Der Nicehash Hack 2017
Über den Nicehash Hack – wenn man Ihn denn so nennen will – aus dem Jahr 2017, könnte man vermutlich ein ganzes Buch schreiben.
Die Reaktionen der Firmeninhaber direkt nach dem Hack, die getätigten Aussagen über eine Rückzahlung an die Kunden. Wir reden hier von über 53 Millionen Euro Schaden und einer Firma, welche in den Jahren zuvor, laut eigenen Geschäftsberichten, einen Gewinn von insgesamt 3,46 Millionen Euro erwirtschaftet hatte.
Die durchgeführte Untersuchung einer Ermittlungsfirma und deren Bericht, in dem dann erstmals nordkoreanische Hacker verantwortlich gemacht wurden. Ein Bericht voller seltsamer Aussagen und Behauptungen, die für uns von Anfang an nicht plausibel waren. 1
Letztendlich dann eine Anklage und internationale Haftbefehle der U.S. Behörden gegen eben genannte nordkoreanische Hacker und die Erwähnung des Nicehash Hacks in dieser Anklageschrift. Bei dieser Anklage muss wohl noch kurz erwähnt werden, dass der Nicehash Hack darin nur kurz genannt wird und die Anklageschrift sich noch auf viele weitere, teilweise viel umfangreichere Fälle bezieht. Es könnte also durchaus aufgrund des zuvor erwähnten Berichtes zu der Annahme der U.S Behörden gekommen sein und nicht durch deren eigene Ermittlungen.
Nach dem Hack traten sowohl der damalige CEO, als auch der Firmengründer und damalige CTO von Nicehash zurück. Der Vater des Firmengründers, ein vollkommen Branchenfremder, welcher weder Erfahrungen in der IT Branche, geschweige denn mit Kryptowährungen hatte, übernahm dann die Firmenleitung.
Beim Firmengründer von Nicehash ist dessen Vorgeschichte auch noch erwähnenswert. Dieser wurde rechtskräftig wegen seiner Beteiligung am “Mariposa Botnet” verurteilt und verbüßte hierfür eine mehrjährige Haftstrafe. Beim “Mariposa Botnet” handelte es sich um ein Computerprogramm für das illegale Entwenden von z.B. Kreditkarten und Bankdaten.
Die Vorgeschichte des Firmengründers ist ein entscheidender Faktor, um unsere später folgende Vermutung und Aussage zu den evtl. falsch gelegten Spuren und die dadurch beeinflussten / behinderten Ermittlungen einordnen zu können.
Die bisher dargelegten Punkte waren nur eine ganz kurze Auflistung ein paar der Umstände dieses Falles. Hier an dieser Stelle werden wir aber nur auf eine Tatsache wirklich ausführlich eingehen. Diese Tatsache ist rein technischer Natur und kann somit von uns mit unseren Mitteln der Kryptoforensik eindeutig nachgewiesen werden.
Ein Diebstahl durch nordkoreanische Hacker hat im Fall Nicehash nie stattgefunden. Die entwendeten Bitcoins, welche von den Hackern / Dieben gestohlen wurden, landeten vorerst auf der Bitcoinadresse 1EnJHhq8Jq8vDuZA5ahVh6H4t6jh1mB4rq. Von dort aus wurden die Spuren der Bitcoins durch tausende von Transaktionen versucht zu verwischen. Unter Umständen wurde hierfür ein Mixer verwendet, welcher evtl. auch von den nordkoreanischen Hackern genutzt wurde. 2 Nach dem Versuch der Verschleierung des Verbleibes der entwendeten Bitcoins wurden diese aber letztendlich wieder auf ein einziges Bitcoin Wallet transferiert. Und dieses Bitcoin Wallet gehörte – Nicehash!
1 Verantwortlich für die unserer Meinung nach unglaubwürdigen Aussagen ist nicht die Ermittlung der externen Firma, sondern unserer Meinung nach die von Nicehash vorsätzlich falsch gelegten Spuren.
2 Diesen Umstand haben wir nicht weiter untersucht, da er für unsere Ermittlungen und deren Ergebnis letztendlich keine Rolle spielt.
Datum
Dezember 2017
Schadenssumme
~4.700 BTC / ~53.815.000 EUR
Status
offen
Analysedaten
Die ersten Verdachtsmomente
Bereits kurz nach dem Diebstahl der ~4.700 BTC von den Konten von Nicehash – die wohlgemerkt nicht die Vermögenswerte von Nicehash enthielten, sondern die Vermögenswerte der Kunden von Nicehash – ergaben sich die ersten Verdachtsmomente für einen Betrug, welcher von Nicehash selbst durchgeführt wurde.
Der damalige CEO und CTO von Nicehash haben bereits einen Tag nach dem Hack ein Statement in einem Video veröffentlicht. In diesem Video berichten die beiden Personen von den Vorfällen am Vortag und schon die darin gemachten Aussagen hinterließen bei uns das Gefühl, dass dieses Video und der Hack vom Vortag schon lange geplant waren.
Kurz darauf, am 31. Januar 2018, gab Nicehash dann in einer Pressemitteilung bekannt, dass Sie Ihre Kunden vollständig entschädigen würden. Diese Aussage kam uns wiederum sehr verdächtig vor. Zumal ein Kunde von Nicehash kurz zuvor auch noch eine E-Mail veröffentlichte, welche er von Nicehash erhalten hatte, in der Nicehash bereits die Entschädigung der Kunden ankündigte und hierfür einen nicht genannten Investor als Finanzierung nannte. In der Pressemitteilung zur Entschädigung der Kunden war von einem Investor dann aber keine Rede mehr und von diesem Zeitpunkt an wurde von Nicehash behauptet, dass die Entschädigungen aus den eigenen Firmengewinnen finanziert würden.
