Sicherheitslücke in Blockchain-Plattform entdeckt

Das ETH-Spin-off Chainsecurity hat quasi in letzter Minute eine Sicherheitslücke entdeckt bei einem geplanten Upgrade der Blockchain-Plattform Ethereum.

Ethereum
Ether ist die am zweihäufigsten verbreitete Kryptowährung. (Bild: Colourbox)

Das digitale Zahlungsmittel Ether ist nach Bitcoin die am zweithäufigsten verbreitete Kryptowährung. Technologisch gesehen ist die Blockchain-Plattform Ethereum, auf der Ether umgesetzt werden, jedoch dem Marktführer um einiges voraus. Während Bitcoins praktisch ausschliesslich für Geldtransaktionen genutzt werden können, können auf Ethereum die Transaktionen zusätzlich an vertragliche Bedingungen, sogenannte «smarte Verträge», geknüpft werden. Das sind kleine Computerprogramme, die ausgeführt werden, wenn die entsprechende Geldtransaktion stattgefunden hat, oder die umgekehrt eine Geldtransaktion oder eine Datenlieferung auslösen, wenn sie ausgeführt werden.

Am vergangenen Mittwoch hätte Ethereum eines seiner regelmässigen Upgrades erfahren sollen. Dieses wurde jedoch in letzter Minute gestoppt – aufgrund eines Hinweises des ETH-Spin-offs externe Seite Chainsecurity. Hubert Ritzdorf, technischer Direktor von Chainsecurity und ehemaliger ETH-Doktorand, ist aufgefallen, dass das Upgrade eine Sicherheitslücke öffnen würde. Er informierte das Ethereum-Kernteam, worauf dieses das Upgrade stoppte. «Wäre das Upgrade wie geplant durchgeführt worden, hätten Nutzer mit Missbrauchsabsicht gewisse Verträge angreifen und so das Konto anderer Nutzer plündern können», erklärt Ritzdorf.

Konkret wäre die Sicherheitslücke entstanden, weil Ethereum den Preis, welche Nutzer für die Ausführung von smarten Verträgen bezahlen müssen, deutlich senken wollte. Dies mit dem Ziel, die Benutzerfreundlichkeit zu erhöhen. Allerdings hätte diese Änderung dazu geführt, dass Nutzer mit Missbrauchsabsicht verschachtelte smarte Verträge hätten aufsetzen können, welche eine Transaktion im Hintergrund mehrmals statt nur einmal durchführen. Somit wäre es möglich gewesen, das Ether-Konto anderer Nutzer zu plündern. Gegenwärtig verunmöglicht eine Kombination von höheren Vertragspreisen und eines Maximalbetrags pro Transaktion das Ausführen von versteckten smarten Verträgen im Hintergrund.

TÜV für smarte Verträge

Chainsecurity wurde vor einem Jahr von ETH-Professor Martin Vechev und den ehemaligen ETH-Doktoranden Ritzdorf und Petar Tsankov gegründet. Die Firma verfolgt generell das Ziel, Blockchain-Technologien sicherer zu machen. Dazu entwickelt und betreibt Chainsecurity automatisierte Scan-Programme für smarte Verträge. Anbieter solcher smarten Verträge können sich von der Firma auditieren und somit die Sicherheit ihrer Verträge garantieren lassen. Chainsecurity ist also quasi ein TÜV für smarte Verträge. Von Interesse ist das für Firmen, welche das Kryptogeld auf den Markt bringen («schürfen»), aber auch für alle anderen Anbieter von Blockchain-Produkten, zum Beispiel Handelsplattformen und Versicherungen.

Die aktuelle Sicherheitslücke entdeckte Ritzdorf vor wenigen Tagen, als er dabei war, mögliche Auswirkungen des geplanten (und vorab im Detail veröffentlichten) Ethereum-Upgrades auf bestehende smarte Verträge von Firmenkunden auszumachen sowie die firmeneigenen Werkzeuge zur Sicherheitsprüfung zu aktualisieren.

«Smarte Verträge werden weder von Menschen ausgeführt noch von einem Computersystem, das von einer einzelnen Firma kontrolliert ist. Vielmehr werden sie von einer Art weltumspannenden Maschine ausgeführt. Dies schafft grosses Vertrauen punkto Sicherheit», erklärt Tsankov von Chainsecurity. «Allerdings ist die Sicherheit nur dann hoch, wenn die Software und die einzelnen smarten Verträge keine Sicherheitslücken aufweisen. Dies zu überprüfen und unseren Kunden die Sicherheit zu garantieren, ist unser Geschäftsmodell.»

JavaScript wurde auf Ihrem Browser deaktiviert