Ein Alleinstellungsmerkmal, welches nicht nur bezüglich Bitcoin, sondern allgemein bezüglich Proof-of-Work-Kryptowährungen betont wird, ist das der Immutabilität. „Was einmal in der Blockchain ist, bleibt auch da“, fassen einige DLT-Evangelisten gerne die Stärken einer Blockchain zusammen. Gräbt der Interessierte jedoch tiefer, sieht er schnell, dass es nicht so einfach ist: Die Wahrscheinlichkeit für eine Abänderung eines Blockes, sprich einer Chain Reorganization, wird mit dem Wachsen der Blockchain, der gesamten Hash Rate und der Dezentralität des Mining-Netzwerks immer unwahrscheinlicher. Diese sinkende Wahrscheinlichkeit ist der Grund für die Faustregel, dass Bitcoin-Nutzer bei einer Transaktion 6 Blöcke abwarten sollten, um sicher zu sein, dass diese Transaktion unumkehrbar in der Blockchain gespeichert ist.
Es zeigt sich jedoch, dass die Rechnung teilweise zu einfach ist. Vor über einem Jahr haben wir den Investment-Case 51-Prozent-Attacken diskutiert. Seiten wie 51crypto machen es Angreifern leicht, die Kosten und verfügbare zu erwerbende Hash Rate einzusehen. Darüber können sie abschätzen, ob sich eine 51-Prozent-Attacke lohnt. Für Bitcoin könnte ein Angreifer via Nicehash aktuell 106 PH/s erwerben. Die globale Hash Rate von Bitcoin beträgt aktuell fast 78.000 PH/s. Mit dem, was über Nicehash zu erwerben ist, kommt ein Angreifer also nicht weit. Das mag bei anderen Kryptowährungen anders aussehen, aber bei großen Proof-of-Work-Kryptowährungen wie Bitcoin oder Ethereum sieht aktuell alles sicher aus.
Frontrunning, Goldfinger, Zensur – Angriffe vor einer Block-Bildung
Deutlich unsicherer sieht es jedoch bei der Bildung der Blöcke aus. Jüngst haben Judmayer et al. in einem Paper verschiedene Angriffsvektoren vorgestellt, die kein Umschreiben der Blockchain benötigen. Sie sind entsprechend deutlich preiswerter: Man muss nur Miner finden, die bestechbar sind. Wie Gedanken von Binance um das Bestechen von Minern nach dem jüngsten Hack zeigen, ist das kein irrationaler Gedanke.
Besonders an oben verlinktem Paper ist, dass verschiedene Angriffsvektoren identifiziert werden, die keine Chain Reorganization benötigen. Damit braucht der Angreifer auch deutlich weniger als 51 Prozent der gesamten Hash Rate, sodass die Attacke auf ein Blockchain-Netzwerk deutlich preiswerter ist. Entsprechend alarmistisch wurde das Paper in den sozialen Medien zitiert. Sind Proof-of-Work-Kryptowährungen wie Bitcoin überhaupt noch sicher?
Um dem auf den Grund zu gehen, schauen wir uns diese „preiswerten“ Attacken genauer an. In diesem Artikel möchten wir kurz betrachten, wie gefährlich diese wären und wie man derartige Attacken erkennen könnte. Wir fokussieren uns auf Attacken, die auf alle Proof-of-Work-Blockchains anwendbar sind.
Frontrunning
Frontrunning wird im Paper als eine Form des Angriffs beschrieben. Letztlich ist es jedoch einfach eine Konsequenz des Gebührenmarktes in einem Proof-of-Work-Konsens. Im Frontrunning setzt der Angreifer einen Anreiz, seine eigene Transaktion möglichst früh in einem Block unterzubringen. Das tut er durch eine hohe Gebühr. Streng genommen geschieht, wie Christian Decker in einem Interview ausführte, sowas bezüglich das Lightning-Netzwerk betreffenden On-Chain-Transaktionen. Diese werden mit einer deutlich höheren Gebühr besonders lukrativ ins Netz von Bitcoin geschickt. Als besondere Beispiele für derartige Frontrunning-Attacken führt das Paper Pay-to-Win-Attacken ein. Diese sind letztlich Frontrunning-Attacken, welche mit einem Smart Contract gesteuert werden. Zum Teil geschieht dies über verschiedene Blockchains hinweg. In all jenen Fällen sind Frontrunning-Attacken durch aus Aufkommen besonders hoher Transaktionsgebühren erkennbar.
Goldfinger-Attacke
Eine dieser Attacken ist die Goldfinger-Attacke. Diese Attacke hat zum Ziel, den Use Case einer Kryptowährung zu hinterfragen. Dazu werden Miner bestochen, nur noch leere Blöcke zu minen, sodass keine Transaktionen mehr den Mempool verlassen. Goldfinger-Attacken mögen böse sein, sind aber einfach erkennbar: Man muss lediglich analysieren, ob ein Mining Pool aktuell nur noch leere Blöcke findet. Leere Blöcke waren bei Bitcoin vor einigen Jahren tatsächlich ein Problem.
Zensur-Attacke
Manchen Angreifern geht es jedoch nicht einfach um leere Blöcke, sondern um die Kontrolle der Blockinhalte. Über eine Zensur-Attacke soll das geschehen. Ein Mining-Pool mit weniger als 51 Prozent der Hash Rate besticht deshalb andere Mining Pools und bittet sie, ihre Blöcke zurückzuhalten. So kann der erste Mining Pool bestimmen, was in die Blockchain kommt und was (noch) nicht. Im Ethereum-Netzwerk kann durch Ausnutzen des Anreizes sogenannter Uncles dieser Angriff deutlich preiswerter als eine 51-Prozent-Attacke sein. Dabei nutzt der Angreifer aus, dass Uncles – gültige, aber etwas zu spät gefundene Blöcke – auch einen, wenn auch kleineren Mining Reward erhalten. Auch dieser Angriff ist leicht erkennbar: Man wird sehen, welcher Miner ständig Blöcke erzeugt. Im Ethereum-Netzwerk kann man zusätzlich noch die Uncles verfolgen.
Bitcoin und Ethereum – angreifbar, aber weiterhin sicher
Wie weiter oben beschrieben haben verschiedene Menschen das Paper recht alarmistisch rezipiert. Es zeigt sich jedoch, dass die Angriffe keine wirkliche Gefahr darstellen. Die Transparenz der Blockchains von beispielsweise Bitcoin und Ethereum helfen, derartige Angriffe schnell zu erkennen. Sie zeigen lediglich auf, dass das Akronym DYOR weiterhin gilt: Es lohnt sich, mit wachem Auge zu beobachten, was auf der genutzten Blockchain tatsächlich geschieht.