Fintech News StartUp Tech Wirtschaft

Nutzerbetrug bei ALQO? Discord-User auf der Spur

Disclaimer: Die hier dargestellten Informationen wurden nach bestem Wissen und Gewissen überprüft. Dennoch können wir keine Garantie für die komplette Vollständigkeit und Richtigkeit der dargestellten Informationen geben.

Ein Großteil der Leser wird mit den Namen Bitfineon, ALQO und Liberio vermutlich wenig anfangen können. Mit aktuell 1.2 Millionen US-Dollar Marktkapitalisierung, einem Handelsvolumen von unter 20.000 US-Dollar und einer Präsenz auf nur einer Börse gehört ALQO zu den eher unbekannten Kryptowährungen. Auch Bitfineon, eine Krypto-Börse im Entwicklungsstadium, und die Online-Wallet Liberio gehören nicht zu den beliebtesten Themen.

Und doch schaffte es diese Kryptowährung, dass über sie gesprochen wurde. Leider nicht positiv. Der Vorwurf ist extrem: Das Entwicklerteam wird beschuldigt, über eine Online-Wallet Nutzern ihre Funds gestohlen zu haben. Umgekehrt wird den Anklägern, neben FUD-Vorwürfen im Geist von 2017, das Hacken von Bank-Accounts unterstellt.

Scam- und FUD-Vorwürfe sind bekanntermaßen im Krypto-Ökosystem keine Seltenheit. Dieser Fall war jedoch, egal, auf welcher Seite man steht, sehr interessant. Schließlich begründen die Ankläger ihre Vorwürfe mit Transaktionen auf verschiedenen Blockchains, mit Ausschnitten aus den Source Codes und mit (offiziell) nicht zugänglichen API-Calls. Interessierte erwartet eine spannende Tour de Force.

ALQO oder auch PIVX meets ZCash

Bei ALQO handelt es sich um eine Kryptowährung, welche auf private und instantane Transaktionen, Masternodes sowie auf Staking setzt. Neben dem Anspruch, gleich mehrere Probleme bestehender Kryptowährungen zu lösen, sind besonders letztere beiden Punkte für Krypto-Investoren interessant. Masternodes und Staking sind zwei Ansätze, von denen sich viele erhoffen, Geld im Schlaf zu verdienen. Ende 2017 warb ein Youtuber noch damit, bis zu 1.200 US-Dollar monatlich mit ALQO-Masternode-Hosting zu verdienen.

Nachdem die Kryptowährung seit dem Allzeithoch über 99 Prozent ihres Wertes verlor und damit an den Kursen steht, die ALQO vor dem Bullenmarkt hatte, wird es wohl deutlich weniger sein, was man über Masternode-Hosting verdienen kann. Zynismus beiseite gelegt, konnte sich der XLQ-Kurs durchaus manchmal als Bärenmarkt-resistent erweisen. In der Seitwärtsphase, die dem großen Kurssturz von November 2018 voranging, konnte ALQO seinen Kurs verdreifachen. Dabei handelte es sich nicht um einen kurzfristigen Pump, sondern um eine positive Kursentwicklung zwischen August und Anfang November 2018.

Bei Masternodes kommen schnell Stichworte wie Dash oder PIVX in den Kopf. Und tatsächlich: Es fällt auf, dass deren Code stark an den von PIVX erinnert. Ein Vergleich zwischen beiden Github-Repositories zeigt durchaus einige Parallelen auf:

Developer-Fee und Premine

Bevor jemand „Plagiat“ ruft: Dass sich Open-Source-Projekte an vorhandenen Codebases orientieren ist weder neu noch verwerflich. Das Projekt hat dieses Vorbild auch nie verschwiegen:

Copyright (c) 2010 Satoshi Nakamoto
Copyright (c) 2009-2014 The Bitcoin developers
Copyright (c) 2014-2015 The Dash developers Copyright (c) 2015-2017 The PIVX developers
Copyright (c) 2017-2019 The ALQO & Bitfineon developers

Obiger Code ist beispielsweise in der Datei chainparams.cpp zu finden. Was aber – neben der Nähe zum Original – noch etwas unschön auffällt ist, dass ALQO an einer Stelle eklatant von PIVX abweicht: Es gibt eine Steuer für das Entwicklerteam:

Das allein ist nun auch nicht verwerflich. Mit ZCash existiert eine prominente Kryptowährung, welche ebenfalls über eine Founders Feeverfügt. Krypto-Puristen mag eine solche Abführung von Geldern an eine zentrale Stelle aber schon eine ähnliche Red Flag sein wie ein Premine. Letzteren gab es ebenfalls bei ALQO. Mit 0,17 Prozent war er jedoch sehr gering. Reste dieses Premines sollen am 18. Februar verbrannt worden sein.

