Update: Wie angekündigt haben wir heute im Lauf des Tages die Auszahlungen wieder reaktiviert. Wir wünschen viel Spaß beim Benutzen der Bitcoins und bedanken uns für die Geduld.

Die Aufhebung ist eine reine Sicherheitsmaßnahme. Während des Botnetz-Angriffs am Dienstag kam es zu einer steigenden Anzahl manipulierter (malleabler) Transaktionen. Diese führen nicht dazu, dass Bitcoins verloren gehen, da die Transaktionen korrekt ausgeführt werden, aber sie verwirren die Buchhaltung, weil sie unter einer falschen ID erscheinen. Wir müssen nun unsere Datenbanken korrigieren und unsere Software anpassen, um auch unter solchen Extrembedingungen eine sichere Auszahlung gewährleisten zu können. Wir werden voraussichtlich noch am Donnerstag die Auszahlungen wieder aufzunehmen und auch die Auszahlungen, die am Montag oder Dienstag fehlgeschlagen sind, ersetzen.

Die Hoffnung, das Problem mit den malleablen Transaktionen beschränke sich auf MtGox, hat sich gestern zerschlagen. Bitcoin-Transaktionen verhalten sich im ganzen Netzwerk merkwürdig, einige Börsen frieren die Auszahlungen ein, weil auch ihre Systeme von einer massiven Botnetz-Attacke betroffen sind. Darunter auch Bitcoin.de. Wir weisen darauf hin, dass keine einzige Einlage verloren ging, und bitten um Geduld. Unsere Entwickler arbeiten mit Hochdruck daran, unsere Systeme gegen dieses Problem zu immunisieren. Auch die Bitcoin-Kernentwickler beschäftigen sich fieberhaft mit der Transaction Malleability.

Dieser Wochenanfang ist nichts für schlechte Nerven. Nachdem der Preis am Montag erst rapide runter ging und dann im Lauf des Tages wieder beinah zu alter Stärke zurückfand, bewegte er sich gestern abend schon wieder abwärts. Der Grund dürfte sein, dass im ganzen Netzwerk malleable Transaktionen aufgetreten sind und eine Reihe von Börsen ihre Auszahlungen einstellen musste, um die Software anzupassen.

Nachdem MtGox am Montag die transaction malleability angesprochen hatte, hatten mehrere Coreentwickler (Gregory Maxwell, Gavin Andresen, Jeff Garzik) erklärt, diese „Eigenart“ der Software sei seit 2011 bekannt. Sie sei ohne Zweifel ärgerlich, aber kein ernsthaftes Problem. MtGox wurde beschimpft und ausgelacht.

Nur einen Tag später zeigt sich, dass die manipulierten Transaktions-IDs mehr sind als eine Art Privatproblem einer veralteten Software von MtGox. Transaktionen im gesamten Bitcoin-Netzwerk beginnen, sich seltsam zu verhalten. Sie erscheinen doppelt im Wallet, Auszahlungen funktionieren auch bei anderen Börsen nicht, und zu allem Überfluß versendet jemand wahllos Satoshis. Was passiert gerade?

Beginnen wir mit der Malleable Transaction. MtGox hat sehr deutlich erklärt, was bei dabei passiert:

Eine dritte Partei verändert die Hash einer Transaktion, nicht jedoch die Signatur. Dies geschieht im selben Moment, in dem die Transaktion gesendet wird.

Die Transaktion existiert danach doppelt: einmal mit richtiger, einmal mit falscher Hash.

Ein Double-Spend ist nicht möglich: Die Blockchain akzeptiert nur eine der Transaktionen.

Falls allerdings die Partei, die die Hash manipuliert, schnell genug ist, kann die gefälschte Transaktion, so MtGox, in die Blockchain eingehen.

Derzeit greift ein Botnetz zahlreiche Transaktionen durch die Manipulation der Hash an. Andreas Antonopoulos, Sicherheitschef von Blockchain.info, sagte Coindesk, es finde eine massive und konzertierte Attacke auf zahlreiche Börsen statt. Im gleichen Moment, in dem Transaktionen gebildet werden, bilden die Bots malleable Transaktionen, die einen „Nebel der Verwirrung“ über das gesamte Netzwerk legen.

Für Börsen ist diese Attacke sehr ärgerlich. Sie führt nicht zum Verlust der Kundeneinlagen, im schlimmsten Fall jedoch dazu, dass Kunden eine erhaltene Auszahlung als nicht-erhalten reklamieren können (was wohl bei Gox massiv vorkam). Darüber hinaus stiften malleable transactions reichlich Chaos in Systemen, welche die ID (die Hash) nutzen, um die Zahlungen zu sortieren. Daher überprüfen derzeit mehrere Börsen, darunter auch Bitcoin.de, ihre Systeme.

Bei betroffenen Usern passiert etwa folgendes: Das Wallet zeigt an, dass eine Transaktion zweimal gesendet wurde, einmal mit richtiger, einmal mit veränderter Hash. Die falsche Transaktion erreicht die Nodes schneller und wird in die Blockchain aufgenommen. Die richtige Transaktion wird dagegen als Double-Spend aussortiert.

Das ist zunächst nicht weiter tragisch, da die Adressen und die Signatur korrekt sind. Sprich: Die korrekte Menge Bitcoins kommt am korrekten Ziel an. Es hat jedoch zwei Folgen:

– Es ruft wie gesagt eine beträchtliche Verwirrung hervor

– Die Bitcoins werden vom Wallet als doppelt abgebucht bewertet. Sie sind, wie gesagt, nicht weg. Allerdings weiß der Client das nicht. In diesem Fall hilft nur, ein Backup der Wallet.dat zu laden oder von Hand die betreffende tx aus der wallet.dat zu entfernen.

Betroffen scheinen vor allem Nutzer des Standard-Clienten (BitcoinQT) oder Bitcoind (in Webwallets) zu sein. Auf Wallets wie Armory scheint der Angriff nicht stattzufinden.

Soweit zu dem, was gerade im Bitcoin-Netzwerk passiert. Alle hier dargelegten Erklärungen sind übrigens mit Vorsicht zu genießen, da sie von einem Laien stammen, der sich über tx, id, hashes und so weiter sehr den Kopf zerbrechen musste.

Über den Stand der Auszahlungen bei Bitcoin.de halten wir Sie auf dem Laufenden.