Der Bitcoin.org DNS-Hijack: Wie Bitcoins eigene Homepage zu einem „Verdoppele deine Coins"-Betrug wurde
Im September 2021 wurde Bitcoin.org — die langjährige Informationsheimat von Bitcoin, betrieben vom pseudonymen Operator Cobra — auf der DNS-Ebene gekapert und in ein gefälschtes „Verdoppele deine Bitcoin"-Gewinnspiel verwandelt, das Betrügern rund 17.000 US-Dollar einbrachte, bevor die Seite offline genommen wurde. Eine Domain-Mayday-Analyse darüber, was passierte, wie es geschah und was es selbst für kryptonative Seiten über ihre Abhängigkeit von DNS lehrt.
- domains
- security
- dns
- domain-security
Mehr als ein Jahrzehnt lang gab es im Internet eine einzige Adresse, wenn man eine einfache, herstellerneutrale Antwort auf die Frage „Was ist Bitcoin und wie benutze ich es sicher?" suchte: Bitcoin.org.
Es war nie eine Börse. Es verkaufte nie etwas. Es war das Nächste, was das feindlichste, vertrauensloseste Geld der Welt einem offiziellen Empfangsbereich je hatte — eine Seite, die am 18. August 2008 registriert wurde, älter als der Genesis-Block selbst, der Ort, an dem das Bitcoin-Whitepaper lebte und wo Neulinge die erste Regel der Krypto lernten: Sei deine eigene Bank, und vertraue niemandem deine Schlüssel an.
Daher liegt eine brutale Ironie in dem, was am Donnerstag, den 23. September 2021 geschah. Die am häufigsten wiederholte Sicherheitslektion in der gesamten Kryptowelt — wenn jemand verspricht, deine Coins zu verdoppeln, ist es ein Betrug — wurde in umgekehrter Form von Bitcoins eigenem Eingangsportal ausgestrahlt. Für einige Stunden war die Website, die den Leuten beibrachte, nicht auf „Verdoppele deine Bitcoin"-Angebote hereinzufallen, selbst der „Verdoppele deine Bitcoin"-Betrug. Und das geschah nicht, weil jemand in einen Server eingebrochen war, sondern weil jemand die Kontrolle über die Domain übernommen hatte.
Ein symbolisches, vertrauenswürdiges Zuhause für Bitcoin
Um zu verstehen, warum dieser Hijack so schmerzhaft war, muss man verstehen, was Bitcoin.org bedeutete.
Bitcoin hat keinen CEO, keine Zentrale und keinen offiziellen Sprecher. Was es hatte — jahrelang — war eine kleine Gruppe community-betriebener Referenzseiten, und Bitcoin.org war die bekannteste davon. CryptoPotato nannte sie die älteste Website in Bezug auf BTC, die vor mehr als 13 Jahren registriert wurde. Sie beherbergte Wallet-Empfehlungen, Einstiegsanleitungen und eine Kopie von Satoshi Nakamotos Whitepaper.
Passend für Bitcoin wurde sie auch von einem Geist betrieben. Die Seite wird von einem pseudonymen Betreiber gewartet, der nur als Cobra bekannt ist — anonym aus Prinzip. Dieses Prinzip war kürzlich vor Gericht auf die Probe gestellt worden: Nur wenige Monate zuvor hatte der selbst ernannte „Satoshi" Craig Wright einen britischen Urheberrechtsfall gewonnen, der Bitcoin.org zur Entfernung des Whitepapers zwang, wobei ein Richter eine Verfügung erließ, die Cobra verbietet, Wrights Urheberrecht im Vereinigten Königreich zu verletzen. Cobras Verteidigung seiner eigenen Anonymität war fast poetisch: Die Gerichtsregeln erlaubten mir, pseudonym verklagt zu werden, aber ich konnte mich nicht pseudonym verteidigen.
Der Punkt ist, dass Bitcoin.org Vertrauen besaß — die institutionelle Art, die eine führungslose Bewegung eigentlich nicht haben sollte, still über dreizehn Jahre angehäuft. Genau dieses Vertrauen machte sie zum Ziel. Ein Betrug funktioniert umso besser, je glaubwürdiger sein Gastgeber ist. Und es gibt in der Kryptowelt nur sehr wenige Gastgeber, die glaubwürdiger sind als Bitcoins eigener Name.
