Ethereum: Schwachstelle bei GasToken offenbar beseitigt

Level-K-Mitarbeiter entdeckten eine Schwachstelle bei GasToken, mit der sich Angreifer die Token von Börsen minen lassen können. Das Team hat sich in Zusammenarbeit mit IC3-Forschern um eine schnelle und verantwortungsvolle Kommunikation der Schwachstelle gekümmert.

Michele Troccolo
Teilen

Beitragsbild: Shutterstock

Am 21. November hat Level K, ein auf die Entwicklung von Smart Contracts spezialisiertes Unternehmen, eine Schwachstelle im GasToken offengelegt. Angreifer können diese ausnutzen, indem sie Börsen dazu bringen, GasToken zu minen. Das Team hat sich direkt mit den Initiatoren von GasToken in Verbindung gesetzt, um einen Exploit zu verhindern. Bislang gibt es keine Berichte davon, dass böswillige Akteure die Schwachstelle ausgenutzt hätten.

Wie funktioniert das?

Der GasToken ist ein Ethereum Token, der im Rahmen der IC3 Initiative entstanden ist. Dabei handelt es sich um einen Zusammenschluss von Forschern diverser Universitäten, die an Lösungen arbeiten, mit deren Hilfe Kryptowährungen und Smart Contracts den Ansprüchen der Industrie entsprechen sollen. Der GasToken soll das Problem lösen, dass die Gas-Kosten, die für das Ausführen von Smart Contracts anfallen, schwer zu prognostizieren sind. Die Lösung: Man macht von einer besonderen Ethereum-Funktion Gebrauch, nämlich der Speicher-Rückerstattung. Diese belohnt einen Smart Contract mit einer Gas-Rückerstattung, wenn unnötige Speichervariablen gelöscht werden und somit weniger Platz auf der Blockchain verbraucht wird.

Potenzielle Angreifer hätten die von den Forschern entdeckte Schwachstelle unter anderem dazu nutzen können, sich Ethereum auf einen Contract ausbezahlen zu lassen, mit dem über eine besondere Funktion GasToken gemint werden. Betroffen sind grundsätzlich alle Börsen, die selbst Ethereum-Transaktionen initiieren und kein Gas-Limit für Transaktionen festgelegt haben.

Vorbildliche Offenlegung

Die Schwachstelle wurde am 30. Oktober von Level-K-Mitarbeitern entdeckt und an einer echten Börse getestet. Nach einem weiteren, erfolgreichen Versuch wurde am 2. November die IC3 Initiative kontaktiert, um gemeinsam an einer verantwortungsvollen Bekanntmachung der Schwachstelle zu arbeiten. Laut eigenen Aussagen wurden sogar die Ethereum-Urgesteine Vitalik Buterin und Hudson Jameson benachrichtigt und um Unterstützung gebeten. Nachdem das Team dann noch etwa eine Woche lang damit beschäftigt war, die Kontaktdaten für Sicherheitsbeauftragte der wichtigen Börsen zu sammeln, wurde die Schwachstelle am 12. November im kleinen Kreis verkündet. Der breiten Masse wurde erst am 21. November von der Schwachstelle berichtet, sodass nun keine Börse mehr angreifbar sein sollte.

BTC-ECHO

Jetzt kostenlosen Newsletter abonnieren
Top-Themen, Top- & Flop-Coins, Kursentwicklungen, Wirtschaftskalender. Alle wichtigen Updates zu Bitcoin, Blockchain & Co. kostenlos per E-Mail!
Jetzt anmelden