[Mittwoch 16.11.2016 – Update zu den letzten zwei Beiträgen]

xcoinx.om hat ein SSL-Zertifikat eingebaut! Die Verbindung und der Login ist nun verschlüsselt. Scheinbar liest man dort diesen Blog!? 😀

[Dienstag 15.11.2016 – Update zum letzten Beitrag]

Wie ich bereits im letzten Beitrag vermutete, wird auch das Transaktions-Passwort unverschlüsselt durch das gesamte weltweite Netz gesendet! Die Daten habe ich diesmal direkt an der Fritzbox per tcpdump-Format abgegriffen.

Also hier nochmal eine kurze Zusammenfassung. Wenn man sich bei xcoinx.com mit den Zugangsdaten von onelife.eu einloggt, wird Username und Passwort im Klartext durch das Netz geschickt. Gibt man eine Kauf- oder Verkauforder auf, wird auch das wichtige Transaktions-Passwort unverschlüsselt und im Klartext gesendet. Über ein tracerout oder für Windows tracert zu xcoinx.com sieht man, dass die Daten über ca. 8 physisch greifbare Angriffspunkte (bei mir) laufen. In meinem Fall meist Knotenpunkte wie Router oder Gateways der Deutschen Telekom.

xcoinx daten übertragung

tracert xcoinx.com

Nicht gerade prickelnd wenn man das weiß!

[Samstag 12.11.2016]

Hier wieder mal ein Update zum Thema Onecoin und xcoinx.com. Aber ACHTUNG! In dem Artikel gibt es zumindest eine handfeste Datenschutz- und Sicherheitsrelvante Super-Panne. 😉 Da viele keine Zeit zum lesen haben, hier zu Beginn gleich das relevanteste mit Screenshots.

Der Login bei xcoinx läuft über eine nicht verschlüsselte Verbindung ab. Ich sehe kein SSL/TLS Zertifikat/Verschlüsselung im Browser! Das ist definitiv ein Supergau! Meine Login-Daten mit denen ich mich auch bei onelife.eu anmelde, werden also komplett unverschlüsselt im Netz übertragen. Das ist extrem fahrlässig! Ich möchte jetzt gar nicht wissen, wie meine Coins von onelife zu xcoinx transferiert werden. Auf der einen Seite hat man nach eigenen Angaben die sicherste und beste Blockchain, die OneCoinCloud ist angeblich unhackable, und dann passiert so ein grober Schnitzer.

Ob es einfach ist solche unverschlüsselten Daten auszuspionieren? JA, es ist sehr einfach. Ich brauche nur einen Packet-Sniffer wie z.B. Wireshark und schon kann ich alle Daten mitlesen die in einem kabelgebundenem Netzwerk über die Ports laufen. In vielen Haushalten oder auch Firmen erfolgt die Internetanbindung über ein Modem/Router. Die meisten Modems z.B. Speedports oder Fritzboxen bieten eine Capture-Funktion also einen Paketmitschnitt. Auch hierüber sind alle Daten auslesbar, wenn sie nicht vorher verschlüsselt wurden. Den Admins von xcoinx sollte man für so eine Sache eigentlich das Ärschlein versohlen. Für alle die es interessiert, habe ich über Wireshark (zweiter Screenshot) meinen eigenen Login am Netzwerkport mitgeschnitten. Passwort und Name habe ich geschwärzt!

xcoinx ohne verschlüsselung

xcoinx sniff

Auf xcoinx wird der Handel mit digitalem Geld angeboten und das unverschlüsselt. Solange xcoinx.com hier nicht nachbessert und ein SSL-Zertifikat zum Einsatz kommt, würde ich niemanden empfehlen, sich über ein Firmennetzwerk oder dergleichen bei xcoinx einzuloggen. Maximal über das private eigene Netzwerk, an dem ich selber alle Ports und Netzwerkknoten kontrollieren kann.

Wie von mir in den Blogbeiträgen weiter unten beschrieben, wurde auf der internen Tradingplattform von allen Verkaufsaufträgen (es waren glaube ich 8 Stück) nur ein einziger ausgeführt. Leider sehe ich die alten Aufträge nicht mehr, da die interne Exchange von onelife.eu nicht mehr verfügbar ist. Man wird nun zu xcoinx.com weitergeleitete.

Zum Thema xcoinx.com gäbe es einiges zu sagen, würde aber hier zu weit führen. Dass man Onecoins nun auf einer externen Exchange handeln kann, ist erst einmal gut. ABER es gibt Fragen…

Wem gehört xcoinx.com, wer ist der Betreiber und was für ein rechtlicher Status gilt für die Exchange? Für meine Begriffe äußerst wichtige Fragen.

Nun, wem xcoinx.com gehört oder wer der Betreiber ist kann man leider nicht sagen, weil es auf der Seite zum jetzigen Stand keine Anbieterkennzeichnung gibt. Hierzu muss man wissen, dass in anderen Ländern z.B. auch in den USA nicht unbedingt die Angabe einer Anbieterkennzeichnung wie in Deutschland erforderlich ist. Es würde mein Vertrauen in die Exchange allerdings enorm stärken! Aber selbst coinmarketcap.com verfügt über kein Impressum.

Zur Frage welches Recht gilt, steht in den Nutzungsbedingungen von xcoinx.com, dass das Recht auf den Seychellen gilt. Die Domain selber wurde über Panama registriert und die IP-Adresse des Servers ist demselben Netzwerk zuzuordnen auf dem auch onelife.eu liegt und zwar bei Cloudflare Inc. in California, San Francisco. Wo und auf welchem Server xcoinx oder onelife direkt liegt, kann man nicht sagen da Cloudflare Inc. über ca. 74 Rechenzentren in rund 33 Ländern verfügt.

Man muss sich mit denselben Login-Daten einloggen wie bei onelife.eu! Was mir zu denken gibt, nach dem bestätigen der Nutzungsbedingungen verfügt xcoinx über dieselben Daten wie onelife.eu. Das heißt also, alle Daten einschließlich personenbezogene Daten wie Ausweis- oder Passdaten und Nummern liegen nun bei einem Anbieter dessen rechtlicher Status nach den Bedingungen auf den Seychellen geregelt ist.

Da man sich sofort mit den Login-Daten aus seinem onelife-Account bei xcoinx einloggen kann ohne sich neu registrieren zu müssen, greift xcoinx entweder auf denselben Datensatz zu wie onelife oder die Daten wurden im Vorfeld an die xcoinx-Plattform übertragen. Falls dem so wäre, ist das für meine Begriffe ein mittelschwerer Datenschutzrechtlicher Supergau. Aber drücken wir mal beide Augen (und auch die Hühneraugen) zu, auch wenn’s weh tut 😉 . Zumal der Datenschutz von Land zu Land sehr unterschiedlich geregelt ist und in den AGB’s der Firmen sicher ein entsprechender Passus eingearbeitet ist, der die Datenübernahme oder den Zugriff regelt. Falls hinter xcoinx und onelife  derselbe Betreiber steckt, wäre das evtl. auch noch in Ordnung!

Da Wochenende ist und kein Handel auf der Plattform stattfindet, werde ich kommende Woche testen, wie der Handel funktioniert bzw. ob ein Handel überhaupt möglich ist, und ob auch das Transaktions-Passwort unverschlüsselt übertragen wird. Evtl. Supergau Nr.3!?

[Mittwoch 26.10.2016]

Kurzes Update zu meinen Verkaufsaufträgen. In den letzten knapp zwei Wochen habe ich sieben Verkaufsaufträge eingegeben. Von diesen wurde bisher nur einer ausgeführt. Ich werde das Zeitlimit für die Gültigkeit der Orders zukünftig etwas länger angeben.

Onecoin verkauf sell order

[Donnerstag 20.10.2016]

Bei den zuvor geschilderten Problemen mit KYC scheint es sich um ein technisches Problem gehandelt zu haben. Mein KYC-Status wird jetzt wieder richtig angezeigt und ich kann Verkaufsaufträge stellen. Leider wurde bisher noch kein einziger meiner Aufträge ausgeführt. Es liegen nun von mir 3 Aufträge zu je 1 Onecoin als Pending auf der internen Handelsplattform an.

Das die Aufträge nicht ausgeführt werden, könnte ebenfalls technische Hintergründe haben. Allerdings sehe ich auf der internen Anzeige der Blockchain, dass die Blockchain läuft und auch Transaktionen ausgeführt werden, und das im Abstand von rund 1. Minute. Das meine Verkaufsaufträge nicht ausgeführt werden hat also mit sehr großer Wahrscheinlichkeit mit einer geringeren Nachfrage auf der Käuferseite zu tun. Denn wenn genug Kaufinteresse vorliegen würde, müssten meine 3 Onecoins Ratze-Fatze mitgenommen werden.

Geht man nun von normalen Marktbedingungen aus, haben wir also auf der Verkäuferseite ein wesentlich größeres Angebot als Nachfrage auf der Käuferseite. Das bedeutet, der interne Kurs des Onecoins müsste fallen. Das sind völlig logische und einfache Marktregeln. Wenn ich einen Haufen Äpfel habe und die Nachfrage nach meinen Äpfeln ist geringer als mein Angebot, muss ich den Preis reduzieren. Ich kann den Preis natürlich auch so lassen wie er ist oder sogar systematisch erhöhen. Ich könnte dann von mir behaupten, dass meine Äpfel die besten am Markt sind, und ich der am stärksten kapitalisierte Apfelverkäufer bin. Ich bin dann nach meinen eigenen Berechnungen der größte Apfelverkäufer in der Branche. Leider hat das Ganze einen Haken. Keiner kauft meine Äpfel!

Dieses Problem haben wir zur Zeit beim Onecoin. Es gibt zwar eine starke Nachfrage nach Ausbildungspaketen und den damit verbunden Tokens, weil viele auf einen Kursanstieg hoffen um so ihre Coins gewinnbringend verkaufen zu können. Diese Spekulationsphantasie wird von einigen Vertrieblern natürlich angefeuert. Wobei die Vorstellung auch verlockend ist, wenn ich mit Tokens im Wert von ca. 550 Euro Coins generieren kann, die dann einen Wert von rund 2000 Euro hätten. Das so etwas nicht funktionieren kann, sollte jedem klar sein. Ob sich die Kursphantasien in Zukunft bestätigen und ob die tatsächliche Nachfrage nach den Coins steigt, wird die Zeit zeigen!

Tee mit Rémy trinken 😉

[Dienstag 18.10.2016]

Nach dem Wechsel der Blockchain war für ca. 2 Wochen die interne Onecoin-Exchange gesperrt oder nicht verfügbar. Nachdem die interne Börse nun wieder funktioniert, habe ich zwei Verkaufsaufträge von je 1. Onecoin aufgegeben. Die Verkaufsaufträge wurden bisher nach nunmehr 24 Stunden noch nicht ausgeführt und stehen als Pending-Order zur Ausführung. Dass es nach dem Wechsel der Blockchain und der Erhöhung von ursprünglich 2,1 Mrd. Coins auf 120 Mrd. schwer wird Coins zu verkaufen, war mir klar. Da es ja billiger ist, ein Ausbildungspaket mit Tokens zu kaufen und Coins selbst zu minen.

Ich gehe sowieso davon aus, dass die Firma auf der internen Börse als Marketmaker agiert und einen Teil der Verkaufsaufträge selbst bedient. Denn wer soll mir einen Coin für zur Zeit 6,859 Euro auf der Geld-Seite abkaufen, wenn es wesentlich billiger ist, die Coins selber zu minen!??

Was allerdings jetzt passiert überrascht mich durchaus. Plötzlich sind meine KYC-Dokumente, welche ich schon vor längerem hochgeladen habe nicht mehr gültig! Meine Dokumente werden plötzlich als „Declined“ eingestuft. Ich werden aufgefordert, neue und gültige KYC-Dokumente hochzuladen. Ein Schelm wer böses dabei denkt. Evtl. handelt es sich aber auch nur um einen technischen Fehler. Ich werde die Sache weiter verfolgen und dazu schreiben!

 Onecoin verkauf KYC ungültig

[Freitag 30.09.2016]

Leider konnte ich aus Zeitgründen schon länger nichts mehr schreiben. Deshalb möchte ich jetzt ein paar Sachen aufgreifen und meine Sichtweise erläutern. Da ja der 1. Oktober (also morgen) für die Onecoin-Community ein großer Tag ist, ließt und hört man so einiges.

Da ich das Onecoin-System auch aus neutraler Sicht beurteilen möchte, hier ein paar Gedanken.

