Wenn Sicherheit versagt: Bitcoin-Diebstahl und DeFi-Verluste legen menschliche Schwachstellen offen

Wenn Sicherheit versagt: Bitcoin-Diebstahl und DeFi-Verluste legen menschliche Schwachstellen offen

Das Versprechen von Bitcoin beruht stets auf einem grundlegenden Prinzip: Selbstbestimmung. Eigene Schlüssel verwahren, das eigene Vermögen kontrollieren, keiner Bank und keiner Regierung Rechenschaft schulden. Doch zwei jüngste Vorfälle – ein zutiefst persönlicher mutmaßlicher Verrat im Wert von 176 Millionen Dollar und ein katastrophaler Handelsfehler, der in Sekunden 50 Millionen Dollar vernichtete – erinnern uns daran, dass das schwächste Glied in jedem Sicherheitsmodell fast immer der Mensch ist, der es bedient. Diese Fälle sind nicht bloß warnende Beispiele. Sie sind eine eindringliche Mahnung darüber, was es wirklich bedeutet, seine eigene Bank zu sein.

Zusammengenommen verdeutlichen sie eine umfassendere und unbequeme Wahrheit: Je weiter Bitcoins Wert gestiegen ist, desto höher sind auch die Konsequenzen von Sicherheitsfehlern – ob durch kriminelle Absicht, fehl am Platz gesetztes Vertrauen oder schlichte Fahrlässigkeit am Bestätigungsbildschirm.

Die Fakten

In einem Verfahren vor dem britischen High Court of Justice wirft ein Mann namens Ping Fai Yuen seiner entfremdeten Ehefrau Fun Yung Li vor, im Jahr 2023 2.323 Bitcoin – im Wert von rund 176 Millionen Dollar – aus seinem Trezor-Hardware-Wallet gestohlen zu haben ^[1]. Laut Gerichtsdokumenten, die von Justice Cotter geprüft wurden, behauptet Yuens Rechtsteam, Fun und ihre Schwester hätten Yuen heimlich gefilmt, um seine Seed Phrase und die Wallet-Zugangscodes zu erfassen, und diese Informationen anschließend genutzt, um die Bitcoin auf 71 separate Wallet-Adressen zu übertragen ^[1].

Das mutmaßliche Komplott begann sich offenbar aufzulösen, als Yuens eigene Tochter ihn warnte. Daraufhin installierte er Audioaufzeichnungsgeräte und behauptet, Gespräche aufgezeichnet zu haben, in denen Fun über den Diebstahl und Strategien zum Transfer großer Geldsummen sprach, ohne die Aufmerksamkeit von Banken oder Strafverfolgungsbehörden zu erregen ^[1]. Seit dem 21. Dezember 2023 wurden an keiner der 71 Ziel-Wallet-Adressen Transaktionen verzeichnet ^[1]. Yuen erstattete kurz nach dieser letzten Übertragung Anzeige bei der Polizei; die Behörden verhafteten Fun und beschlagnahmten mehrere Cold Wallets sowie Uhren – obwohl sie später gegen Kaution freigelassen wurde und die Polizei in der Folge mitteilte, es werde „ohne neue Beweise keine weiteren Maßnahmen" geben ^[1].

Im November 2024 beantragte Yuen eine Vermögenssicherungsverfügung, um die Kryptowährung einzufrieren und sein Eigentum rechtlich festzustellen ^[1]. Zudem äußerte er Bedenken, dass die Wallets, auf denen seine mutmaßlichen Bitcoin lagern, sogenannten Dusting Attacks ausgesetzt worden seien – einer Technik, bei der kleine Krypto-Beträge an große Wallets gesendet werden, um Aktivitäten zu verfolgen und hochwertige Ziele für Anschlussbetrug oder physische Bedrohungen zu identifizieren ^[1]. Justice Cotter beurteilte die Erfolgsaussichten des Klägers positiv und schrieb, Yuen habe „eine sehr hohe Erfolgswahrscheinlichkeit nachgewiesen", wobei er die Protokolle als „belastend" einstufte und feststellte, dass auf Funs Grundstück bei der Durchsuchung Geräte gefunden wurden, die zur Exfiltration von Bitcoin geeignet seien ^[1]. Der Fall wurde für eine beschleunigte Verhandlung vorgemerkt, wobei der Richter die „Sicherheitsbedrohungen sowie die Wertvolatilität des Bitcoin" als Gründe für die Dringlichkeit anführte ^[1].