Insgesamt also eine Kryptowährung, die an manchen Stellen misstrauisch stimmen mag, aber nicht sofort unter einen Scam-Verdacht fällt. Jedenfalls nicht mehr als so manche andere Kryptowährung.

Liberio – eine Online-Wallet mit Sicherheitslücken?

Den Entwicklern hinter ALQO geht es jedoch um mehr als eine Kryptowährung: Es soll ein gesamtes Ökosystem geschaffen werden. Zu der Kryptowährung selbst soll eine Krypto-Börse namens Bitfineon geschaffen werden. Doch um diese Börse, deren Beta-Version in den nächsten Tagen live gehen soll, geht es nicht.

Kommen wir deshalb zu des Pudels Kern: Dieser heißt nicht ALQO, sondern Liberio. Dabei handelt es sich um eine Wallet, die ebenfalls aus dem Hause ALQO stammt. Als „light wallet on steroids“ beworben erfreute es sich großer Beliebtheit in der Community um die Kryptowährung. Masternode-Hosting und Staking. Aktuell funktioniert das Masternode-Hosting über Liberio nicht, Staking scheint jedoch noch zu klappen. Mit einem ROI von fast 50 Prozent wird dieses beworben.

Das fehlende Masternode Hosting ist jedoch – so die Vorwürfe – nicht das Problem. Zum einen stört, dass es sich bei der Online Wallet um keine Open-Source-Lösung handelt. Es wird zwar versprochen, dass der Quellcode veröffentlicht wird, aber bisher ist dies nicht geschehen. Ab und an werden Screenshots von der Aktivität in einem privaten Github-Account gezeigt, aber das ist auch alles. Als Begründung für dieses Verhalten wird vorgeschoben, dass andere Projekte den Quellcode übernehmen könnten.

Nun ist Liberio längst nicht die einzige intransparente Online-Wallet (warum muss ich nur gerade an Coinbase denken?). Zynisch ausgedrückt könnte man dem Liberio-Wallet unterstellen, dass es den Spruch „Not your keys, not your money“ ernst nimmt. Private Keys sind in der Wallet sichtbar. Ebenso kann man einen schon vorhandenen Private Key importieren. Ob es eine gute Idee ist, das online zu tun sei dahingestellt; Seiten wie MyEtherWallet benötigen ebenfalls diese Information, sollte man seine Ethereum-basierten Token darüber verwalten wollen. Dennoch ist es für eine kleine Kryptowährung eine vertane Chance, Trust zu erzeugen, wenn man bei Online-Wallets kein Hohes Maß an Transparenz walten lässt.

Ein Leck im Code stimmt kritisch

Im Fall von Liberio kommt jedoch noch Leck bezüglich des „Closed Source“-Anspruches der Wallet dazu. Ein Teil des Quellcodes hinter Liberio soll an die Öffentlichkeit gekommen sein. Auf pastebin ist zum aktuellen Zeitpunkt eine Funktion zu finden, über welche ein direkter API-Call unter Angabe eines Private Keys möglich ist. Dateien auf Pastebin sind nicht immer langlebig, deshalb hier der relevante Quellcode (mit einem Link zum Original):

Gemäß dieses Source Codes sollte es einen API-Call der folgenden Form geben:

https://liberio.app/api/addprivatekey/Dein_Private_Key

Ja, der unverschlüsselte Private Key muss in diesem API-Call angegeben werden. Die Sorge ist nun, dass man über einen derartigen Call an den Private Key, sprich das Allerheiligste einer Wallet im Kryptospace herankommen kann.

