Smart Contracts nicht ganz so schlau: 3 % mit Sicherheitslücken

Quelle: Abstract high tech circuit board with hacker bug on the dark background. Hacking and cyber crime. Personal data security concept. Network security technology. Computer virus attack

Smart Contracts nicht ganz so schlau: 3 % mit Sicherheitslücken

Eine Studie hat 34.200 Sicherheitslücken in Smart Contracts auf Ethereum-Basis finden können. Mit fast einer Million überprüften Verträgen entspricht das immerhin 3 % der getesteten Smart Contracts. Was bedeutet das für zukünftige Investments in ICOs?

Smart Contracts sind wahrscheinlich das Merkmal, welches als erstes mit Ethereum assoziiert ist. Das Konzept hinter Smart Contracts wurde lange zuvor von Nick Szabo im Jahr 1994 definiert. Ihm zufolge ist ein Smart Contract ein automatischer Prozess, der vertraglich geregelt ist. Das Abheben von Geld am Geldautomaten ist ein anschauliches Beispiel eines solchen Smart Contracts.

So weit, so banal. Dank der Blockchain-Technologie werden diese Smart Contracts jedoch zusätzlich transparent und können ihr Potenzial vollkommen ausspielen. Sie sind während der Laufzeit einsehbar, wodurch aus einem Open-Source-System ein Open-Execution-System wird und ein Smart Contract durch diese Transparenz wirklich ein Vertrag sein kann.

Zu Zeiten der DAO, einem dezentralen Venture Fund im Jahr 2016, war deshalb ein oft gehörtes Bonmot “The Code is the Law” – Der Code ist das Gesetz.

Die Schattenseiten dieser Aussage musste man leider im Zuge des DAO-Exploits kennenlernen: Eine auch heute noch unbekannte Person beziehungsweise Personengruppe hat DAO Ether im Wert von 60 Millionen US-Dollar entwendet. Dies wurde nicht durch einen Hack, sondern eine Sicherheitslücke im Smart Contract hinter der DAO möglich.

Und das war beileibe nicht die einzige Sicherheitslücke: Der Smart Contract, der der Parity-Multi-Signature-Wallet zugrundelag, wurde aus Versehen gelöscht, wodurch Ether im Wert von 230 Millionen US-Dollar eingefroren wurden.

3 % der Smart Contracts haben Sicherheitslücken

Nun haben Nikolic et al ein Paper zu dem Thema „Sicherheitslücken in Smart Contracts“ verfasst. Verschiedene News-Portale haben durch eine geschickte Titelwahl den Fokus auf 34.200 Sicherheitslücken gelegt. Der Markt hat prompt reagiert, sodass der Ethereum-Kurs um 9 % fiel. In den Artikeln wird zwar auf die Gesamtzahl der untersuchten Smart Contracts eingegangen, jedoch wäre eine Prozentangabe in der Überschrift wahrscheinlich weniger dramatisch.

Jedenfalls hat man in 34.200 Smart Contracts – bei einer Stichprobe von 971.000 untersuchten Codes – Sicherheitslücken gefunden. Das entspricht einem Prozentsatz von 3 %.

Das klingt an sich nicht nach viel – jedenfalls deutlich banaler als Angaben über 30.000! In verschiedenen Branchen könnten Hersteller mit einer Ausfallquote von 3 % leben. Für den ICO-Investor und den Nutzer von Smart Contracts bedeutet das jedoch, dass Vorsicht geboten sein sollte. In diesem Kontext dient die Veröffentlichung einer notwendigen Sensibilisierung, nicht jedoch einer Panikmache.

Tool-Entwicklung zur Fehlerprävention

Zur Untersuchung von Smart Contracts hat das Autorenteam ein Tool namens MAIAN entwickelt, mit welchem sie alle bis Ende 2017 auf der Ethereum-Blockchain vorhandenen Smart Contracts überprüft hatten.

