Wie Hardware im Wert von 800 $ den Datenverkehr von Bitcoin-Minern über Satellit ausspähen kann

Forscher der UC San Diego und der University of Maryland haben Ergebnisse veröffentlicht, die zeigen, dass etwa die Hälfte der GEO-Satelliten-Downlinks Daten ohne Verschlüsselung überträgt.

Darüber hinaus kann das Abfangen von Daten mit nur 800 US-Dollar an handelsüblicher Hardware reproduziert werden.

Laut WIRED erfasste das Team Telco-Backhaul, industriellen Steuerungsverkehr und Kommunikationsdaten von Strafverfolgungsbehörden und meldete, wo möglich, Korrekturen an betroffene Anbieter.

Die Systems and Networking Group der UCSD listet das Paper „Don’t Look Up“ für die CCS 2025 in Taipeh auf und unterstreicht damit, dass es sich nicht um eine Labor-Kuriosität, sondern um eine dokumentierte, peer-reviewte Offenlegung handelt. Die Methode zielt auf Legacy-Satelliten-Backhaul ab und nicht auf eine einzelne Anwendungsschicht.

Darüber hinaus deckte die Studie nur einen Teil der von San Diego aus sichtbaren Satelliten ab, was auf eine größere globale Angriffsfläche hindeutet.

Bitcoin im Weltraum – neue Risiken durch günstige Hardware

Für Bitcoin-Miner und -Pools, die von abgelegenen Standorten aus operieren, ergibt sich eine klare Zuordnung zu einer betrieblichen Entscheidung: Transportsicherheit auf dem Pfad, der Stratum überträgt.

Stratum ist das Protokoll, das Miner mit Pools verbindet, Arbeitstemplates verteilt, Shares und Blockkandidaten sammelt, Hashpower lenkt und bestimmt, wie Belohnungen abgerechnet werden.

Historische Implementierungen von Stratum V1 laufen oft über unverschlüsseltes TCP, es sei denn, Betreiber aktivieren explizit TLS. Das bedeutet, dass Pool-Endpunkte, Miner-Identifikatoren und Job-Templates Funkstrecken im Klartext durchlaufen können, wenn Satcom-Backhaul im Einsatz ist.

Die Stratum V2-Spezifikation liefert standardmäßig authentifizierte Verschlüsselung mit einem Noise-Handshake und AEAD-Chiffren, wodurch die passive Abhörmöglichkeit geschlossen und die Integrität gegen Share-Hijacking-Versuche gehärtet wird, die auf Manipulation von Upstream-Verkehr angewiesen sind.

Laut der Stratum V2-Sicherheitspezifikation können Betreiber ältere Geräte über einen Übersetzungs-Proxy anbinden, sodass kein Firmware-Tausch auf ASICs erforderlich ist, um Sitzungen zu verschlüsseln.

Dieser Satellitenbefund betrifft nicht jedes „Bitcoin over space“-System.

Blockstream Satellite sendet öffentliche Bitcoin-Blockdaten als unidirektionalen Downlink und seine Satellite API unterstützt verschlüsselte Nachrichten von Absendern, was es in eine andere Kategorie als GEO-Backhaul einordnet, das privaten Steuerungsverkehr transportiert.

Laut Blockstream dient der Dienst dazu, die Netzwerkresilienz für den Empfang von Blöcken in Regionen mit schlechter Internetanbindung zu verbessern und nicht dazu, Pool-Zugangsdaten oder Miner-Steuersitzungen zu übertragen. Das Netzwerk-Update von Blockstream im Mai bestätigt den laufenden Betrieb und Frequenzänderungen und ändert nichts am Bedrohungsmodell für Stratum-Verbindungen, die Miner kontrollieren.

Kostendruck spielt bei der Einführung von Sicherheitsmaßnahmen eine Rolle. Die Hashrate liegt bei etwa 1,22 ZH/s, und die jüngsten Miner-Ökonomien setzen den Hashprice Ende September bei etwa 51 US-Dollar pro PH pro Tag an, mit einer Prognose im hohen Vierzig- bis niedrigen Fünfzigerbereich bis in die erste Hälfte 2026.

Laut Hashrate Index zeigt die aktualisierte Heatmap für Q4 2025 die Anteile der Länder, was Rückschlüsse darauf zulässt, wo Satelliten-Backhaul aufgrund terrestrischer Einschränkungen häufiger ist. Die aktuellen Einnahmebedingungen bedeuten, dass Betreiber die Betriebskosten genau beobachten, doch der Hauptaufwand für Transportverschlüsselung ist Ingenieurszeit, nicht neue Hardware, was die Hürde für kurzfristige Härtung senkt.

Ein einfaches Sensitivitätsmodell zeigt das Risiko, wenn Netzwerkteile weiterhin Stratum V1 über unverschlüsselte Satellitenverbindungen senden.

Sicherheitsmodellierung

Lassen Sie H die gesamte Hashrate nahe 1.223 EH/s bezeichnen und definieren Sie p_sat als den Anteil mit Satelliten-Backhaul, p_geo als den Anteil davon auf GEO statt verschlüsseltem LEO oder terrestrisch, und p_v1 als den Anteil, der weiterhin Stratum V1 ohne TLS betreibt.

Die gefährdete Hashrate entspricht H × p_sat × p_geo × p_v1. Die folgenden Bereiche veranschaulichen die Größenordnung der Gefährdung und den Wert der Migration zu TLS oder Stratum V2.

Szenario-Annahmen (p_sat / p_geo / p_v1) EH/s mit Vertraulichkeitsrisiko

Niedrig	0,5% / 30% / 20%	0,37
Basis	1% / 50% / 40%	2,45
Hoch	3% / 60% / 50%	11,01
Worst-Case	5% / 60% / 60%	22,01

Die betriebliche Empfehlung ergibt sich direkt aus dem Protokoll-Stack.

