Idee ist, das online zu tun sei dahingestellt; Seiten wie MyEtherWallet benötigen ebenfalls diese Information, sollte man seine Ethereum-basierten Token darüber verwalten wollen. Dennoch ist es für eine kleine Kryptowährung eine vertane Chance, Vertrauen zu erzeugen, wenn man bei Online-Wallets kein Hohes Maß an Transparenz walten lässt.

Ein Leck im Code stimmt kritisch

Im Fall von Liberio kommt jedoch noch das Leck bezüglich des „Closed Source“-Anspruches der Wallet dazu. Ein Teil des Quellcodes hinter Liberio soll an die Öffentlichkeit gekommen sein. Auf pastebin ist zum aktuellen Zeitpunkt eine Funktion zu finden, über welche ein direkter API-Call unter Angabe eines Private Keys möglich ist. Dateien auf Pastebin sind nicht immer langlebig, deshalb hier der relevante Quellcode (mit einem Link zum Original):

Gemäß dieses Source Codes sollte es einen API-Call der folgenden Form geben:

https://liberio.app/api/addprivatekey/Dein_Private_Key

Ja, der unverschlüsselte Private Key muss in diesem API-Call angegeben werden. Die Sorge ist nun, dass man über einen derartigen Call an den Private Key, sprich das Allerheiligste einer Wallet im Krypto-Space herankommen kann.

Tatsächlich scheint etwas bei diesem API-Call zu geschehen. Aufrufen des obigen Links mit einem gültigen Private Key gibt als Antwort 10001 – wenn man eingeloggt ist. Ein ungültiger Private Key wird mit der Antwort INVALID quittiert.

Zwar hat man keinen derartigen API-Zugang, ohne eingeloggt zu sein; Versucht es ein Außenstehender, erhält er als Antwort lediglich einNot logged in. Eingeloggte Nutzer jedoch erhalten die obige Antwort – und zwar unabhängig, ob sie ihren eigenen Private Key oder einen anderen gültigen verwenden.

Beunruhigende Konsequenzen

Dies, gepaart mit der Intransparenz bei der Entwicklung, beunruhigt: Über Account-Grenzen hinweg ist können Nutzer API-Calls mit Private Keys versenden. Darüber hinaus macht es stutzig, dass in einem API-Call ein unverschlüsselter Private Key eingesetzt werden soll. Vor alle, wenn im FAQ zu Liberio steht:

Die Private Keys sind verschlüsselt und über das Masternode-Netzwerk verteilt, so dass niemand außer Ihnen darauf zugreifen kann. Es gibt keine zentrale Datenbank, die eine Sicherheitslücke darstellt.

Soweit, so undurchsichtig. Der Volksmund sagt jedoch „Wo kein Richter, da kein Henker“. Hätte es laut der Anklagenden Parteien keine Probleme mit der Liberio-Wallet gegeben, wäre diese zwar weiterhin intransparent und der API-Call verwunderlich, aber niemand hätte sich beschwert.

Das Problem war, dass sich Nutzer beschwerten.

Geldverlust über Liberio – Blockchains vergessen nicht

Anfang des Jahres ging es los: Verschiedene Nutzer begannen sich zu beschweren, dass aus ihren Liberio-Wallets Geld verschwand. Schnell kamen Vorwürfe bezüglich Sicherheitslücken, bezüglich Hacks und sogar bezüglich eines Inside-Jobs seitens des Projektteams. Das Projektteam betont, dass nur jene, die Account nicht mit einer Zwei-Faktor-Authentifizierung sicherten, Opfer eines Krypto-Diebstahls wurden. Mit obigem Wissen über die API-Calls mit unverschlüsseltem Private Key sehen manche Leute das anders.

Eine These ist, dass es das Werk der Köpfe hinter ALQO selbst sei. Als Begründung verweisen die Ankläger nicht nur auf die oben angesprochenen Kontroversen um Liberio, sondern auf Spuren auf verschiedenen Blockchains. Basierend auf der Analyse der Transaktionen auf der ALQO-Blockchain, der Bitshares-Blockchain und der Blockchains von Bitcoin und Ethereum konnte man Parallelen zwischen den Transaktionswegen der Hacker und der Developer aufzeigen. Die Grundthese ist dabei folgende:

  • Hacker haben die Funds von Liberio-Wallets abgezogen
  • Über Cryptobridge (die einzige Exchange, die ALQO akzeptiert) haben sie das Geld in Bitcoin, Ethereum und teilweise Bitcoin Cash umgewandelt
  • Schließlich schoben die Hacker das Geld auf Kraken, wo sich die Spur verliert.

Gelder von Hackern und Developern hatten selbes Ziel?

Jetzt wird es spannend: Die über Github verfügbaren Quellcodes, geben, wie oben schon erwähnt, die Wallet-Adresse der Developer preis. Über Balance Analysis, das heißt der Analyse der Transaktionen auf verschiedenen Blockchains konnte man bestätigen, dass Gelder von einer Hacker-Adresse und von der Developer-Adresse an dieselbe Hot Wallet von Kraken gingen.

