Nur noch zwei Versuche verbleiben dem Programmierer Stefan Thomas, um an sein Bitcoin-Vermögen von rund 250 Millionen Dollar zu gelangen.
Führt der Verlust eines Passwortes zum Verzicht auf 7.002 Bitcoin im Wert von ca. 242.380.000 US-Dollar? Diese Frage stellt sich gerade für den aus Deutschland stammenden, aber in San Francisco lebenden, Programmierer Stefan Thomas. Seine Geschichte erzählt er TheNewYorkTimes als warnendes Beispiel für andere.
Im Jahr 2011 erhielt Stefan Thomas, ehemaliger CTO des Blockchain-Unternehmens Ripple Labs, für die Produktion eines bei Bitcoin-Anhängern beliebten animierten Videos, 7002 Bitcoins. In dem Clip erklärt er Begriffe rund um die Kryptowährung. Thomas verwahrte anschließend die Bitcoin in seiner „digital Wallet“. Das Wallet-Passwort sicherte er auf einer IronKey-Festplatte und lies dann alles ruhen. Zusätzlichen Schutz versprach er sich noch durch das handschriftliche Notieren seines IronKey-Passworts auf einem Zettel. Damals lag der Wert bei 2 bis 6 Dollar pro Bitcoin.
Inzwischen sind zehn Jahre vergangen. Der Bitcoin-Wert ist seither auf satte 34.000 US-Dollar gestiegen. Vor neun Jahren stellte Thomas zum ersten Mal fest, dass er keinen Konto-Zugang mehr hatte. Der Zettel mit der Notiz des IronKey-Passworts ist mittlerweile unauffindbar, das Passwort zudem gänzlich aus seinem Gedächtnis verschwunden. Demzufolge gelangt Thomas auch nicht mehr an seinen privaten Schlüssel, den er benötigt, um Zugriff auf seine Bitcoin zu erhalten. Dieses Wallet-Passwort dient der Bestätigung von Bitcoin-Transaktionen. Es kann zu einem späteren Zeitpunkt nicht mehr geändert werden. Sollte man das Passwort verlieren, ist gleichfalls der Zugang zur Wallet gesperrt.
Aber auch seine externe Festplatte, IronKey, ist mit einem Passwort gesichert. Hier stehen dem Nutzer nur zehn Versuche frei, das richtige Passwort einzugeben. Nach zehn Falscheingaben bleibt der Zugriff auf den Inhalt verwehrt, das Gerät verschlüsselt dann alle Inhalte automatisch. Thomas hat seitdem bereits acht der für ihn am häufigsten verwendeten Passwortformulierungen ohne Erfolg ausprobiert. Infolge verbleiben ihm hierfür nur noch zwei Versuche, bevor das System seine „digital Wallet“ für immer abschaltet und die Bitcoin-Dateien verschlüsselt.
Stefan Thomas resigniert angesichts dieser aussichtslosen Situation: sind seine Bitcoin für immer verloren?
„Ich lag einfach im Bett und dachte darüber nach. Dann würde ich mit irgendeiner neuen Strategie an den Computer gehen, und es würde nicht funktionieren, und ich würde wieder verzweifelt sein.“ […] „Die Idee, seine eigene Bank zu sein – lassen Sie es mich so ausdrücken: Macht man seine Schuhe selber? Der Grund, warum wir Banken haben, ist, weil wir keine Lust haben, uns mit all den Dingen zu beschäftigen, die Banken machen.“
Inzwischen haben aufgrund des Bekanntwerdens der Geschichte durch die NYT Sicherheitsexperten, wie der ehemalige Facebook-Sicherheitschef Alex Stamos, Thomas bereits öffentlich Hilfe via Twitter angeboten. Er schrieb, er könne binnen sechs Monaten das Passwort knacken. Er verlangte dafür zehn Prozent von Thomas‘ Bitcoin-Vermögen. Allerdings meinte er das nur als Scherz, wie sich später herausstellte:
„Ich scherze, wenn ich sage, dass ich es freischalten werde. Es ist etwas, das untersucht werden sollte, aber ich bin nicht die richtige Person. Bitte hören Sie auf, Leute zu schicken, die mich bitten, ihre Wallets aufzuschließen.“
https://twitter.com/alexstamos/status/1349087929100996609
Thomas hofft nun dennoch darauf, dass Spezialisten doch eine Möglichkeit finden, auch so komplexe Passwörter wie seines zu entschlüsseln. Bei Twitter veröffentlichte er sein Fazit:
„Eine schmerzhafte Erinnerung. Ich hoffe, andere können aus meinen Fehlern lernen. Testen Sie Ihre Backups regelmäßig, um sicherzustellen, dass sie noch funktionieren. Eine Unze Voraussicht hätte ein Jahrzehnt des Bedauerns verhindern können.“
A painful memory. I hope others can learn from my mistakes. Test your backups regularly to make sure they are still working. An ounce of foresight could have prevented a decade of regret.
That said, I'll do what I always do which is focus on building things, e.g. @Interledger. https://t.co/pCgObeAf4Z
— Stefan Thomas (@justmoon) January 12, 2021
Das Problem mit verlorenen Passwörtern tritt allerdings weitaus häufiger auf. Gemäß einer Chainalysis-Schätzung sind etwa 20 Prozent aller Bitcoins, ca. 140 Milliarden Euro, wegen verloren gegangener Passwörter für deren Besitzer nicht mehr verfügbar.
Tarnkappe.info