Ein Cyberangriff auf den chinesischen Mining-Pool Lubian aus dem Jahr 2020 wurde erst jetzt durch Blockchain-Forensik bekannt. Die Angreifer erbeuteten rund 127.426 Bitcoin – zu jenem Zeitpunkt etwa 3,5 Milliarden US-Dollar wert und damit der größte Raubzug der Bitcoin-Geschichte. Heute entspricht dies einer Summe von rund 14,5 Milliarden US-Dollar.

LuBian stieg Anfang 2020 rasant zum sechstgrößten Mining-Pool im Bitcoin-Netzwerk auf. Die Plattform bewarb sich selbst als »der sicherste, ertragreichste Mining-Pool der Welt«. Bereits im Februar 2021 verschwand Lubian jedoch aus der Öffentlichkeit – ohne offizielle Erklärung. Beobachter vermuteten entweder eine Schließung durch Behörden oder einen Rückzug in private Strukturen.

Cyberangriff im Dezember 2020

Neue Analysen der Blockchain-Forensiker von Arkham Intelligence belegen nun einen umfassenden Sicherheitsvorfall: Am 28. Dezember 2020 entwendeten Angreifer rund 127.426 BTC (Bitcoin) – etwa 90 Prozent der damaligen Pool-Reserven – in einer einzigen Transaktion. In den Tagen darauf wurden weitere Wallets auf der Bitcoin-Omni-Layer-Chain mit insgesamt sechs Millionen US-Dollar in BTC und Tether (USDT) kompromittiert. Ende des Jahres versuchte das Unternehmen, verbleibende Vermögenswerte in Rettungsadressen zu übertragen.

Anzeige

Schwachstelle in der Schlüsselgenerierung

Laut Arkham nutzten die Angreifer keine herkömmlichen Hacking-Methoden, sondern eine Schwachstelle im Verfahren zur privaten Schlüsselgenerierung. Diese ermöglichte vollen Zugriff auf die Wallets – ohne sofortige Erkennung durch interne Kontrollmechanismen.

Lubian versandte daraufhin über 1.500 sogenannte OP_RETURN-Nachrichten an die Blockchain – eine Methode zur Einbettung von Textdaten in Transaktionen. Darin bot das Unternehmen eine Belohnung für die Rückgabe der gestohlenen Mittel.

Aktueller Verbleib der gestohlenen Bitcoin

Bis Mitte 2025 bleibt der Großteil der erbeuteten Bitcoin – inzwischen rund 14,5 Milliarden US-Dollar wert – unangetastet. Im Juli 2024 wurden die Coins in einer Sammeladresse konsolidiert. Beobachter vermuten, dass der oder die Täter entweder auf einen geeigneten Zeitpunkt zum Abfluss warten oder aus Sicherheitsgründen zur Inaktivität gezwungen sind.

LuBian selbst konnte laut Arkham rund 11.886 BTC (aktueller Wert: etwa 1,35 Mrd. USD) retten.

Als bislang größter bekannte Bitcoin-Hack der Geschichte galt der Mt. Gox-Hack aus den Jahren 2011 bis 2014. Dabei wurden insgesamt etwa 850.000 Bitcoin gestohlen – zum damaligen Kurs ein Schaden von rund 450 Millionen USD, nach heutigem Stand wären das über 50 Milliarden US-Dollar.

Fehlende Transparenz und regulatorische Fragen

Bemerkenswert ist, dass der Vorfall weder im Jahr 2020 noch in den Folgejahren öffentlich gemacht wurde. Erst die Analyse historischer Transaktionsdaten durch Arkham brachte den Vorfall ans Licht.

Die fehlende Kommunikation rückt Fragen zur Meldepflicht von Sicherheitsvorfällen im Kryptosektor in den Fokus. Die Diskussion über regulatorische Anforderungen an Mining-Pools, Custodians und Börsen erhält damit neue Relevanz – insbesondere im Hinblick auf Rechenschaftspflicht und Schutz von Anlegerinteressen.