[newsletter]
Am 10. September wurden bei einer Bitcoin-Transaktion knapp 20 BTC, über eine halbe Million US-Dollar, an Gebühren bezahlt. Der Softwareentwickler mononaut hat sich den Vorfall genauer angeschaut und eine mögliche Antwort auf die Frage gefunden, wer und was dahinter stecke.
Eine Transaktion im Block 807057
Als der F2-Mining-Pool am 10. September den Block 807057 gefunden hatte, konnten die Pool-Betreiber sicherlich zunächst ihren Augen nicht trauen. Bei einer der im Block enthaltenen Transaktionen wurden über 8,1 Millionen sat/vB bezahlt, was letztlich zu einer Gebühr von circa 19,82 Bitcoin oder umgerechnet mehr als 510.000 US-Dollar führte – die höchste jemals gezahlte Gebühr (in US-Dollar) seit Beginn des Bitcoin-Netzwerks.
Da man bei Bitcoin aufgrund dessen transparenter Eigenschaften alle Transaktionen überprüfen kann, konnte man schnell herausfinden, dass die betroffene Adresse ein hohes Transaktionsvolumen vorzuweisen hatte. Bereits mehr als 750.000 BTC waren bis zum Zeitpunkt der Rekordgebühr auf der Adresse ein- und ausgegangen. Somit konnte man recht schnell vermuten, dass es sich dabei um eine Adresse einer Exchange handeln könnte.
Die Analyse von mononaut
Der Softwareentwickler mononaut hat den Vorfall verfolgt, etwas recherchiert und nun seine Einschätzung veröffentlicht. Demnach gehört die Adresse einer Hot-Wallet, die im Juli dieses Jahres in Betrieb genommen wurde. Die Transaktionsaktivitäten der Wallet sind auf die automatisierte Verarbeitung von Abhebungen in FIAT-Währung zurückzuführen und gleichen einer jetzt inaktiven Wallet, die auf dem Block-Explorer OXT als Wallet von PayPal gekennzeichnet ist. Dass die beiden Adressen in Verbindung stehen, kann man auch anhand einer Zwischenadresse und den Transaktionen erkennen. Die betroffene Adresse müsste also dem Zahlungsdienstleister PayPal zuzuordnen sein, der Bitcoin im Wert von circa einer halben Milliarde US-Dollar hält. Paypal bietet seinen US-Kunden schon seit längerer Zeit die Zahlungen mit Bitcoin an und arbeitet neuerdings auch mit dem Wallet-Hersteller Ledger zusammen.
Um ganz sicherzugehen, habe ich einige bekannte PayPal-Abhebungen auf der Blockchain herausgesucht.
Natürlich ist es möglich, dass dies von einem Drittanbieter durchgeführt wird, aber soweit ich weiß, verwaltet PayPal seine Bitcoin intern.
@mononautical auf 𝕏
Softwarefehler und Unachtsamkeit
Alles deutete darauf hin, dass für die überbezahlte Gebühr ein Softwarefehler die Ursache war. Mononaut verwies dabei auf die Theorie von Jameson Lopp, die besagt, dass ein Nutzer eine Abbuchung an die einzige Adresse der Hot-Wallet durchführen wollte.
Mononaut bemerkte, dass solch ein Fehler leicht passieren könne und er eigentlich bei der Überprüfung hätte erkannt werden müssen.
Noch wichtiger ist, dass es Überwachungs- und Sicherheitskontrollen hätte geben müssen, um den Verlust von Geldern zu verhindern.
Tatsächlich lief das System offenbar *völlig unüberwacht*, da PayPal die Abhebungen fast 24 Stunden lang nicht bemerkte oder stoppte.
@mononautical auf 𝕏
Erst einen Tag nach der Rekordgebühr wurden die Transaktionen der Hot-Wallet gestoppt, jedoch nach fünf Stunden Pause erneut gestartet.
Glücklicherweise wurde der Block von dem Mining-Pool „F2Pool“ gemined, der die knapp 20 Bitcoin zunächst beiseite gelegt hat und sie zurückgeben würde. Wenn sich nach drei Tagen jedoch niemand meldet und die Bitcoin der fehlerhaften Transaktion beansprucht, würden sie auf die Miner verteilt werden.
Wir werden diese 20 BTC erst einmal auf Eis legen. Sie werden an die Miner verteilt, wenn nach drei Tagen niemand kommt, um sie einzufordern.
@satofishi auf 𝕏
PayPal bestätigt Vorfall
Inzwischen hat sich PayPal zu dem Vorfall geäußert und ihn bestätigt. Jedoch lag der Fehler nicht bei PayPal, sondern beim Unternehmen Paxos, das – entgegen der Vermutung von mononaut – als PayPals Infrastrukturpartner agiert.
Paxos hat die BTC-Netzwerkgebühr am 10. September 2023 überbezahlt. Dies hatte nur Auswirkungen auf den Geschäftsbetrieb von Paxos. Paxos-Kunden und Endverbraucher waren nicht betroffen und alle Kundengelder sind sicher. Es handelte sich um einen Fehler bei einer einzigen Überweisung, der inzwischen behoben wurde. Paxos ist in Kontakt mit dem Miner, um die Gelder zurückzuerhalten.
PayPal-Sprecher im Interview
UPDATE: Inzwischen hat der Mining-Pool dem Unternehmen Paxos die fehlerhafte Rekordgebühr von mehr als 19,82 BTC zurückerstattet.
Abschließend bemerkte mononaut bei seiner Analyse, dass es viel zu einfach war, die gesamte Wallet-Struktur von PayPal und die Zahlungshistorie anhand einer bekannten Transaktion aufzuschlüsseln. Demnach sind Wallets mit nur einer Adresse aus der Sicht des Datenschutzes nicht geeignet. Schließlich stellte er fest, dass die Handhabung großer Unternehmen wie PayPal oder Paxos mit der „komplexen und gnadenlosen“ Bitcoin-Software letztlich viel schlechter ist, als man erwarten könnte. In diesem Fall wurde Paxos letztlich durch die Kulanz des Mining-Pools vor Schlimmerem bewahrt.
Der Vorfall sollte eine Warnung für alle sein! Es ist sehr wichtig, bei Bitcoin-Transaktionen genau auf die Details zu achten und sie mehrfach zu überprüfen – vor allem, wenn es um große Geldbeträge geht.