Daher nun kurz zu den Gewinnen von Nicehash. Die Firmengewinne von Nicehash sind in deren öffentlich zugänglichen Geschäftsberichten einzusehen. 2015 gab Nicehash einen Gewinn von 77.750,00 Euro, 2016 einen Gewinn in Höhe von 111.384,00 Euro und 2017, im Jahr des Diebstahls, dann einen Gewinn von 3.264.210,00 Euro an. Die Gewinne der drei Jahre vor dem Hack belaufen sich also auf eine Summe von insgesamt 3.460.344,00 Euro. Dieser Zahl stand der Wert der entwendeten ~4.700 BTC mit einem Wert von 37.858.500,00 Euro am 31 Januar, dem Tag der Pressemitteilung und sogar 53.815.000,00 Euro am Tag des Diebstahls gegenüber.
Eine Rückzahlung hätte also bei gleichbleibendem Gewinn, wie im Jahr 2017, mehr als 10 Jahre in Anspruch genommen, wenn der Bitcoinkurs in diesen Jahren nicht gestiegen wäre. Abgeschlossen wurden die Rückzahlungen an die Kunden aber bereits im Dezember 2020 und bereits im Dezember 2018, also ein Jahr nach dem Hack, wurden bereits 70% der entwendeten Bitcoins zurückerstattet.
Weitere Verdachtsmomente ergaben sich für uns aus den bereits kurz geschilderten Umständen, wie beispielsweise die Firmenübernahme durch den branchenfremden Vater des Firmengründers, die Aussagen zum angeblichen Ablauf des Hacks des CEO und CTO von Nicehash und nicht zuletzt die Vorgeschichte des Firmengründers und CTO.
Die durchgeführten Analysen
Um einen Betrug, welcher von Nicehash selbst durchgeführt wurde, nachweisen zu können, benötigten wir einen Beweis. Alle bisher geschilderten Verdachtsmomente ergaben für uns zwar ein recht eindeutiges Bild, aber sie waren eben genau das, Verdachtsmomente. Wir haben daher viele Analysen und Ermittlungen durchgeführt, bis wir letztendlich zur Lösung des Falles und dem eindeutigen Beweis kamen.
Diese Analysen und Ermittlungen umfassten unter anderem, aber nicht nur, die folgenden Recherchen:
- Steuerdaten aus öffentlich einsehbaren Geschäftsberichten der Firma.
- Aussagen der Firma ihren Kunden und der Presse gegenüber (z.B. in deren Blog).
- Recherchen zur Vorgeschichte des Firmengründers (dieser wurde bereits in einem anderen Fall wegen Computerbetruges zu einer mehrjährigen Haftstrafe verurteilt).
- Eine aufwendige Recherche zu den Rückzahlungen, welche die Firma an Ihre Kunden leistete.
Der Durchbruch
Die Lösung – und der dann folgende eindeutige Beweis des von Nicehash selbst durchgeführten Betruges – gelang uns, als wir das neue Firmenwallet ausfindig machen konnten, welches Nicehash nach dem Hack nutzte. Auf diesem Firmenwallet gingen bereits kurz nach dem Hack sehr umfangreiche Bitcoinbeträge ein. In diesem Umfang konnten wir uns diese Eingänge nicht mit Einzahlungen der Kunden von Nicehash erklären. Bereits am 05. Februar 2018, also keine zwei Monate nach dem Diebstahl, befanden sich auf diesem Wallet schon ~3.800 BTC und am 21. Juni 2018 wurde dann letztendlich die Summe der entwendeten ~4.700 BTC durch den Kontostand des Wallets überschritten. Daraus ergibt sich natürlich die entscheidende Frage, woher diese immensen Vermögenswerte stammen.
Die letzte und entscheidende Analyse
Da wir schon lange den Verdacht hatten, dass der Betrug von Nicehash selbst durchgeführt wurde, lag der nächste Schritt nahe. Um den durchgeführten Betrug eindeutig nachweisen zu können, mussten nur noch die Eingänge auf dem neuen Firmenwallet von Nicehash mit der Bitcoinadresse, welche nach dem Diebstahl verwendet wurde, verknüpft werden. Wir entwickelten hierfür eine Software, welche ausgehend von der Adresse 1EnJHhq8Jq8vDuZA5ahVh6H4t6jh1mB4rq alle Transaktionen scannte und in dem Moment den Scan beendete, in dem die Transaktionen auf dem neuen Firmenwallet von Nicehash endeten. Man könnte natürlich davon ausgehen, dass auch bei einem Diebstahl durch Dritte, wie z.B. nordkoreanische Hacker, irgendwann zumindest ein kleiner Teil der Bitcoins auf dem Wallet von Nicehash enden könnte.
Unsere Analyse konnte, je nach angewendeten Filtern und Länge der Transaktionsketten, einen eindeutigen Eingang auf dem Nicehash Wallet in Höhe von ~1.115 BTC bis zu ~2.749 BTC nachweisen, dessen Ursprung in der Bitcoinadresse 1EnJHhq8Jq8vDuZA5ahVh6H4t6jh1mB4rq lag.
Das Fazit
Wir haben diesen Fall unter dem Titel Insider Hack veröffentlicht, da wir eindeutig nachweisen konnten, dass die entwendeten Vermögenswerte der Kunden von Nicehash letztendlich wieder auf den Konten von Nicehash eingegangen sind. Dies und all die anderen erwähnten Umstände können wir uns nur mit einem Insider Hack und einer danach durchgeführten Verschleierung des selbigen erklären.