Im Paper selbst werden sogenannte Trace Vulnerabilities beleuchtet, sprich Sicherheitslücken, die auftreten, wenn ein Smart Contract mehrfach hintereinander aufgerufen wird. Konkret werden drei Arten von Sicherheitslücken unterschieden:

  • Suizidale Sicherheitslücken können von einem Nutzer aus Versehen zerstört werden. Parity war hierfür ein Beispiel.
  • Geizige Sicherheitslücken verwehren Nutzern den Zugang zu ihren eigenen Funds. Parity wäre hierfür ein indirektes Beispiel: Nachdem der Parity-Contract dank der suizidalen Sicherheitslücke zerstört wurde, konnten andere Contracts, die diesen konkreten Contract nutzten, dies nicht mehr tun und wurden so eine geizige Sicherheitslücke.
  • Verschwenderische Sicherheitslücken bezeichnet man Lücken, in denen an nicht vorgegebene Adressen Funds geschickt werden können. Ein Beispiel dafür wäre der DAO exploit, in dem die Funds aus der DAO in eine neue Adresse abgeführt wurden.

Posthume Sicherheitslücken sind noch ein weiterer Spezialfall: Ein Suizidaler Contract mag nicht mehr funktionieren, seine Ethereum-Adresse existiert jedoch noch auf der Ethereum-Blockchain. Ether, welches an die Adresse gesandt wird, kann nicht mehr zurückgefordert werden.

Zwei zentrale Ergebnisse der Untersuchungen sind, dass ein Großteil, genauer gesagt 99 % der Smart Contracts, nicht in einem lesbaren Solidity-Format auf der Blockchain gespeichert sind. Es werden also Tools benötigt, mit denen der Bytecode untersucht werden kann. Allein deshalb ist zu hoffen, dass das MAIAN-Tool bald dem freien Markt zugänglich gemacht wird.

Doch auch bei den lesbaren Artikeln ist darauf zu achten, dass erstens oft mit Legacy Code gearbeitet wird. Einige Sicherheitslücken wurden in neueren Solidity-Versionen schon behoben. Es ist jedoch zu berücksichtigen, dass das, was auf der Ethereum Blockchain ausgeführt ist, nicht der Solidity-Code selbst, sondern eine in Bytecode kompilierte Version des Smart Contracts ist. Das bedeutet, dass diese Sicherheitslücken in mit alten Solidity-Versionen geschriebenen Smart Contracts nicht behoben sind.

Zweitens ist es nicht einfach der einzelne Smart Contract, der ausgeführt wird. Es gab beispielsweise viele Smart Contracts, die auf die Library von Parity zugriffen und entsprechend ebenso von dem Parity Bug betroffen haben.

Code-Testing als Due Dilligence

Als Lektionen aus dem Paper kann man Folgendes zusammenfassen: Überprüft die Smart Contracts! Natürlich kann nicht jeder ein passionierter Solidity-Programmierer werden, aber zum einen kann darauf geachtet werden, ob zu einem Smart Contract auch ein für Menschen lesbarer Source Code verfügbar ist. Da man nicht der einzige sein wird, der auf den Code schaut, kann auf die Kraft der Crowd vertraut werden; vielleicht fällt jemand anderem ein Fehler auf.

Zum anderen sollte man darauf achten, ob Formulierungen wie xxx is yyy vorkommen. Mit derartigem Code werden Funktionen anderer Smart Contracts verwendet, sodass der ursprüngliche Smart Contract ebenfalls überprüft werden sollte.

Insgesamt gilt also wie bei jedem anderen Investment: Augen auf halten und immer gesund kritisch sein!

BTC-ECHO

JETZT NEU: DER BTC-NAVIGATOR

Das deutschsprachige Blockchain-Ökosystem an einem Platz vereint:

HANDELSPLÄTZEJOBSEVENTSUNTERNEHMENPRODUKTEAKZEPTANZSTELLENWEBSEITEN

Mehr zum Thema:

Ähnliche Artikel

Datenleak bei Bitcoin-Börse QuickBit enthüllt Kundendaten
Datenleak bei Bitcoin-Börse QuickBit enthüllt Kundendaten
Sicherheit

Die Bitcoin-Börse QuickBit hat versehentlich große Datenmengen geleakt. Über Tage kursierten sensible Kundendaten ohne Firewall für jedermann einsehbar im Internet. QuickBit-Kunden wird geraten, ihr Passwort zu ändern.