Eine zweite, schärfere Ironie verbirgt sich hier. Das gesamte Ethos von Bitcoin.org war Selbstverwahrung: Halte deine eigenen Schlüssel, vertraue keinem Verwahrer, überprüfe alles. Ein Besucher, der diese Lektion vollständig verinnerlicht hatte, würde niemals Münzen auf das Wallet eines Fremden auf ein Versprechen hin schicken. Aber der Gewinnspiel-Betrug bat ihn nicht, einem Fremden zu vertrauen — er bat ihn, Bitcoin.org selbst zu vertrauen, der einzigen Adresse, die ihm jahrelang als sicherer Ausgangspunkt empfohlen worden war. Der Angriff besiegte nicht die Lektion; er entführte den Überbringer.
September 2021: der Hijack und das gefälschte Gewinnspiel
Am Morgen des 23. September 2021 sahen Besucher von Bitcoin.org keine Wallet-Anleitungen. Sie sahen ein Pop-up-Modal — ein sauberes, offiziell aussehendes Overlay, das auf der Startseite von Bitcoins vertrauenswürdigster Referenzseite eingeblendet war.
Die Botschaft war der älteste Trick in der Kryptowelt, gekleidet in geborgte Autorität. Sie behauptete, die Bitcoin Foundation gebe der Community etwas zurück, sagte, das Angebot sei auf die ersten 10.000 Nutzer beschränkt, und machte ein einfaches Versprechen: Sende Bitcoin an diese Adresse, und wir senden dir den doppelten Betrag zurück! Ein QR-Code machte es reibungslos. Die Mechanik, wie CoinDesk das Genre trocken beschrieb, ist immer dieselbe: Diese Systeme geben falsche Versprechen, Gelder nach dem Senden eines anfänglichen Betrags an eine Wallet-Adresse per QR-Code zu verdoppeln. Und das Ergebnis ist immer dasselbe: Die Opfer erhalten tatsächlich nichts zurück und verlieren die gesendete Kryptowährung.
Cobra bestätigte den Einbruch öffentlich und unverblümt und postete, dass die Seite kompromittiert wurde. Derzeit untersuche ich, wie die Hacker das Betrugs-Modal auf der Seite platziert haben.
Was Besucher verloren
Ein „Verdoppele dein Geld"-Betrug funktioniert nur, wenn einige wenige daran glauben. Auf einer zufälligen Website würde das kaum jemand. Auf Bitcoin.org taten es manche.
Das Betrugs-Wallet blieb nicht leer. BleepingComputer meldete, dass der letzte aktualisierte Kontostand des Wallets 0,40571238 BTC oder ungefähr 17.000 US-Dollar betrug. CoinDesk, das es live verfolgte, berichtete, dass die Adresse des Gewinnspiel-Betrugs zum Zeitpunkt des Verfassens dieses Artikels über 17.700 US-Dollar in kleinen Transaktionen erhalten hatte.
Siebzehntausend Dollar, in einem einzigen Nacht verloren, in einem Betrug, vor dem die Hostseite selbst gewarnt hätte. Und man bedenke den grausamsten Teil von Bitcoins Design: Diese Transaktionen sind endgültig. Es gibt keine Rückbuchung, keine Betrugsabteilung, kein „Ruf die Bank an". Die gleiche Unwiderruflichkeit, die Bitcoin mächtig macht, machte den Verlust jedes Opfers permanent, sobald es den Code gescannt hatte.
Die Dollarzahl ist fast nebensächlich. Der eigentliche Schaden galt dem, was Bitcoin.org dreizehn Jahre lang aufgebaut hatte — die Annahme, dass diese Adresse, von allen Adressen, sicher zu vertrauen war.
Wie es geschah: eine DNS-Kompromittierung, kein Server-Einbruch
Hier ist das Detail, das dies zu einer Domain-Mayday-Geschichte und nicht nur zu einer weiteren Phishing-Geschichte macht: Die Angreifer mussten sich niemals in die Server von Bitcoin.org einbrechen.