Vereinfacht sieht das vorgeschlagene Modell wie folgt aus:

Im obigen Bild wurde nur ein Teil der Transaktionen dargestellt. Außerdem wurden zur besseren Übersicht nur die ersten fünf Zeichen der relevanten Adressen dargestellt. Wer die Transaktionswege selber überprüfen möchte, sei auf die vollständige Analyse verwiesen.

Der Vorwurf lautet also: Eine Online-Wallet, deren Code Base nicht undurchsichtig ist, besitzt nachweislich einen API-Call, der mit einem unverschlüsselten Private Key funktioniert – und das unabhängig davon, ob die eingeloggte Person Nutzungsrechte über diesen Private Key hätte oder nicht. Das deutet allein schon auf eine Sicherheitslücke hinsichtlich der Private Keys hin. Da zusätzlich die Hacker und die Developer auf dieselbe Weise ihre Funds veräußern, kommen die Ankläger zu dem Schluss, dass es sich bei dem Hack um einen Inside-Job handelt.

Zensur, FUD und Hack-Vorwürfe: Die Position von ALQO

Wie reagierten Developer und Community? Seitens der Community kommt inflationär der FUD-Vorwurf. Der Ankläger wolle doch mit derartigen Negativbotschaften nur den Preis manipulieren, um später billig ALQO-Token zu kaufen. Der Gedankengang ist beim aktuellen Bärenmarkt nicht ganz nachvollziehbar. Die Kursmanipulation über News, wie man sie 2017 noch im Extrem mitbekam, ist weitestgehend passé.

Auch die Ankläger-Seite kann sich jedoch nicht frei von Schuld sprechen. Nicht nur FUD-Vorwürfe stehen im Raum, einem der Hauptredner seitens der Anklageseite wird seinerseits Hacking vorgeworfen. Die Verteidigung, dass diese Informationen öffentlich über einen pastebin-Link verfügbar waren ändert nichts daran, dass man ihm die Nutzung unlauterer Methoden vorwerfen kann. An der oben dargelegten Balance Analysis ändert das jedoch nichts.

Das Entwickler-Team jedenfalls hat mehrfach sowohl einen Hack als auch eine Sicherheitslücke bei Liberio bestritten. Leider bisher ohne wirkliche Argumente. Ohnehin fällt auf, dass die Kommunikationskultur im ALQO-Ökosystem optimiert werden könnte: Im Discord können Interessierte nur mitdiskutieren, wenn sie zuvor ihre Handynummer bestätigen. Passend dazu wütete auf Reddit der Rotstift:

Das, gepaart mit einem intransparenten Entwicklerteam und der Closed-Source-Politik hinsichtlich Liberio, sind Anzeichen, dass die Kommunikation des Entwicklerteams besser werden kann.

Die Lektion für Anleger und Projekte: Don’t trust, verify

Die Zeit wird zeigen, ob es sich bei der Causa Liberio um einen Inside Job handelt. Einige Indizien deuten darauf hin, aber dabei handelt es sich zunächst lediglich um Indizien, keine endgültigen Beweise. Was man jedoch konstatieren muss ist, dass die Kommunikationsstrategie des Software-Projekts förmlich dazu einlud, dass solche Gerüchte entstehen konnten. Den Code von Online Wallets sollte man, allein schon um das Wissen der Community für sich arbeiten zu lassen, offenlegen. MyEtherWallet, was oben zitiert wurde, macht genau das. Wir werden die Sache weiterverfolgen um zu sehen, wie sich die Causa Liberio weiterentwickelt.

Von dem Ausgang dieses Krimis auf der Blockchain abgesehen ist dies ein Musterbeispiel für Floskeln wie „don’t trust, verify“ und #DYOR. Man lernt viel über die Transparenz von Blockchains, von Balance Analysis und von der Analyse von Quellcodes.

Schließlich ist es eine Lektion in Schwarmintelligenz: Auf diese Vorwürfe stießen wir über den Discord-Server von BTC-ECHO. In den verschiedenen Channels, in dem Fall im #scam-Channel sowie in einer persönlichen Benachrichtigung haben Mitglieder des Discords uns nicht nur auf dieses Thema gebracht, sondern standen für Fragen zur Verfügung. Deshalb an der Stelle einen großen Dank an die Community, die uns bei solchen tiefgreifenden Artikeln hilft.

Aufgepasst: Der Kryptokompass ist das erste digitale Magazin für digitale Währungen und Blockchain-Assets. Er liefert dir monatlich exklusive Einschätzungen, spannende Insights und umfassende Analysen zur aktuellen Lage an den Blockchain- & Krypto-Märkten. Nur jetzt und nur solange der Vorrat reicht: Im Monatsabo inkl. GRATIS Bitcoin Whitepaper (Deutsche Fassung gedruckt)

 

Mehr zum Thema:

Ähnliche Artikel

Bitcoin-Gerüchteküche: Justin Sun in China angeklagt
Bitcoin-Gerüchteküche: Justin Sun in China angeklagt
Szene

Neues aus der Bitcoin-Gerüchteküche. Gegen Justin Sun soll aktuell ermittelt werden. Die Gerüchte kamen auf, als der Gründer und Vorsitzende der Kryptowährung TRON sein Krypto-Dinner mit Warren Buffet und „Größen“ aus dem Bitcoin-Ökosystem abgesagt hat.