Gehackte Bitcoin-Börse BITPoint verspricht Entschädigungen für Kunden
Gehackte Bitcoin-Börse BITPoint verspricht Entschädigungen für Kunden
Sicherheit

Die gehackte Bitcoin-Börse BITPoint verspricht, ihre Kunden zu entschädigen. Das Ungewöhnliche daran: Die geprellten Kunden werden in Kryptowährungen ausgezahlt. Was ist von einer solchen Geschäftspraxis zu halten?

Newsletter

Die aktuellsten News kostenlos per E-Mail

Aktuell

IOTA veröffentlicht Roadmap für Coordicide
IOTA veröffentlicht Roadmap für Coordicide
Altcoins

Am 29. Mai dieses Jahres hat IOTA den Coordicide angekündet, dahinter verbirgt sich die Abschaltung des Koordinators, der IOTA-Transaktionen überwacht. Nun hat die IOTA Foundation eine Roadmap vorgestellt.

Steve Wozniak: Apple-Mitgründer will nach Malta
Steve Wozniak: Apple-Mitgründer will nach Malta
Tech

Der Apple-Mitgründer Steve Wozniak gab bei einer Podiumsdiskussion seine Zukunftspläne bekannt. Was ihn bewegt, nach Malta zu gehen und welche Unternehmensidee er unterstützen will.

Datenleak bei Bitcoin-Börse QuickBit enthüllt Kundendaten
Datenleak bei Bitcoin-Börse QuickBit enthüllt Kundendaten
Sicherheit

Die Bitcoin-Börse QuickBit hat versehentlich große Datenmengen geleakt. Über Tage kursierten sensible Kundendaten ohne Firewall für jedermann einsehbar im Internet. QuickBit-Kunden wird geraten, ihr Passwort zu ändern.

Deutsche Bundesbank sieht Bitcoin als „spekulatives Nischenprodukt“
Deutsche Bundesbank sieht Bitcoin als „spekulatives Nischenprodukt“
Unternehmen

Für die Deutsche Bundesbank hat das Kursgebaren von Bitcoin & Co. in den letzten Jahren vor allem eines gezeigt: Dass Kryptowährungen weder als Zahlungsmittel noch als Wertspeicher taugen. Anders blickt die Zentralbank auf das Potenzial von Stable Coins. Gegenüber dem Facebook-Coin Libra nimmt die Bundesbank eine argwöhnisch-abwartende Haltung ein.

Angesagt

Trading-App Robinhood sammelt 323 Millionen US-Dollar ein
Invest

Die Trading-Plattform Robinhood sammelt in einer Series-E-Funding-Runde 323 Millionen US-Dollar ein. Damit ist das Unternehmen mit 7,6 Milliarden US-Dollar bewertet. Das Geld soll auch in den Ausbau der Krypto-Sparte fließen, diese ist jetzt bereits in 30 US-Bundesstaaten verfügbar.

Bitcoin-Gerüchteküche: Justin Sun in China angeklagt
Szene

Neues aus der Bitcoin-Gerüchteküche. Gegen Justin Sun soll aktuell ermittelt werden. Die Gerüchte kamen auf, als der Gründer und Vorsitzende der Kryptowährung TRON sein Krypto-Dinner mit Warren Buffet und „Größen“ aus dem Bitcoin-Ökosystem abgesagt hat.

Bitcoin-Börse BitFinex und Tether ziehen sich aus der Verantwortung
Krypto

Der Gerichtsprozess rund um die in Verruf geratene Bitcoin-Börse BitFinex und den Stable-Coin-Anbieter Tether geht in eine neue Runde. Nun sagt einer der Anwälte der Firmen, dass weder BitFinex noch Tether Kunden in den USA betreuen würden.

BaFin genehmigt ersten Immobilien-Token
STO

Die BaFin genehmigt das erste deutsche Security Token Offering (STO) für blockchainbasiertes Immobilieninvestment und das zweite deutsche STO überhaupt. Damit gibt die Bundesanstalt für Finanzdienstleistungsaufsicht den Startschuss für digitale Wertpapiere im Real-Estate-Bereich. Ein neues Anlagevehikel?

Warte mal kurz ... !

Kennst du schon unseren Newsletter? Wir versorgen dich kostenlos mit den spannendsten News der Krypto- und Blockchainszene: