NEO-Bug: „Kein Diebstahl von Token möglich“

Christopher Klee

von Christopher Klee

Am · Lesezeit: 2 Minuten

Christopher Klee

Christopher Klee hat Literatur- und Medienwissenschaften sowie Informatik an der Universität Konstanz studiert. Seit 2017 beschäftigt sich Christopher mit den technischen und politischen Auswirkungen der Krypto-Ökonomie.

Teilen

Quelle: Shutterstock

BTC10,705.45 $ 0.15%

Am Wochenende machte eine Nachricht von einem Bug bei NEO-Nodes die Runde. Der vom chinesischen Software-Giganten Tencent entdeckte NEO-Bug soll es Angreifern potenziell möglich machen, Kryptowährungen aus Wallets von NEO-Node-Betreibern abzuziehen. NEO-Mitgründer Erik Zhang gab nun – zumindest teilweise – Entwarnung.

Der Artikel wurde zuletzt aktualisiert am 26. Mai 2019 05:05 Uhr von Tanja Giese

Am 1. Dezember verkündete Tencent Security auf der chinesischen Social-Media-Plattform Weibo die Entdeckung eines Bugs in der NEO-Blockchain. Demnach setzen sich die Betreiber von NEO-Nodes der Krypto-Piraterie aus, wenn sie die Standardkonfiguration verwenden. So heißt es in der Mitteilung von Tencent:

„Das Monitoring des berühmten Blockchain-Projektes NEO […] förderte das Risiko von Remote-Piraterie zutage. Wenn ein Benutzer die NEO-Node mit der Standardkonfiguration startet und die Wallet öffnet, kann die digitale Währung aus der Ferne gestohlen werden.“

Tencent empfiehlt den Node-Betreibern dreierlei:


1. Update des NEO-Clients auf die aktuellste Version

2. Verzicht auf die Verwendung der RPC-Funktion und das Ändern der BindAdress in der Konfigurationsdatei auf 127.0.0.1

3. Falls nicht: RPC-Port ändern, HTTPS-basierte JSON-RPC-Schnittstelle aktivieren und die Firewall-Richtlinien entsprechend anpassen

So weit, so FUD. Was im Gegensatz zur Tencent-Warnung nicht so schnell die Runde machte, war die Antwort von NEO-Mitgründer Erik Zhang, die nur wenige Stunden auf sich warten ließ.

Erik Zhang: „Normale“ Nutzer nicht betroffen

Zhang versucht, den gemeinen NEO-Hodler zu beruhigen. „Normale User“ müssten sich demnach keine Gedanken machen, da die RPC-Funktion standardmäßig deaktiviert sei. Der Zugriff auf RPC kann zudem nur über den NEO-CLI Client erfolgen. Da es sich bei diesem um ein Kommandozeilenprogramm handelt, laufen technisch nicht versierte Benutzer auch nicht Gefahr, durch nachlässige Konfigurationsanpassungen Hackern Tür und Tor zu öffnen. Zhang schließt:

„Zusammenfassend besteht für den herkömmlichen NEO-Benutzer keine Gefahr durch Remote-Piraterie“

Da Zhang die Sicherheitslücke nicht dementiert, kann man davon ausgehen, dass für Betreiber von NEO-Nodes durchaus die Gefahr besteht bzw. bestand, bestohlen zu werden. Vermutlich weist Zhang auch aus diesem Grund auf das Bounty-Programm hin, dass NEO dieses Jahr unter dem Namen „NEO Vulnerability Bounty Program“ lanciert hat. Wer einen relevanten und vor allem unbekannten NEO-Bug findet, darf Anspruch auf eine Belohnung von NEO erheben.

In den Richtlinien des Bounty-Programms heißt es:

„Wenn Verwundbarkeiten veröffentlicht werden, bevor NEO sie repariert oder veröffentlicht hat, entfällt die Belohnung.“

Tencent wird für die Entdeckung des NEO-Bugs also keine Belohnung für sich beanspruchen können.

BTC-ECHO


Teilen

Die aktuellsten News kostenlos per E-Mail

Ich stimme zu, dass meine E-Mail-Adresse für den Versand des Newsletters gespeichert und verarbeitet wird. Weitere Hinweise
BTC-ACADEMY

Kryptowährungen einfach kaufen und verkaufen

Ein Bankkonto, Krypto-Wallets und Trading vereint

  • Einfach, sicher und zuverlässig
  • Kontoeröffnung in nur 5 Minuten
  • Nur 1% Handelsgebühr
  • Made in Germany