WEX: Ex-CEO von Bitcoin-Börse festgenommen
WEX: Ex-CEO von Bitcoin-Börse festgenommen
Szene

In dieser Akte stecken eine Menge Fragezeichen. Im Fall um Alexander Vinnik und btc-e.com ist nach über zwei Jahren zwar noch lange kein Ende in Sicht. Nun wurde außerdem der mutmaßliche Nachfolger Vinniks, Dmitry Vasiliev, in Italien gefasst. Unklar ist, ob er die Börse überhaupt übernommen hat. Die zuständigen Behörden halten sich (noch) bedeckt.

Newsletter

Die aktuellsten News kostenlos per E-Mail

Aktuell

Steve Wozniak: Apple-Mitgründer will nach Malta
Steve Wozniak: Apple-Mitgründer will nach Malta
Tech

Der Apple-Mitgründer Steve Wozniak gab bei einer Podiumsdiskussion seine Zukunftspläne bekannt. Was ihn bewegt, nach Malta zu gehen und welche Unternehmensidee er unterstützen will.

Datenleak bei Bitcoin-Börse QuickBit enthüllt Kundendaten
Datenleak bei Bitcoin-Börse QuickBit enthüllt Kundendaten
Sicherheit

Die Bitcoin-Börse QuickBit hat versehentlich große Datenmengen geleakt. Über Tage kursierten sensible Kundendaten ohne Firewall für jedermann einsehbar im Internet. QuickBit-Kunden wird geraten, ihr Passwort zu ändern.

Deutsche Bundesbank sieht Bitcoin als „spekulatives Nischenprodukt“
Deutsche Bundesbank sieht Bitcoin als „spekulatives Nischenprodukt“
Unternehmen

Für die Deutsche Bundesbank hat das Kursgebaren von Bitcoin & Co. in den letzten Jahren vor allem eines gezeigt: Dass Kryptowährungen weder als Zahlungsmittel noch als Wertspeicher taugen. Anders blickt die Zentralbank auf das Potenzial von Stable Coins. Gegenüber dem Facebook-Coin Libra nimmt die Bundesbank eine argwöhnisch-abwartende Haltung ein.

Trading-App Robinhood sammelt 323 Millionen US-Dollar ein
Trading-App Robinhood sammelt 323 Millionen US-Dollar ein
Invest

Die Trading-Plattform Robinhood sammelt in einer Series-E-Funding-Runde 323 Millionen US-Dollar ein. Damit ist das Unternehmen mit 7,6 Milliarden US-Dollar bewertet. Das Geld soll auch in den Ausbau der Krypto-Sparte fließen, diese ist jetzt bereits in 30 US-Bundesstaaten verfügbar.

Angesagt

Bitcoin-Gerüchteküche: Justin Sun in China angeklagt
Szene

Neues aus der Bitcoin-Gerüchteküche. Gegen Justin Sun soll aktuell ermittelt werden. Die Gerüchte kamen auf, als der Gründer und Vorsitzende der Kryptowährung TRON sein Krypto-Dinner mit Warren Buffet und „Größen“ aus dem Bitcoin-Ökosystem abgesagt hat.

Bitcoin-Börse BitFinex und Tether ziehen sich aus der Verantwortung
Krypto

Der Gerichtsprozess rund um die in Verruf geratene Bitcoin-Börse BitFinex und den Stable-Coin-Anbieter Tether geht in eine neue Runde. Nun sagt einer der Anwälte der Firmen, dass weder BitFinex noch Tether Kunden in den USA betreuen würden.

BaFin genehmigt ersten Immobilien-Token
STO

Die BaFin genehmigt das erste deutsche Security Token Offering (STO) für blockchainbasiertes Immobilieninvestment und das zweite deutsche STO überhaupt. Damit gibt die Bundesanstalt für Finanzdienstleistungsaufsicht den Startschuss für digitale Wertpapiere im Real-Estate-Bereich. Ein neues Anlagevehikel?

WEX: Ex-CEO von Bitcoin-Börse festgenommen
Szene

In dieser Akte stecken eine Menge Fragezeichen. Im Fall um Alexander Vinnik und btc-e.com ist nach über zwei Jahren zwar noch lange kein Ende in Sicht. Nun wurde außerdem der mutmaßliche Nachfolger Vinniks, Dmitry Vasiliev, in Italien gefasst. Unklar ist, ob er die Börse überhaupt übernommen hat. Die zuständigen Behörden halten sich (noch) bedeckt.

Warte mal kurz ... !

Kennst du schon unseren Newsletter? Wir versorgen dich kostenlos mit den spannendsten News der Krypto- und Blockchainszene: