Die Schweizer fahren immer mehr auf Kryptogeld ab! Jeder Zweite würde in Digitalwährungen investieren, jeder Fünfte ist bereits dabei, wie eine aktuelle Studie des Beratungsunternehmens Bearing Point zeigt. Dass Kryptowährungen massentauglich werden und auch zusehends Laien in Bitcoin, Ether und Co. anlegen, nutzen gewiefte Programmierer der Blockchain-Szene aus. «Wer eine Digitalwährung auf einer dezentralen Plattform kauft, kann sehr schnell Opfer einer Masche werden und Geld verlieren, ohne dass er es merkt», sagt ETH-Student Patrick Züst (25).
Der Aargauer weiss, wovon er spricht: In seiner Bachelorarbeit hat Züst einen Trick aufgedeckt, der den Krypto-Piraten mehr als 190 Millionen Dollar pro Jahr in die Kasse spült. «Relativ wenige Leute verdienen mit dieser Masche sehr viel Geld», sagt Züst, der für Blick im Jahr 2018 als Experte eine grosse Blockchain-Serie realisierte. Nun wirbelt er die Krypto-Szene mit seiner Bachelorarbeit auf.
Mit Sandwich-Attacke abgezockt
Bei der Untersuchung geht es um die sogenannte Sandwich-Attacke. Eine Angriffsform von Krypto-Piraten, die Mitte 2020 vom engen Kreis der Szene erstmals entdeckt worden ist. Bei der Sandwich-Attacke warten die Angreifer auf eine Transaktion ihres Opfers – und schlagen in den Sekunden vor der Ausführung des Kaufs zu.
Ein Beispiel: Ein Mann namens Hansjörg will Bitcoins kaufen. Er erstellt auf einer dezentralen Börse einen Kaufauftrag. Dieser wird aber nicht sofort ausgeführt. Denn im Blockchain-Netzwerk müssen sogenannte Miner die Transaktion zuerst bestätigen. Ein Prozess, der meistens nur wenige Sekunden dauert. Doch das genügt den Krypto-Piraten, um Profit zu machen. «Sie sehen die Transaktion von Hansjörg und erkennen, ob der Preis der Währung hoch- oder runtergehen wird», sagt Züst. «Dann machen sie das einzig Logische: Sie kaufen Bitcoin zuerst zu einem tieferen Preis und verkaufen ihre Anteile sofort wieder, nachdem Hansjörgs Transaktion bestätigt worden ist.»
Bedeutet: Hansjörgs Auftrag ist im Sandwich der Kauf- und Verkaufstransaktion der Krypto-Piraten. Er muss für seine Bitcoins mehr bezahlen als angenommen. Hansjörg selbst wird aber nie herausfinden, dass jemand an seiner Transaktion Geld verdient hat. «Mittlerweile gibt es Tausende Kryptos. Der Kurs von unbekannteren Digitalwährungen wird viel stärker von einzelnen Transaktionen beeinflusst als zum Beispiel bei Bitcoin. So werden auch die Attacken noch lukrativer», erklärt Züst.
Braucht es Regulierungen?
Der in Zürich wohnhafte Aargauer untersuchte für seine Arbeit 2,5 Millionen Blöcke und sicherte über Tausend Gigabyte Daten auf einem Server der ETH. «Ich habe zwölf Monate geforscht und war überrascht, wie systematisch die Krypto-Piraten vorgehen», sagt er. Insgesamt eine halbe Million Attacken hat Züst enttarnt – 190 Millionen Dollar wurden erbeutet. Die lukrativste Sandwich-Attacke brachte über 100'000 Dollar ein!
Die Bachelorarbeit von Züst wird mit einer Note 6 belohnt – und sorgt für Aufregung in der Krypto-Szene. Es ist das erste Mal, dass die weltweiten Sandwich-Attacken quantifiziert werden konnten. Im Winter dürften Züsts Erkenntnisse gar in einem angesehen wissenschaftlichen Magazin veröffentlicht werden. Der Aargauer hat auf alle Fälle eine Diskussion losgetreten, wie man Trader künftig schützen kann. Braucht es Regulierungen? «Das müssen letztlich die Politiker entscheiden», sagt Züst. Er weist darauf hin, dass die Community bereits an Lösungen arbeitet, um die Attacken zu unterbinden oder die Opfer selbst am Profit zu beteiligen.
Hilfsprogramm gegen Krypto-Piraten
Auch Patrick Züst will mithelfen. Er hat im zweiten Teil seiner Arbeit bereits eine Zwischenlösung präsentiert: «Ich habe ein Tool entwickelt, auf dem Trader ihre geplante Transaktion eintragen und überprüfen können, ob eine Sandwich-Attacke möglich ist», sagt Züst. Wenn die Gefahr besteht, schlägt das Hilfsprogramm eine Aufsplittung der Transaktion auf. «So zahlt man zwar etwas mehr Gebühren, dafür verändert sich der Marktpreis aber bei jeder Transaktion nur minim, sodass eine Sandwich-Attacke nicht mehr profitabel ist», erklärt er.
Die Bachelorarbeit von Züst steht sinnbildlich für die Gefahren und Chancen der noch jungen Blockchain-Technologie: Einerseits müssen sich Krypto-Anleger gut über die Hintergründe informieren und vorsichtig agieren. Anderseits sucht die Community stets aktiv nach Lösungen, um die Probleme selbst zu beheben. Wie für das Energieproblem von Bitcoin und Co. dürften auch für die Sandwich-Attacken Lösungen entwickelt werden. Offen bleibt, ob die Gesetzgeberin vor dem technologischen Durchbruch einschreitet.