Zuerst sollte TLS auf allen Stratum V1-Endpunkten und den davor geschalteten Routern erzwungen werden. Dann sollte für neue Verbindungen Stratum V2 bevorzugt und ein SV1→SV2-Übersetzungs-Proxy hinzugefügt werden, wo Hardware-Beschränkungen bestehen.

TLS 1.3-Handshakes sind in einer Round-Trip-Zeit abgeschlossen, und Produktionsmessungen zeigen geringe CPU- und Netzwerkbelastung auf modernen Systemen.

Die Leistungseinbußen sind in den meisten Implementierungen begrenzt, was einen häufigen Einwand für abgelegene Standorte, die Latenz und Auslastung beobachten, entkräftet. Laut Stratum V2-Spezifikation schützt authentifizierte Verschlüsselung sowohl die Vertraulichkeit als auch die Integrität der Kanalnachrichten, wodurch der einfache Erfolg für passive Lauscher, wie in der Satellitenstudie dokumentiert, entfällt.

Backhaul-Entscheidungen sind wichtiger als Header-Verschlüsselung.

Wo Betreiber Legacy-GEO vermeiden können, reduziert ein verschlüsselter LEO-Dienst oder ein terrestrischer Pfad das Abhör-Risiko, obwohl keine Transportwahl die Endpunktsicherheit ersetzt.

Wenn GEO weiterhin notwendig ist, sollte Verschlüsselung auf jedem Hop erzwungen, unsichere Management-Interfaces auf Satellitenmodems deaktiviert und auf Anomalien in Share-Mustern und Endpunktabweichungen überwacht werden, die auf Störungen hindeuten könnten.

Die Arbeit von UCSD und UMD zeigt, dass Downlink-Abhören mit handelsüblicher Hardware günstig und skalierbar ist, was jede Annahme schwächt, dass Funkverbindungen aufgrund physischer Distanz zum Angreifer unbeachtet bleiben.

Anbieter, darunter T-Mobile, haben nach Offenlegung spezifische Befunde adressiert, was zeigt, dass Abhilfe praktisch ist, sobald Sichtbarkeit besteht.

Kann das behoben werden?

Das nächste Jahr wird zeigen, wie schnell Pools und Miner verschlüsselten Transport zum Standard machen. Ein Weg ist „secure by default“, bei dem Pools V1 nur noch über TLS akzeptieren und V2 breit fördern. Übersetzungs-Proxys erleichtern den Übergang für ältere Flotten und verkürzen das Zeitfenster für Abhörversuche.

Ein langsamerer Weg lässt einen langen Nachlauf unverschlüsselter oder teilweise verschlüsselter Standorte zurück, was opportunistische Angriffsflächen für Akteure mit Uplink-Störfähigkeiten schafft.

Ein dritter Weg widersteht Veränderungen und setzt auf Obskurität, was immer schwerer zu rechtfertigen ist, da Werkzeuge aus der Studie sich verbreiten und Proof-of-Concepts von der Wissenschaft in Hobbyisten-Communities wandern.

Keine dieser Entwicklungen erfordert Protokoll-Innovationen, sondern nur Implementierungsentscheidungen, die mit gut verstandenen Grundprinzipien übereinstimmen.

Verwirrung um Blockstream Satellite kann von der umsetzbaren Lösung ablenken. Pool-Zugangsdaten sind nicht Teil der Übertragung öffentlicher Blockdaten, und die API unterstützt verschlüsselte Nutzdaten für Benutzernachrichten, was Resilienz von der Privatsphäre der Steuerungsebene trennt.

Der Dienst stärkt die Redundanz auf der Empfangsseite für das Bitcoin-Netzwerk in Regionen mit schwacher Konnektivität und ersetzt nicht die Transportsicherheit auf Miner-zu-Pool-Verbindungen.

Die Studie macht für Betreiber, die am Rand mit Funk-Backhaul arbeiten, eines deutlich: Steuerungsverkehr im Klartext ist jetzt trivial zu beobachten, und die Verschlüsselung von Stratum ist eine unkomplizierte, ressourcenschonende Lösung.

Der betriebliche Weg ist heute TLS für V1 und dann Stratum V2.

Noderunner-Risiko

Node-Betreiber, oder „Noderunner“, haben ein anderes Risikoprofil als Miner, da Bitcoin-Nodes typischerweise öffentliche Blockchain-Daten empfangen und weiterleiten, nicht aber private Zugangsdaten oder Zahlungsanweisungen.

Das Betreiben eines Full Nodes erfordert nicht die Übertragung sensibler Authentifizierungsdaten über eine Satellitenverbindung; die ausgetauschten Daten, Blöcke und Transaktionen sind bereits von Haus aus öffentlich.

Wenn ein Node jedoch auf GEO-Satelliten-Backhaul für bidirektionalen Internetzugang angewiesen ist, gilt die gleiche Gefährdung wie für jeden unverschlüsselten TCP-Verkehr: Peers, IPs und Metadaten von Nachrichten könnten beobachtet oder gefälscht werden, wenn Transportsicherheit fehlt.

Die Nutzung von Tor, VPNs oder verschlüsselten Overlay-Netzwerken wie I2P minimiert diese Angriffsfläche.

Im Gegensatz zu Minern, die Stratum V1 nutzen, leaken Node-Betreiber keine werttragenden Steuerungsdaten, sollten aber dennoch Management-Interfaces und Netzwerktunnel verschlüsseln, um Deanonymisierung oder Routing-Interferenzen zu verhindern.

Der Beitrag How $800 hardware can sniff Bitcoin miner traffic via satellite erschien zuerst auf CryptoSlate.