Unterdessen geriet in der Welt der dezentralisierten Finanzen das Aave-Protokoll in den Mittelpunkt einer ganz anderen Art von Finanzkatastrophe. Ein Trader nutzte die Aave-Oberfläche, um 50 Millionen USDT in AAVE-Governance-Token zu tauschen – und erhielt dafür lediglich 324 AAVE-Token im Wert von rund 36.100 Dollar zurück ^[2]. Der verheerende Verlust entstand dadurch, dass ein enormer Auftrag in einem Markt mit minimaler Liquidität ausgeführt wurde, was zu einer Kursauswirkung von 99 Prozent führte. Aave stellte umgehend klar, dass das Kernprotokoll nicht kompromittiert worden sei; der Swap wurde über CoW Swap abgewickelt, einen dezentralisierten Drittanbieter-Aggregator, der in das Aave-Frontend integriert ist ^[2]. Entscheidend ist, dass die Aave-Oberfläche ausdrückliche Warnhinweise anzeigte – darunter ein Hinweis mit dem Wortlaut „Hohe Kursauswirkung (99,9 %). Diese Route kann aufgrund geringer Liquidität weniger zurückgeben" – und den Nutzer aufforderte, das Bewusstsein über einen „möglichen Verlust von 100 %" manuell zu bestätigen, bevor die Transaktion abgeschlossen werden konnte ^[2]. Das Team erklärte unmissverständlich: „Der Nutzer hat diese Warnung manuell bestätigt und damit das ungünstige Kursangebot ausdrücklich akzeptiert" ^[2]. Als Reaktion darauf kündigte Aave die Entwicklung einer neuen Schutzfunktion namens „Aave Shield" an, die standardmäßig jeden Swap mit einer Kursauswirkung von mehr als 25 Prozent blockieren wird und Nutzer dazu zwingt, den Schutz aktiv zu deaktivieren, um fortzufahren ^[2]. Aave bestätigte zudem, die rund 110.368 Dollar an Gebühren zurückzuerstatten, die durch die missglückte Transaktion entstanden sind ^[2].

Analyse & Kontext

Was verbindet einen häuslichen Bitcoin-Diebstahl in Großbritannien mit einem katastrophalen DeFi-Swap? Beide Vorfälle legen dieselbe grundlegende Schwachstelle offen: menschliches Verhalten unter Bedingungen unvollständiger Information oder fehl am Platz gesetzten Vertrauens. Im Fall Yuen wurde das Sicherheitsmodell eines Hardware-Wallets – das allgemein als eines der robustesten gilt – nicht durch einen technischen Angriff umgangen, sondern durch den ältesten Angriffsvektor überhaupt: physische Nähe und Verrat. Ein Trezor-Wallet ist für Remote-Hacker uneinnehmbar; für jemanden, der das eigene Zuhause und das eigene Leben teilt, hingegen nicht. Dieser Fall sollte jeden ernsthaften Bitcoin-Inhaber dazu veranlassen, seine operativen Sicherheitspraktiken (OpSec) zu überdenken. Seed Phrases dürfen niemals schriftlich fixiert oder in Sichtweite von Kameras, Smart Devices oder anderen Personen eingegeben werden – einschließlich, wie dieser Fall auf tragische Weise verdeutlicht, jener, die einem am nächsten stehen. Der sogenannte „5-Dollar-Schraubenschlüssel-Angriff", der in Bitcoin-Sicherheitskreisen seit Langem diskutiert wird, hat nun mit dem „Seed-Phrase-Überwachungsangriff" eine real existierende Bedrohung in großem Maßstab dazugewonnen.