Cobra war in diesem Punkt unmissverständlich. Der Ursprungsserver, so sagte er, wurde nicht berührt — mein eigentlicher Server erhielt während des Hacks keinen Traffic. Stattdessen geschah der Angriff eine Ebene höher, an dem Teil des Internets, der entscheidet, wohin ein Domainname zeigt. Beobachter, die den Vorfall verfolgten, stellten fest, dass die WHOIS-Informationen zum Zeitpunkt des Hacks aktualisiert wurden, die Nameserver + DNS geändert wurden. Sobald man die Nameserver kontrolliert, kontrolliert man die Antwort auf die Frage „Auf welchem Server ist bitcoin.org?" — und kann einen vertrauenswürdigen Namen still auf einen eigenen Server umleiten.
Cobras eigene Diagnose legte die Schuld auf die DNS-Ebene und auf eine kürzliche Infrastrukturänderung. Wie er es formulierte: Bitcoin.org wurde noch nie gehackt. Und dann wechseln wir zu Cloudflare, und zwei Monate später werden wir gehackt. Seine Arbeitstheorie war präzise und vernichtend: Die Angreifer scheinen einfach einen Fehler im DNS ausgenutzt zu haben. Decrypt fasste die vorherrschende Einschätzung ähnlich zusammen: Angreifer nutzten einen Fehler in der DNS-Konfiguration aus, nachdem die Website zwei Monate zuvor zu Cloudflare gewechselt hatte.
Ob die Grundursache eine Fehlkonfiguration, eine Kompromittierung auf Registrar-Ebene oder etwas beim DNS-Anbieter war, wurde öffentlich nie vollständig geklärt — CoinDesk stellte fest, dass die Grundursache des Website-Hijacks unbestätigt bleibt, obwohl manche einen DNS-Hijack vermuteten. Aber die Form davon ist unverkennbar. Die Anwendung war in Ordnung. Der Code war in Ordnung. Die Schlüssel waren in Ordnung. Der Name wurde gekapert, und im Web ist die Kontrolle über den Namen das Entscheidende.
Reaktion und Nachwirkungen
Die Lösung geschah bezeichnenderweise auch auf der Domain-Ebene.
Die Seite konnte sich nicht einfach „herauspatchen", weil die live geschaltete bösartige Version von Bitcoin.org nicht von der eigentlichen Infrastruktur von Bitcoin.org ausgeliefert wurde. Der schnellste Weg, die Blutung zu stoppen, war, die Domain selbst außer Betrieb zu nehmen. Der Registrar, Namecheap, tat genau das — laut BleepingComputer: Wir haben die Domain vorübergehend deaktiviert. Eine Zeit lang sahen Besucher weder einen Betrug noch eine Homepage; CoinDesk berichtete, dass sie mit „Diese Website ist nicht erreichbar." begrüßt wurden. Die vertrauenswürdigste Referenzseite in Bitcoin war offline.
Nach einigen Stunden der Untersuchung wurde die Domain korrekt umgeleitet und die Seite in ihren Zustand vor dem Hack wiederhergestellt. Das Zeitfenster war kurz — ein Tag oder weniger — und in reinen Dollar-Beträgen war der Diebstahl nach Krypto-Kriminalitätsstandards bescheiden. Aber der Vorfall traf hart, gerade weil es diese Seite war. Eine Bewegung, die sich auf „Vertraue nicht, verifiziere" beruft, hatte gerade dabei zugesehen, wie ihre eigene kanonische „Vertrau uns"-Seite nachweislich gegen ihre Nutzer eingesetzt wurde.
Was dies darüber lehrt, dass selbst kryptonative Seiten von DNS abhängen
Die unbequemste Lektion aus dem Bitcoin.org-Hijack ist, dass kryptonativ zu sein einen vor fast nichts davon schützt.