Am 1. Oktober wird ja die alte Onecoin-Blockchain getauscht. Es mag ab diesem Tag mehrere Änderungen im System geben, die größte Änderung ist natürlich die Erweiterung der Coins. Im alten System waren 2,1 Milliarde Coins vorgesehen. Im neuen System sind es nun 120 Milliarden. Diese Änderung ist auf jeden Fall nur dadurch möglich, weil der Onecoin von einer zentralen Stelle aus verwaltet wird. Die Firma hat die Kontrolle über das System sowie über alle Coins und die Netzknoten auf denen die Blockchain läuft und synchron gehalten wird. Inwieweit die technische Umsetzung „koscher“ und mit Standards der Blockchain-Technologie vereinbar ist, möchte und kann ich nicht beurteilen. Ein wesentliches Merkmal der Blockchain-Technologie ist aber, dass gerade ohne eine zentrale Instanz eine Einigkeit über die Inhalte erzielt werden kann. Allerdings ist es in einem dezentralen System nahezu unmöglich, das System zu wechseln oder zu tauschen.  Da sich die Blockchain selbst organisiert und synchron hält und alle Inhalte auf viele Knoten verteilt sind über die ein einzelner keine Kontrolle hat. Hätte man z.B. Coins in einer offline Wallet gespeichert oder sich die Coins auf einem USB-Stick gesichert, wären die Coins nach einem Tausch der Blockchain unbrauchbar und wertlos.

Auf der anderen Seite kann man natürlich Teile des Codes der die Blockchain erzeugt, verbessern und tauschen. Z.B. gab es bei Etherium sicherheitsrelevante Probleme. Den sogenannten DAO-Hack. So dass sich die Programmierer dazu entschieden die Etherium Classic Blockchain auf die Etherium Hardfork umzustellen. Das war allerdings ein Prozess der öffentlich nachvollziehbar war. Man hat die Nutzer des Systems drauf vorbereitet und durch Transparenz dafür gesorgt, dass die Coins also Ether auch auf der Hardfork einsatzfähig waren.

Sinnvoll wäre, wenn die Macher hinter Onecoin endlich ein paar technische Hintergrundinformationen zu ihrer Blockchain und dem System geben würden. Das Beste wäre den Code öffentlich zu machen. Auch wenn die meisten die technischen Zusammenhänge nicht verstehen würden, wäre es doch ein großer Schritt für die Community um das Vertrauen der User zum System zu stärken und zu erhalten. Denn nur dadurch ist es möglich, kritische Stimmen auszuschalten.

Es kursieren Meldungen auf verschiedenen Blogs und Webseiten, dass die polnische Regierung die Legalität des Onecoins bestätigt hätte. Das ist soweit ich es beurteilen kann, nicht richtig. In dem Antwortschreiben der polnischen Regierung Nr. 4960 steht eigentlich nach meiner Erkenntnis nur, dass Onecoin nicht gegen das Bankengesetz verstößt, dass man aber die Aktivitäten weiterhin beobachtet und die Sache durch das Amt für Wettbewerb und Verbraucherschutz weiter verfolgt. Nicht mehr und nicht weniger!

Ein weiteres Problem bei Onecoin scheint die Möglichkeit der Geldüberweisung bzw. Einzahlung zu sein. Die Bankverbindungen haben sich schon sehr oft geändert. Die letzte EU-Bankverbindung über die italienische Bank „Banca Monte dei Paschi di Siena“ musste ebenfalls wieder aufgegeben werden. Ich vermute, das lag nicht an Onecoin oder dass da etwas nicht legal gewesen wäre sondern daran, dass die Bank sehr marode ist. Am 20.09.16 musste der Handel der Bankaktien an der Mailänder Börse ausgesetzt werden. Grund war eine Meldung zu einer möglichen Kapitalerhöhung um die Bank am Leben zu erhalten. Möglicherweise hatte man bei Onecoin einfach Bedenken und hat aus diesem Grund die Bankverbindung aufgegeben. Das hier technische Probleme mit der Menge und Höhe der Zahlungseingänge ausschlaggebend waren, halte ich für eine Fehlinformation und extrem unwahrscheinlich. Warum es generell so problematisch für Onecoin ist eine gängige Bank für EU-Kunden zu finden, darüber kann man auch nur spekulieren. Ob die marode Bankenlandschaft evtl. prinzipiell ein Problem mit unabhängigen digitalen Währungen hat, weil sie nicht aus „eigener Produktion“ stammen, wäre eine Möglichkeit. Wobei aber Zahlungen an die Bank in Singapur ohne Probleme akzeptiert werden. Auch Singapur ist eine Hochburg des Kapitalismus. Alle Hedgefonds mit Rang und Namen haben hier Niederlassungen und wickeln von dort aus Geschäfte ab. Gäbe es also eine Art „Verschwörung“ der Banken gegen den Onecoin, wäre es unlogisch wenn eine Bank in Singapur Zahlungen akzeptiert und alle anderen nicht.