Tatsächlich scheint etwas bei diesem API-Call zu geschehen. Aufrufen des obigen Links mit einem gültigen Private Key gibt als Antwort 10001 – wenn man eingeloggt ist. Ein ungültiger Private Key wird mit der Antwort INVALID quittiert.

Zwar hat man keinen derartigen API-Zugang ohne eingeloggt zu sein. Versucht es ein Außenstehender, erhält er als Antwort lediglich einNot logged in. Eingeloggte Nutzer jedoch erhalten die obige Antwort – und zwar unabhängig, ob sie ihren eigenen Private Key oder einen anderen gültigen verwenden.

Dies, gepaart mit der Intransparenz bei der Entwicklung, beunruhigt: Über Account-Grenzen hinweg ist können Nutzer API-Calls mit Private Keys versenden. Darüber hinaus macht es stutzig, dass in einem API-Call ein unverschlüsselter Private Key eingesetzt werden soll. Vor alle, wenn im FAQ zu Liberio steht:

Die Private Keys sind verschlüsselt und über das Masternode-Netzwerk verteilt, so dass niemand außer Ihnen darauf zugreifen kann. Es gibt keine zentrale Datenbank, die eine Sicherheitslücke darstellt.

Soweit, so undurchsichtig. Der Volksmund sagt jedoch „Wo kein Richter, da kein Henker“. Hätte es laut der Anklagenden Parteien keine Probleme mit der Liberio-Wallet gegeben, wäre diese zwar weiterhin intransparent und der API-Call verwunderlich, aber niemand hätte sich beschwert.

Das Problem war, dass sich Nutzer beschwerten.

Geldverlust über Liberio – Blockchains vergessen nicht

Anfang des Jahres ging es los: Verschiedene Nutzer begannen sich zu beschweren, dass aus ihren Liberio-Wallets Geld verschwand. Schnell kamen Vorwürfe bezüglich Sicherheitslücken, bezüglich Hacks und sogar bezüglich eines Inside-Jobs seitens des Projektteams. Das Projektteam betont, dass nur jene, die Account nicht mit einer Zwei-Faktor-Authentifizierung sicherten, Opfer eines Krypto-Diebstahls wurden. Mit obigem Wissen über die API-Calls mit unverschlüsseltem Private Key sehen manche Leute das anders.

Eine These ist, dass es das Werk der Köpfe hinter ALQO selbst sei. Als Begründung verweisen die Ankläger nicht nur auf die oben angesprochenen Kontroversen um Liberio, sondern auf Spuren auf verschiedenen Blockchains. Basierend auf der Analyse der Transaktionen auf der ALQO-Blockchain, der Bitshares-Blockchain und der Blockchains von Bitcoin und Ethereum konnte man Parallelen zwischen den Transaktionswegen der Hacker und der Developer aufzeigen. Die Grundthese ist dabei folgende:

  • Hacker haben die Funds von Liberio-Wallets abgezogen
  • Über Cryptobridge (die einzige Exchange, die ALQO akzeptiert) haben sie das Geld in Bitcoin, Ethereum und teilweise Bitcoin Cash umgewandelt
  • Schließlich schoben die Hacker das Geld auf Kraken, wo sich die Spur verliert.

Gelder von Hackern und Developern hatten selbes Ziel?

Jetzt wird es spannend: Die über Github verfügbaren Quellcodes, geben, wie oben schon erwähnt, die Wallet-Adresse der Developer preis. Über Balance Analysis, das heißt der Analyse der Transaktionen auf verschiedenen Blockchains konnte man bestätigen, dass Gelder von einer Hacker-Adresse und von der Developer-Adresse an dieselbe Hot Wallet von Kraken gingen.

Vereinfacht sieht das vorgeschlagene Modell wie folgt aus:

Im obigen Bild wurde nur ein Teil der Transaktionen dargestellt. Außerdem wurden zur besseren Übersicht nur die ersten fünf Zeichen der relevanten Adressen dargestellt. Wer die Transaktionswege selber überprüfen möchte, sei auf die vollständige Analyse verwiesen.

