Fake-Stake-Attacken: Sicherheitslücke bei 26 jüngeren Kryptowährungen entdeckt

Max Halder

von Max Halder

Am · Lesezeit: 3 Minuten

Max Halder

Max Halder kaufte 2011 seinen ersten Bitcoin. Er studierte Chemie und Pharmakologie an der Universität Regensburg und graduierte 2016 mit einem Master of Science. Seither setzt er sich als Pädagoge und freiberuflicher Dozent in einer Suchtklinik und in Förderzentren für Aufklärung und Bildung ein.

Quelle: Shutterstock

Teilen
BTC51,096.00 $ 6.51%

Eines der geflügelten Worte des gesamten Ökosystems der Kryptowährungen lautet: „Be your own bank.“ Jede Bank verspricht der Kundschaft, dass Einlagen sicher sind. Ist man nun jedoch seine eigene Bank, hat man auch für die Sicherheit der eigenen Krypto-Einlagen zu sorgen. Man rüstet sich aus mit 28-stelligen Passwörtern, Google Authenticator und Hardware Wallets. Doch was, wenn der Quellcode einer vermeintlich sicheren Währung selbst Schwachstellen hat?

Immer wieder liest man von Hackerangriffen und Sicherheitslücken im Krypto-Ökosystem. So wurde die von Ethereum geplante Hard Fork namens Constantinople wegen Sicherheitslücken verschoben, bezüglich Monero und illegales Mining hat sich der Begriff des Cryptojackings eigens dafür entwickelt und auch Miner gerieten erst kürzlich ins Visier der Angreifer. Wie überall gibt es auch im Krypto-Ökosystem gute und schlechte Mächte. Die guten Mächte tun gut daran, auf bestehende Sicherheitslücken aufmerksam zu machen und dafür kann man ihnen dankbar sein.

Fake-Stake-Attacken


Vier Forscher von der University of Illinois haben nun eine Veröffentlichung vorgelegt, aus der Sicherheitslücken bei fünf von 70 untersuchten Proof-of-Stake-Währungen hervorgehen. Die prominentesten Vertreter darunter sind Qtum (Platz 31), PivX (Platz 79) und der bereits seit 2013 bestehende Peercoin (Platz 187). Das Problem „besteht bereits seit mehreren Jahren, doch hat es bisher niemand bemerkt“, heißt es in dem Bericht. Die Wurzel des Problems liegt in der „[…] Validierung des Proof-of-Stakes. So geraten nicht vollständig überprüfte Daten auf die wertvollen Speichermedien [der Masternodes]“, heißt es weiter. Die Forscher nennen diese Schwachstelle „Fake Stake Attacks“, denn die Masternodes greifen auf Datensätze von Stakern zu, die unter Umständen keinen einzigen Coin der betroffenen Währung besitzen müssen. Im schlimmsten Fall könne es sogar zu einer 51-Prozent-Attacke führen, die dem Angreifer die Kontrolle über die Blockchain geben könnte.

Proof of Work vs. Proof of Stake

Nur um unnötigen Verwirrungen vorzubeugen: Bitcoin (und Litecoin, Ethereum, Dash und Monero) funktioniert nicht über Proof of Stake, sondern über Proof of Work. Dabei wird Rechenleistung eingesetzt, um ein mathematisches Problem zu lösen. Das Ergebnis ist ein neuer Block, der Arbeit erfordert hat und durch über 10.000 Masternodes validiert wird. Beim Proof of Stake tritt an die Stelle der Rechenleistung eine „Lotterie, die auf der Anzahl der gehaltenen Coins basiert“ – je mehr Coins man hat, desto größer die Wahrscheinlichkeit, dass man den Block „gewinnt“. Auch hier ist das Ergebnis ein Block, der von Masternodes validiert wird. Der Anreiz für die sogenannten Staker (die oft auch Masternodes betreiben) ist klar: Sie halten die entsprechende Währung und sind folglich daran interessiert, die Währung glaubwürdig zu erhalten. „Der Wettbewerb im Mining [der Blöcke] wird [also] von der materiellen [= Rechenzentren] auf die finanzielle Ebene verlagert“, schreiben die Wissenschaftler in durchaus kritischem Ton.

Fazit

Wie gravierend die entdeckte Lücke tatsächlich ist, lässt sich nur schwer bewerten. Für die Krypto-Community im Ganzen spielt sie jedenfalls keine große Rolle. Schließlich basieren die meisten der Top-50-Währungen auf Proof of Work. Der seit mehr als zehn Jahren wasserdichte Quellcode von Bitcoin dürfte hier der schlagendste Beweis sein. Bei den für Fake-Stake-Attacken anfälligen Währungen fällt vor allem eines auf: „Einige Passagen wurden [von Bitcoin] übernommen, ohne allzu großes Augenmerk auf die Sicherheit zu legen. Daraus entstanden neue Sicherheitslücken, die es im Quellcode von Bitcoin nicht gegeben hat“, meinen die Forscher in einem Medium-Artikel vom 22. Januar. Dennoch bleibt der Weg von der Sicherheitslücke zum Diebstahl der entsprechenden Währung ein weiter.

kryptokompass

Bitcoin-Boom: Jetzt wird es ERNST!

Das Smart Money kommt!

Erfahre mehr im führenden Magazin für Blockchain und digitale Währungen (Print und Digital)
☑ 1. Ausgabe kostenlos
☑ Jeden Monat über 70 Seiten Krypto-Insights
☑ Keine Investmentchancen mehr verpassen
☑ Portofrei direkt nach Hause

Zum Kryptokompass Magazin


Update am 29.01 13:56: In der Zwischenzeit haben die meisten Projekte bereits die nötigen Sicherheitsupdates veröffentlicht.

Anzeige

Bitcoin, Aktien, Gold und ETFs in einer App handeln!

Zuverlässig, Einfach, Innovativ - Deutschlands beliebteste Finanzinstrumente einfach und sicher handeln.

Die Vorteile:
☑ Kostenloses 40.0000 EUR Demokonto
☑ Registrierung in nur wenigen Minuten
☑ PayPal Ein-/Auszahlung möglich
☑ 24/7 verfügbar + mobiler Handel

Zum Anbieter

76,4% der Kleinanlegerkonten verlieren Geld beim CFD-Handel mit diesem Anbieter [Anzeige].


Teilen

Die aktuellsten News kostenlos per E-Mail

Ich stimme zu, dass meine E-Mail-Adresse für den Versand des Newsletters gespeichert und verarbeitet wird. Weitere Hinweise

1. Ausgabe kostenlos testen

Das Bitcoin & Blockchain Magazin

1. Ausgabe kostenlos testen

Das Bitcoin & Blockchain Magazin

Das führende Bitcoin & Blockchain Szene Magazin

In Print und Digital verfügaber

Neue Investmentchancen verstehen und ergreifen

Jeden Monat über 60 Seiten Insights, Analysen, KnowHow

Streng limitiert

Kostenlose Ausgabe testen oder gratis Prämie sichern

BTC-ACADEMY