Skip to main content

Wegen Taproot: Binance stiehlt Nutzer seine Bitcoins

Am von
Binance Fail Taproot

Gestern wurde im Bitcoin Stackexchange-Forum ein Fall öffentlich, bei dem ein Nutzer einen unfassbaren Vorgang schilderte, in dessen Verlauf die beliebte Kryptobörse Binance ihn um seine Bitcoins betrog. Im Mittelpunkt des ganzen steht ein Announcement von Binance selbst, das neue Taproot Upgrade des Bitcoin-Netzwerks und ein unverschämter Support.

Nun aber der Reihe nach:

Der Nutzer Mario fragte im größten Forum für Bitcoin Fragen nach Hilfe, da Binance ihn durch einen unglaublichen Vorfall seiner Bitcoins beraubte und er wissen wollte, ob es eine Möglichkeit gibt, die Bitcoins wiederzuerlangen.

Binance mit Taproot Support?

Mario erinnerte sich daran, dass die Kryptobörse Binance im Rahmen des Taproot-Upgrades ankündigte, das neue Pay-to-Taproot (P2TR) Adressformat zu unterstützen. Die Ankündigung für die Unterstützung erschien bereits Anfang November auf deren Webseite.

Aus diesem Grund gab der Binance-User vor einigen Tagen eine Abhebung für seine Bitcoins auf eine neue P2TR-Adresse (bc1p…) bei der Kryptobörse in Auftrag.

Dieser wurde von Binance wie üblich ohne weiteres akzeptiert und es gab keinerlei Warnhinweise für ein unbekanntes Adressformat oder ähnliches.

Mario wurde eine Transaktions-ID angezeigt und die BTC von seinem Binance-Konto abgebucht.

Alles schien funktioniert zu haben.

Binance taproot
Die Taproot-Ankündigung. Quelle: Binance

Aus p mach q!

Als nach einigen Tagen die Transaktion noch immer nicht auf seinem Ledger-Konto eingegangen ist, wurde Mario misstrauisch und sah sich daraufhin die Transaktions-ID in einem Blockexplorer etwas näher. Was er dann zu sehen bekam, konnte er kaum glauben.

Die Auszahlung ging gar nicht an die von ihm angegebene Adresse. Binance wandelte einfach seine Taproot-Adresse (bc1p…) in eine Native-Segwit-Adresse (bc1q…) um und sendete das Guthaben an diese.

Wie so etwas bei einem Marktführer wie Binance passieren kann, ist sowohl Mario als auch uns ein Rätsel.

Unverschämter Support

Nachdem Mario den Fehler bemerkt hatte, kontaktierte er natürlich umgehend den Support bei Binance. Die Antworten, die er im Laufe seines Austauschs mit dem Support-Team bekam, waren jedoch mehr als unbefriedigend.

Der Binance-Support erklärte, dass P2TR-Adressen gar nicht unterstützt würden und dass das System diese deswegen automatisch in das native SegWit-Format umwandelt.

(Wir erinnern uns: HIER hat Binance im November bereits angekündigt, dass P2TR-Adressen unterstützt werden.)

Außerdem, soll laut der Aussage des Support-Teams eine Warnung angezeigt werden, wenn eine Abhebung auf eine Taproot-Adresse beauftragt wird. Wir haben das gecheckt – dies ist eine Lüge. Es gibt keine Warnung!

Das Schlimmste und unfassbar unverschämt ist jedoch, dass das Binance-Team den Fehler nicht nur nicht einsieht, sondern dem User auch noch dazu rät, doch „einfach bei Ledger nachzufragen, dass diese ihm die Adresse wieder umwandeln, damit er Zugriff darauf hat“.

Quelle: Twitter

Dies ist technisch gesehen aber überhaupt nicht möglich und somit eine völlige Nonsens-Antwort. Genau um solche Fehler zu verhindern, gibt es Checksummen. Binance hat die P2TR-Checksumme also entweder garnicht geprüft oder absichtlich falsch interpretiert. Der kürzlich von seinem Posten zurückgetretene ehemalige Bitcoin-Maintainer Samuel Dobson hatte eine nette Metapher aus dem traditionellen Bankwesen für das Verhalten von Binance parat:

„Tut uns leid, wir unterstützen keine Überweisungen an diese Bank. Also haben wir einfach dieselbe Kontonummer verwendet, aber bei einer anderen Bank. Viel Spaß!“ 🙃

Samuel Dobson bei Twitter

Keine Einsicht bei Binance

Im Grunde sind sich alle Entwicklerinnen und Entwickler, die sich an der Diskussion beteiligten, einig. Die Schuld liegt hier ganz eindeutig bei Binance und nicht beim Nutzer. Einige Leute sind sogar der Meinung, dass Mario nicht nur seine Bitcoins erstattet bekommen sollte, sondern dass er darüber hinaus noch einen Bonus aus dem Bug-Bounty-Programm (Nutzer können Fehler im System melden und dafür vergütet werden) von Binance erhalten sollte, da er einen extrem schwerwiegenden Fehler aufgedeckt hat.

Mario erklärte bei Twitter darauf hin, dass er tatsächlich das Problem für eine Bug-Bounty bei Binance einreichte. Seine Einreichung wurde allerdings von der Börse abgewiesen.

Wir halten das Verhalten von Binance für eine riesengroße Unverschämtheit und hoffen, dass der Druck aus der Community doch noch dazu führen wird, dass die Börse dem Nutzer seine verlorenen BTC erstattet.


Wer sich nach diesem Vorfall nach einer guten Binance-Alternative umsehen möchte, wird eventuell bei einer von diesen drei Börsen fündig:

Die niederländische Coinbase-Alternative

Übersichtlich, anfängerfreundlich und sehr günstig Kryptowährungen kaufen
  • EU-reguliert
  • Sehr übersichtliches Dashboard
  • Echtzeitüberweisung (Instant-Sepa)
  • Viele sicherheitsrelevante Features
  • Großes Angebot an Kryptowährungen
  • Die ersten 1000€ sind gebührenfrei handelbar