Der Vorwurf lautet also: Eine Online-Wallet, deren Code Base nicht undurchsichtig ist, besitzt nachweislich einen API-Call, der mit einem unverschlüsselten Private Key funktioniert – und das unabhängig davon, ob die eingeloggte Person Nutzungsrechte über diesen Private Key hätte oder nicht. Das deutet allein schon auf eine Sicherheitslücke hinsichtlich der Private Keys hin. Da zusätzlich die Hacker und die Developer auf dieselbe Weise ihre Funds veräußern, kommen die Ankläger zu dem Schluss, dass es sich bei dem Hack um einen Inside-Job handelt.

Zensur, FUD und Hack-Vorwürfe: Die Position von ALQO

Wie reagierten Developer und Community? Seitens der Community kommt inflationär der FUD-Vorwurf. Der Ankläger wolle doch mit derartigen Negativbotschaften nur den Preis manipulieren, um später billig ALQO-Token zu kaufen. Der Gedankengang ist beim aktuellen Bärenmarkt nicht ganz nachvollziehbar. Die Kursmanipulation über News, wie man sie 2017 noch im Extrem mitbekam, ist weitestgehend passé.

Auch die Ankläger-Seite kann sich jedoch nicht frei von Schuld sprechen. Nicht nur FUD-Vorwürfe stehen im Raum, einem der Hauptredner seitens der Anklageseite wird seinerseits Hacking vorgeworfen. Die Verteidigung, dass diese Informationen öffentlich über einen pastebin-Link verfügbar waren ändert nichts daran, dass man ihm die Nutzung unlauterer Methoden vorwerfen kann. An der oben dargelegten Balance Analysis ändert das jedoch nichts.

Das Entwickler-Team jedenfalls hat mehrfach sowohl einen Hack als auch eine Sicherheitslücke bei Liberio bestritten. Leider bisher ohne wirkliche Argumente. Ohnehin fällt auf, dass die Kommunikationskultur im ALQO-Ökosystem optimiert werden könnte: Im Discord können Interessierte nur mitdiskutieren, wenn sie zuvor ihre Handynummer bestätigen. Passend dazu wütete auf Reddit der Rotstift:

Das, gepaart mit einem intransparenten Entwicklerteam und der Closed-Source-Politik hinsichtlich Liberio, sind Anzeichen, dass die Kommunikation des Entwicklerteams besser werden kann.

Die Lektion für Anleger und Projekte: Don’t trust, verify

Die Zeit wird zeigen, ob es sich bei der Causa Liberio um einen Inside Job handelt. Einige Indizien deuten darauf hin, aber dabei handelt es sich zunächst lediglich um Indizien, keine endgültigen Beweise. Was man jedoch konstatieren muss ist, dass die Kommunikationsstrategie des Software-Projekts förmlich dazu einlud, dass solche Gerüchte entstehen konnten. Den Code von Online Wallets sollte man, allein schon um das Wissen der Community für sich arbeiten zu lassen, offenlegen. MyEtherWallet, was oben zitiert wurde, macht genau das. Wir werden die Sache weiterverfolgen um zu sehen, wie sich die Causa Liberio weiterentwickelt.

Von dem Ausgang dieses Krimis auf der Blockchain abgesehen ist dies ein Musterbeispiel für Floskeln wie „don’t trust, verify“ und #DYOR. Man lernt viel über die Transparenz von Blockchains, von Balance Analysis und von der Analyse von Quellcodes.

Schließlich ist es eine Lektion in Schwarmintelligenz: Auf diese Vorwürfe stießen wir über den Discord-Server von BTC-ECHO. In den verschiedenen Channels, in dem Fall im #scam-Channel sowie in einer persönlichen Benachrichtigung haben Mitglieder des Discords uns nicht nur auf dieses Thema gebracht, sondern standen für Fragen zur Verfügung. Deshalb an der Stelle einen großen Dank an die Community, die uns bei solchen tiefgreifenden Artikeln hilft.

Du bist ein Blockchain- oder Krypto-Investor?: Der digitale Kryptokompass ist der erste Börsenbrief für digitale Währungen und liefert dir monatlich exklusive Einschätzungen und umfassende Analysen zur aktuellen Lage an den Blockchain- & Krypto-Märkten. Jetzt kostenlos testen

Leave a Reply

Your email address will not be published. Required fields are marked *