Sicherheitslücke in Blockchain-Plattform entdeckt
Das ETH-Spin-off Chainsecurity hat quasi in letzter Minute eine Sicherheitsl¨¹cke entdeckt bei einem geplanten Upgrade der Blockchain-Plattform Ethereum.
Das digitale Zahlungsmittel Ether ist nach Bitcoin die am zweith?ufigsten verbreitete Kryptow?hrung. Technologisch gesehen ist die Blockchain-Plattform Ethereum, auf der Ether umgesetzt werden, jedoch dem Marktf¨¹hrer um einiges voraus. W?hrend Bitcoins praktisch ausschliesslich f¨¹r Geldtransaktionen genutzt werden k?nnen, k?nnen auf Ethereum die Transaktionen zus?tzlich an vertragliche Bedingungen, sogenannte ?smarte Vertr?ge?, gekn¨¹pft werden. Das sind kleine Computerprogramme, die ausgef¨¹hrt werden, wenn die entsprechende Geldtransaktion stattgefunden hat, oder die umgekehrt eine Geldtransaktion oder eine Datenlieferung ausl?sen, wenn sie ausgef¨¹hrt werden.
Am vergangenen Mittwoch h?tte Ethereum eines seiner regelm?ssigen Upgrades erfahren sollen. Dieses wurde jedoch in letzter Minute gestoppt ¨C aufgrund eines Hinweises des ETH-Spin-offs externe SeiteChainsecurity. Hubert Ritzdorf, technischer Direktor von Chainsecurity und ehemaliger ETH-Doktorand, ist aufgefallen, dass das Upgrade eine Sicherheitsl¨¹cke ?ffnen w¨¹rde. Er informierte das Ethereum-Kernteam, worauf dieses das Upgrade stoppte. ?W?re das Upgrade wie geplant durchgef¨¹hrt worden, h?tten Nutzer mit Missbrauchsabsicht gewisse Vertr?ge angreifen und so das Konto anderer Nutzer pl¨¹ndern k?nnen?, erkl?rt Ritzdorf.
Konkret w?re die Sicherheitsl¨¹cke entstanden, weil Ethereum den Preis, welche Nutzer f¨¹r die Ausf¨¹hrung von smarten Vertr?gen bezahlen m¨¹ssen, deutlich senken wollte. Dies mit dem Ziel, die Benutzerfreundlichkeit zu erh?hen. Allerdings h?tte diese ?nderung dazu gef¨¹hrt, dass Nutzer mit Missbrauchsabsicht verschachtelte smarte Vertr?ge h?tten aufsetzen k?nnen, welche eine Transaktion im Hintergrund mehrmals statt nur einmal durchf¨¹hren. Somit w?re es m?glich gewesen, das Ether-Konto anderer Nutzer zu pl¨¹ndern. Gegenw?rtig verunm?glicht eine Kombination von h?heren Vertragspreisen und eines Maximalbetrags pro Transaktion das Ausf¨¹hren von versteckten smarten Vertr?gen im Hintergrund.
T?V f¨¹r smarte Vertr?ge
Chainsecurity wurde vor einem Jahr von ETH-Professor Martin Vechev und den ehemaligen ETH-Doktoranden Ritzdorf und Petar Tsankov gegr¨¹ndet. Die Firma verfolgt generell das Ziel, Blockchain-Technologien sicherer zu machen. Dazu entwickelt und betreibt Chainsecurity automatisierte Scan-Programme f¨¹r smarte Vertr?ge. Anbieter solcher smarten Vertr?ge k?nnen sich von der Firma auditieren und somit die Sicherheit ihrer Vertr?ge garantieren lassen. Chainsecurity ist also quasi ein T?V f¨¹r smarte Vertr?ge. Von Interesse ist das f¨¹r Firmen, welche das Kryptogeld auf den Markt bringen (?sch¨¹rfen?), aber auch f¨¹r alle anderen Anbieter von Blockchain-Produkten, zum Beispiel Handelsplattformen und Versicherungen.
Die aktuelle Sicherheitsl¨¹cke entdeckte Ritzdorf vor wenigen Tagen, als er dabei war, m?gliche Auswirkungen des geplanten (und vorab im Detail ver?ffentlichten) Ethereum-Upgrades auf bestehende smarte Vertr?ge von Firmenkunden auszumachen sowie die firmeneigenen Werkzeuge zur Sicherheitspr¨¹fung zu aktualisieren.
?Smarte Vertr?ge werden weder von Menschen ausgef¨¹hrt noch von einem Computersystem, das von einer einzelnen Firma kontrolliert ist. Vielmehr werden sie von einer Art weltumspannenden Maschine ausgef¨¹hrt. Dies schafft grosses Vertrauen punkto Sicherheit?, erkl?rt Tsankov von Chainsecurity. ?Allerdings ist die Sicherheit nur dann hoch, wenn die Software und die einzelnen smarten Vertr?ge keine Sicherheitsl¨¹cken aufweisen. Dies zu ¨¹berpr¨¹fen und unseren Kunden die Sicherheit zu garantieren, ist unser Gesch?ftsmodell.?