NEO-Bug: „Kein Diebstahl von Token möglich“

Quelle: Shutterstock

NEO-Bug: „Kein Diebstahl von Token möglich“

Am Wochenende machte eine Nachricht von einem Bug bei NEO-Nodes die Runde. Der vom chinesischen Software-Giganten Tencent entdeckte NEO-Bug soll es Angreifern potenziell möglich machen, Kryptowährungen aus Wallets von NEO-Node-Betreibern abzuziehen. NEO-Mitgründer Erik Zhang gab nun – zumindest teilweise – Entwarnung.

Am 1. Dezember verkündete Tencent Security auf der chinesischen Social-Media-Plattform Weibo die Entdeckung eines Bugs in der NEO-Blockchain. Demnach setzen sich die Betreiber von NEO-Nodes der Krypto-Piraterie aus, wenn sie die Standardkonfiguration verwenden. So heißt es in der Mitteilung von Tencent:

„Das Monitoring des berühmten Blockchain-Projektes NEO […] förderte das Risiko von Remote-Piraterie zutage. Wenn ein Benutzer die NEO-Node mit der Standardkonfiguration startet und die Wallet öffnet, kann die digitale Währung aus der Ferne gestohlen werden.“

Tencent empfiehlt den Node-Betreibern dreierlei:

1. Update des NEO-Clients auf die aktuellste Version

2. Verzicht auf die Verwendung der RPC-Funktion und das Ändern der BindAdress in der Konfigurationsdatei auf 127.0.0.1

3. Falls nicht: RPC-Port ändern, HTTPS-basierte JSON-RPC-Schnittstelle aktivieren und die Firewall-Richtlinien entsprechend anpassen

So weit, so FUD. Was im Gegensatz zur Tencent-Warnung nicht so schnell die Runde machte, war die Antwort von NEO-Mitgründer Erik Zhang, die nur wenige Stunden auf sich warten ließ.

Erik Zhang: „Normale“ Nutzer nicht betroffen

Zhang versucht, den gemeinen NEO-Hodler zu beruhigen. „Normale User“ müssten sich demnach keine Gedanken machen, da die RPC-Funktion standardmäßig deaktiviert sei. Der Zugriff auf RPC kann zudem nur über den NEO-CLI Client erfolgen. Da es sich bei diesem um ein Kommandozeilenprogramm handelt, laufen technisch nicht versierte Benutzer auch nicht Gefahr, durch nachlässige Konfigurationsanpassungen Hackern Tür und Tor zu öffnen. Zhang schließt:

„Zusammenfassend besteht für den herkömmlichen NEO-Benutzer keine Gefahr durch Remote-Piraterie“

Da Zhang die Sicherheitslücke nicht dementiert, kann man davon ausgehen, dass für Betreiber von NEO-Nodes durchaus die Gefahr besteht bzw. bestand, bestohlen zu werden. Vermutlich weist Zhang auch aus diesem Grund auf das Bounty-Programm hin, dass NEO dieses Jahr unter dem Namen „NEO Vulnerability Bounty Program“ lanciert hat. Wer einen relevanten und vor allem unbekannten NEO-Bug findet, darf Anspruch auf eine Belohnung von NEO erheben.

In den Richtlinien des Bounty-Programms heißt es:

„Wenn Verwundbarkeiten veröffentlicht werden, bevor NEO sie repariert oder veröffentlicht hat, entfällt die Belohnung.“

Tencent wird für die Entdeckung des NEO-Bugs also keine Belohnung für sich beanspruchen können.

BTC-ECHO

Ähnliche Artikel

Sichere Sache: Bitcoin-Börse Binance hält SAFU-Hackathon ab
Sichere Sache: Bitcoin-Börse Binance hält SAFU-Hackathon ab
Sicherheit

Die Bitcoin-Börse Binance kündigt den SAFU-Hackathon an. Im kommenden Jahr sollen ITler 32 Stunden lang um die Wette hacken.

Bombendrohungen in den USA: Erpresser fordern Bitcoin
Bombendrohungen in den USA: Erpresser fordern Bitcoin
Sicherheit

In den Vereinigten Staaten von Amerika macht eine besonders dreiste E-Mail die Runde.

EOS: Block-Produzenten kämpfen mit sinkenden Kursen
EOS: Block-Produzenten kämpfen mit sinkenden Kursen
Altcoins

Block-Produzenten bei EOS haben stark mit den sinkenden Kursen zu kämpfen.

Newsletter

Die besten News kostenlos per E-Mail

Finde einen Job mit Zukunft

    Aktuell

    Krypto- und traditionelle Märkte KW50 – Ende für Anstieg von Bitcoins Volatilität?
    Krypto- und traditionelle Märkte KW50 – Ende für Anstieg von Bitcoins Volatilität?
    Märkte

    Die Korrelation zu Gold stieg an, sodass Bitcoin und Gold inzwischen positiv korreliert sind.

    In Partnerschaft vereint: BitDeer verbündet sich mit BTC.com und AntPool für Cloud Mining Service
    In Partnerschaft vereint: BitDeer verbündet sich mit BTC.com und AntPool für Cloud Mining Service
    Mining

    Das Cloud-Computing-Unternehmen BitDeer steigt in das Mining-Geschäft ein. Mit prominenter Schützenhilfe von AntPool und BTC.com will BitDeer mit seinem Cloud-Mining-Service vor allem Privatpersonen für das Bitcoin Mining gewinnen.

    Diese 5 Programmiersprachen sollten Blockchain-Entwickler beherrschen
    Diese 5 Programmiersprachen sollten Blockchain-Entwickler beherrschen
    Insights

    Bei BTC-ECHO ist Job-Woche. Wir werfen daher ein Blick auf die beruflichen Entfaltungsmöglichkeiten für Blockchain-Begeisterte.

    FinTech-Start-up Revolut erhält Banklizenz
    FinTech-Start-up Revolut erhält Banklizenz
    Unternehmen

    Revolut hat von der Europäischen Zentralbank eine europäische Banklizenz erhalten. 

    Angesagt

    Razer SoftMiner: Ethereum-Mining für Zocker
    Mining

    Der Gaming-Hardware-Hersteller Razer hat eine neue App herausgegeben, mit der es künftig möglich ist, während des Gamings Ethereum zu schürfen.

    Ethereum-Wallet für Opera-Nutzer: Neues Feature soll Adaption fördern
    Ethereum

    Android-Nutzer des Internet-Browsers Opera dürfen sich künftig über die Integration einer Wallet für Ethereum freuen.

    Hyperledger begrüßt Telekom und Alibaba als neue Mitglieder
    Szene

    Hyperledger, ein Open-Source-Projekt für industrieübergreifende Blockchain-Lösungen, hat am 12. Dezember bekannt gegeben, insgesamt zwölf neue Mitglieder begrüßen zu dürfen.

    Sichere Sache: Bitcoin-Börse Binance hält SAFU-Hackathon ab
    Sicherheit

    Die Bitcoin-Börse Binance kündigt den SAFU-Hackathon an. Im kommenden Jahr sollen ITler 32 Stunden lang um die Wette hacken.