Sicherheitslücke in Blockchain-Plattform entdeckt
Das ETH-Spin-off Chainsecurity hat quasi in letzter Minute eine Sicherheitslücke entdeckt bei einem geplanten Upgrade der Blockchain-Plattform Ethereum.
Das digitale Zahlungsmittel Ether ist nach Bitcoin die am zweith?ufigsten verbreitete Kryptow?hrung. Technologisch gesehen ist die Blockchain-Plattform Ethereum, auf der Ether umgesetzt werden, jedoch dem Marktführer um einiges voraus. W?hrend Bitcoins praktisch ausschliesslich für Geldtransaktionen genutzt werden k?nnen, k?nnen auf Ethereum die Transaktionen zus?tzlich an vertragliche Bedingungen, sogenannte ?smarte Vertr?ge?, geknüpft werden. Das sind kleine Computerprogramme, die ausgeführt werden, wenn die entsprechende Geldtransaktion stattgefunden hat, oder die umgekehrt eine Geldtransaktion oder eine Datenlieferung ausl?sen, wenn sie ausgeführt werden.
Am vergangenen Mittwoch h?tte Ethereum eines seiner regelm?ssigen Upgrades erfahren sollen. Dieses wurde jedoch in letzter Minute gestoppt – aufgrund eines Hinweises des ETH-Spin-offs externe SeiteChainsecurity. Hubert Ritzdorf, technischer Direktor von Chainsecurity und ehemaliger ETH-Doktorand, ist aufgefallen, dass das Upgrade eine Sicherheitslücke ?ffnen würde. Er informierte das Ethereum-Kernteam, worauf dieses das Upgrade stoppte. ?W?re das Upgrade wie geplant durchgeführt worden, h?tten Nutzer mit Missbrauchsabsicht gewisse Vertr?ge angreifen und so das Konto anderer Nutzer plündern k?nnen?, erkl?rt Ritzdorf.
Konkret w?re die Sicherheitslücke entstanden, weil Ethereum den Preis, welche Nutzer für die Ausführung von smarten Vertr?gen bezahlen müssen, deutlich senken wollte. Dies mit dem Ziel, die Benutzerfreundlichkeit zu erh?hen. Allerdings h?tte diese ?nderung dazu geführt, dass Nutzer mit Missbrauchsabsicht verschachtelte smarte Vertr?ge h?tten aufsetzen k?nnen, welche eine Transaktion im Hintergrund mehrmals statt nur einmal durchführen. Somit w?re es m?glich gewesen, das Ether-Konto anderer Nutzer zu plündern. Gegenw?rtig verunm?glicht eine Kombination von h?heren Vertragspreisen und eines Maximalbetrags pro Transaktion das Ausführen von versteckten smarten Vertr?gen im Hintergrund.
T?V für smarte Vertr?ge
Chainsecurity wurde vor einem Jahr von ETH-Professor Martin Vechev und den ehemaligen ETH-Doktoranden Ritzdorf und Petar Tsankov gegründet. Die Firma verfolgt generell das Ziel, Blockchain-Technologien sicherer zu machen. Dazu entwickelt und betreibt Chainsecurity automatisierte Scan-Programme für smarte Vertr?ge. Anbieter solcher smarten Vertr?ge k?nnen sich von der Firma auditieren und somit die Sicherheit ihrer Vertr?ge garantieren lassen. Chainsecurity ist also quasi ein T?V für smarte Vertr?ge. Von Interesse ist das für Firmen, welche das Kryptogeld auf den Markt bringen (?schürfen?), aber auch für alle anderen Anbieter von Blockchain-Produkten, zum Beispiel Handelsplattformen und Versicherungen.
Die aktuelle Sicherheitslücke entdeckte Ritzdorf vor wenigen Tagen, als er dabei war, m?gliche Auswirkungen des geplanten (und vorab im Detail ver?ffentlichten) Ethereum-Upgrades auf bestehende smarte Vertr?ge von Firmenkunden auszumachen sowie die firmeneigenen Werkzeuge zur Sicherheitsprüfung zu aktualisieren.
?Smarte Vertr?ge werden weder von Menschen ausgeführt noch von einem Computersystem, das von einer einzelnen Firma kontrolliert ist. Vielmehr werden sie von einer Art weltumspannenden Maschine ausgeführt. Dies schafft grosses Vertrauen punkto Sicherheit?, erkl?rt Tsankov von Chainsecurity. ?Allerdings ist die Sicherheit nur dann hoch, wenn die Software und die einzelnen smarten Vertr?ge keine Sicherheitslücken aufweisen. Dies zu überprüfen und unseren Kunden die Sicherheit zu garantieren, ist unser Gesch?ftsmodell.?