Im Moment ließt man auch, dass z.B. die britische FCA vor dem Onecoin warnt. Hier muss ich sagen, dass Behörden oder Verbraucherschutzverbände fast immer vor neuen Sachen, Technologien oder Geschäftsideen warnen. Da wurde auch schon vor dem Bitcoin, vor Paypal oder dem Weihnachtsmann gewarnt. Auch der Osterhase könnte Betrug sein. 😀 Solche Meldungen darf man nicht überbewerten.

Noch ein Wort zur Verifizierung der Nutzer über KYC. Es ist löblich, dass Onecoin hier zumindest Versuche unternimmt die Nutzer zu identifizieren. Die Verifizierung über ein paar eingescannte Dokumente ist aber natürlich auch kein Allheilmittel gegen Missbrauch. Es sollte keine große Hürde sein, sich z.B. im Darknet einen Posten gestohlener Identitäten samt Pass oder Ausweiskopie zu besorgen. Eine Rechnung ist dann mit Photoshop auch schnell gefälscht und hochgeladen. Und wenn man dann aus einem Land agiert in dem die Strafverfolgung sehr träge oder gar nicht vorhanden ist, könnte man natürlich auch mit Onecoins verbotene Dinge anstellen.

Kurz noch zur OneCoinCloud und dem Hackerwettbewerb welcher beweisen soll, dass das System sicher ist. Ich bin mir ziemlich sicher, dass keiner in der Lage sein wird, den Inhalt der Dateien die in einem Account auf der Cloud hinterlegt sind zu knacken. Das hat einen einfachen Grund. Die Dateien sind verschlüsselt! Sicher mit einem gängigen Verfahren wie AES oder evtl. aus einer Kaskade. Nicht einmal die NSA wäre in der Lage bei einer entsprechenden Schlüssellänge solche Daten zu entschlüsseln. Auch ich könnte so einen Hackerwettbewerb starten und in eine Cloud ein paar Daten legen die mit einer Kaskade aus AES, Twofish und Serpent zerlegt wurden. Ich wette eine Kiste Bier und eine Flasche Rémy Martin, dass niemand den Inhalt der Dateien entschlüsseln kann. Ich würde sogar noch die Login-Daten für den Account in die Cloud gratis dazu liefern. 😉

Was Beweist also der Hackerwettberweb? Nicht viel! Nur dass die Verschlüsselung der Files in der Cloud stand hält. Mehr nicht! Gegen Keylogger und Fishing-Attacken kann die beste Verschlüsselung nichts ausrichten!

Übrigens finde ich Momentan keine Infos was aus dem Wettbewerb geworden ist. Die Seite mit der Ausschreibung produziert einen Server-Error 404.

Alles in allem hat sich also nicht so viel getan oder verändert.

Mein Fazit: Es wäre gut, wenn Onecoin sich etwas mehr der Dezentralisierung nähern und die Blockchain öffnen oder wenigsten Teile davon auf Open-Source stellen würde. Ein öffentlicher Handel an öffentlich zugänglichen Crypto-Börsen wäre ebenfalls gut. Zudem wäre es sinnvoll, wenn der eine oder andere Onecoin-Vertriebler nicht zu sehr der Marktschreierei verfällt. Es ist zwar toll wenn man Menschen begeistert um sich einer Sache oder einer Idee anzuschließen. Wenn dabei aber teils Fakten falsch dargestellt und Zusammenhänge verzerrt werden, ist das eher kontraproduktiv. Greift man zu solchen Methoden ob bewusst oder unbewusst, muss man sich nicht wundern, wenn staatliche Organe oder Verbraucherschützer aufmerksam werden und Warnungen aussprechen. Was auch noch sehr sinnvoll wäre, wenn man angefangene Projekte richtig beendet. So z.B. der oben genannte Hackerwettbewerb. So eine Sache wird in der Community mit großem Geschrei angekündigt und dann gibt es plötzlich keine Informationen mehr darüber.

Zum Schluss kann ich nur sagen: Abwarten und Tee mit Rémy Martin trinken und beobachten wie sich die Sache weiter entwickelt.