Bitcoin ist dezentralisiert. Sein Ledger ist bekannt dafür, schwer manipulierbar zu sein. Seine Schlüssel, wenn sie richtig gehalten werden, gehören einem allein. Nichts davon war hier relevant — denn die Eingangstür zu all dem war ein völlig gewöhnlicher Domainname, der auf demselben DNS, Registrar und Nameserver-System wie jeder E-Commerce-Shop oder lokale Bäckerei läuft. Die Blockchain war unberührt. Die Website war in der Hinsicht unantastbar, die zählte, aber der Name, der auf sie zeigte, war es nicht.
Einige dauerhafte Erkenntnisse ergeben sich daraus:
-
Deine Domain ist Teil deiner Angriffsfläche — oft der größte Teil. Du kannst fehlerfreien Code schreiben, deine Schlüssel in Cold Storage halten und jeden Server absichern, und ein Angreifer, der deine Nameserver oder dein Registrar-Konto kontrolliert, kann dich dennoch vollständig imitieren. Der Name ist die Eingangstür, und ein gekaperter Name lässt einen Fremden sie beantworten.
-
DNS/Registrar-Änderungen sind still und hochgradig wirksam. Als Nameserver + DNS geändert wurden, „brach" nichts auf eine Weise, die die meisten Monitoring-Systeme sofort erkennen würden — die Seite lud immer noch, nur vom falschen Ort. Registrar-Lock, Registry-Lock, DNSSEC und strikte Zugangskontrolle bei Registrar-/DNS-Anbieter-Konten sind kein optionaler Hygieneschritt; sie sind die Schlösser an der Tür, die alle vergessen.
-
Reputation ist das, was eigentlich gestohlen wird. Die Angreifer wollten eigentlich nicht Bitcoin.orgs 17.000-Dollar-Server; sie wollten seine Glaubwürdigkeit, für ein paar Stunden ausgeliehen, um einen uralten Betrug glaubwürdig zu machen. Je vertrauenswürdiger deine Domain, desto wertvoller ist es, sie zu kapern — und desto vorsichtiger musst du sein, wer ändern kann, wohin sie zeigt.
-
„Vertrauenslose" Infrastruktur ruht immer noch auf vertrauenswürdigen Namen. Selbst Bitcoin, das kanonische Beispiel für die Entfernung von Zwischenhändlern, erreicht seine Nutzer über DNS — ein hierarchisches, vermitteltes, veränderbares System. Das Geld zu dezentralisieren, dezentralisiert nicht die Eingangstür.
-
Erkennungsgeschwindigkeit schlägt Eleganz der Verteidigung. Bitcoin.org überstand dies mit einem bescheidenen Verlust, größtenteils weil die Community den Betrug schnell erkannte und der Registrar die Domain innerhalb von Stunden entfernen konnte. Je länger ein gekaperter Name weiterhin auf einen Angreifer auflöst, desto mehr steigen der Verlust — und der Reputationsschaden — an. Zu wissen, im Moment, wenn die Kontrolle oder Weiterleitung deines Namens sich ändert, ist mehr wert als jede einzelne statische Absicherung.
Der Namefi-Blickwinkel
Der Bitcoin.org-Hijack ist im Kern ein Kontroll- und Verifizierbarkeitsproblem. Die Anwendung war solide. Die Blockchain war solide. Was versagte, war die Schicht, die eine täuschend einfache Frage beantwortet: Wer kontrolliert diesen Namen legitimerweise, und wohin darf er zeigen? Wenn die Antwort auf diese Frage still umgeschrieben werden kann — Nameserver getauscht, WHOIS-Informationen zum Zeitpunkt des Hacks aktualisiert — verdampft Vertrauen, egal wie stark der Rest des Stacks ist.
Namefi geht von der Idee aus, dass Domain-Eigentum und Kontrolle sich wie ein erstklassiges, verifizierbares, internet-natives Asset verhalten sollten, anstatt wie ein Eintrag in einer veränderbaren Datenbank, den ein Angreifer still bearbeiten kann. Tokenisiertes, prüfbares Eigentum macht die Frage „Wer kontrolliert diese Domain, und hat sich diese Kontrolle gerade geändert?" on-chain beantwortbar — und verwandelt einen stillen Nameserver-Tausch in ein sichtbares, verantwortbares Ereignis, während es kompatibel mit dem DNS bleibt, auf das das restliche Web angewiesen ist. Es lässt DNS selbst nicht verschwinden, macht aber die Kontrolle über einen Namen schwerer unsichtbar zu kapern und leichter kontinuierlich zu verifizieren.
Bitcoin.org verbrachte dreizehn Jahre damit, der Welt beizubringen, dass der gefährliche Moment derjenige ist, in dem man aufhört zu verifizieren und anfängt zu vertrauen. Für einige Stunden im September 2021 bewies die eigene Domain die Lektion auf die harte Tour. Die Erkenntnis für alle anderen ist einfacher als sie klingt: Deine Domain ist deine Identität im Internet — bewache den Namen so sorgfältig wie die Schlüssel dahinter.
Quellen und weiterführende Lektüre
- BleepingComputer — Bitcoin.org hackers steal $17,000 in 'double your cash' scam
- CoinDesk — Bitcoin.org Website Inaccessible After Being Hacked by Apparent Giveaway Scam
- Bitcoin.com News — Hackers Compromise Web Portal Bitcoin.org — DNS Hijack Replaces Site With BTC Doubler Scam
- Decrypt — Bitcoin.org Compromised, Fraudulent Crypto Giveaway Advertised
- Cointelegraph — Bitcoin.org goes offline after suffering scam attack
- CryptoPotato — BitcoinOrg Hacked: Giveaway Scam Promising Users to Double Their BTC
- NewsBTC — Bitcoin.org Hacked By Scammers For A Few Minutes. Someone Sent Them 0.4 BTC
- CoinDesk — UK Court Orders Bitcoin.org to Remove White Paper Following Craig Wright Lawsuit
- Wikipedia — Bitcoin (Geschichte der Domain bitcoin.org)
Über die Autor*innen
Verwandte Leitfäden
- Die 12-Dollar-Minute: Als jemand google.com stillschweigend kaufteIm September 2015 kaufte ein ehemaliger Google-Mitarbeiter google.com über Google Domains für 12 Dollar und hatte etwa eine Minute lang die administrative Kontrolle über die wertvollste Domain der Welt. Die Geschichte von Sanmay Ved, dem 6.006,13-Dollar-Kopfgeld und was eine Minute Eigentumsrecht darüber verrät, wer wirklich eine Domain kontrolliert.
- Domain Mayday EP03: Die Twitter-Bitcoin-Kontoübernahme 2020Am 15. Juli 2020 verschafften sich Angreifer per Telefon Zugang zu Twitter, übernahmen die verifizierten Konten von Obama, Biden, Musk, Gates, Apple und Uber und führten einen Bitcoin-Verdopplungsbetrug durch – mit einer Beute von rund 118.000 US-Dollar. Eine Tiefenanalyse, wie die Kontrolle über eine Online-Identität gestohlen wurde und was das für den Besitz eines Namens bedeutet.
- Domain Mayday EP05: Der Squarespace-DeFi-Domain-Massenraub 2024Im Juli 2024 verwandelte eine Registrar-Migration von Google Domains zu Squarespace schwache Standard-Authentifizierung in eine Massenangriffsfläche. Angreifer kaperten die Domains von Krypto- und DeFi-Projekten – Compound Finance, Celer Network, Pendle, Unstoppable Domains – und leiteten sie auf Wallet-Drainer-Phishing-Seiten um. So schuf eine „nahtlose" Migration hunderte ungesicherter Eingangstüren, und was das über Registrar-Sicherheit und MFA lehrt.
- Der BadgerDAO-Frontend-Angriff: 120 Millionen Dollar durch ein eingeschleustes Skript abgezogenIm Dezember 2021 kompromittierten Angreifer das Cloudflare-Konto von BadgerDAO und schleusten ein bösartiges Skript in das Website-Frontend ein. Die auditierten Smart Contracts wurden nie berührt — und dennoch verschwanden rund 120 Millionen Dollar durch Wallet-Freigaben, die Nutzer unwissentlich unterzeichneten. Eine Tiefenanalyse darüber, warum die Website Teil Ihrer Sicherheitsoberfläche ist.