Der Aave-Vorfall ist ein anderes, aber ebenso lehrreiches Versagen. Das Protokoll hat aus technischer Sicht alles richtig gemacht – Warnhinweise wurden angezeigt, Bestätigungen waren erforderlich, und die zugrunde liegenden Smart Contracts funktionierten exakt wie vorgesehen ^[2]. Dennoch wurden 50 Millionen Dollar vernichtet, weil ein Nutzer entweder nicht verstand, was er bestätigte, oder das Ausmaß des Risikos falsch einschätzte. Dies ist das Paradoxon der dezentralisierten Finanzen: Selbst-Custody und genehmigungsfreier Zugang sind mächtige Freiheiten, tragen aber das volle Gewicht persönlicher Verantwortung. Es gibt keine Kundendiensthotline, keinen Rückbuchungsmechanismus, keine Betrugsabteilung. Die Unveränderlichkeit, die Bitcoin wertvoll macht, ist dieselbe Eigenschaft, die diese Verluste endgültig macht. Aave Shield ist ein sinnvoller Schritt zur Reduzierung von Nutzerfehlern, verdeutlicht aber auch eine übergeordnete UX-Herausforderung für DeFi: unerfahrene Nutzer zu schützen, ohne das genehmigungsfreie Ethos zu untergraben, das den Bereich definiert.

Historisch gesehen waren die erfolgreichsten Angriffe auf Bitcoin selten kryptografischer Natur. Von den frühen Exchange-Hacks wie Mt. Gox über Zwischenablage-Malware bis hin zu SIM-Swapping-Angriffen ist das Muster konsistent – Angreifer nehmen Menschen und Prozesse ins Visier, nicht das Protokoll selbst. Diese beiden Fälle bestätigen dieses Muster nachdrücklich.

Zentrale Erkenntnisse

• Physische Sicherheit ist ebenso wichtig wie digitale Sicherheit: Der mutmaßliche Diebstahl von 2.323 BTC war kein technischer Hack, sondern eine Überwachungsoperation mit dem Ziel einer Seed Phrase – eine Erinnerung daran, dass die Sicherheit eines Hardware-Wallets nur so stark ist wie die Umgebung, in der es verwendet wird [1].
• Geben Sie Ihre Seed Phrase niemals dort ein oder zeigen Sie sie, wo sie beobachtet werden kann: Kameras, Smartphones und vertrauenswürdige Familienmitglieder sind allesamt potenzielle Angriffsvektoren; operative Sicherheit muss konsequent und durchgängig praktiziert werden.
• Das genehmigungsfreie Design von DeFi erfordert Nutzeraufklärung: Der 50-Millionen-Dollar-Verlust bei Aave trat trotz eindeutiger Bildschirmwarnungen auf – was unterstreicht, dass Protokollsicherheitsfunktionen wirkungslos sind, wenn Nutzer nicht verstehen, was sie bestätigen [2].
• Aave Shield setzt einen nützlichen Präzedenzfall: Die standardmäßige Begrenzung auf 25 Prozent Kursauswirkung mit einer Opt-out-Möglichkeit ist eine ausgereifte Designentscheidung, die andere DeFi-Oberflächen in Betracht ziehen sollten, um kostspielige Nutzerfehler zu reduzieren [2].
• Die in eingefrorenen Wallets gehaltenen Bitcoin stellen einen laufenden Rechtspräzedenzfall dar: Die positive Beurteilung von Yuens Fall durch den britischen High Court und das Drängen auf eine beschleunigte Verhandlung könnten wichtige Rechtsrahmen dafür schaffen, wie Gerichte in Common-Law-Jurisdiktionen mit Bitcoin-Diebstahl und Vermögensrückgewinnung umgehen [1].