Smart Contracts nicht ganz so schlau: 3 % mit Sicherheitslücken

Quelle: Abstract high tech circuit board with hacker bug on the dark background. Hacking and cyber crime. Personal data security concept. Network security technology. Computer virus attack

Smart Contracts nicht ganz so schlau: 3 % mit Sicherheitslücken

Eine Studie hat 34.200 Sicherheitslücken in Smart Contracts auf Ethereum-Basis finden können. Mit fast einer Million überprüften Verträgen entspricht das immerhin 3 % der getesteten Smart Contracts. Was bedeutet das für zukünftige Investments in ICOs?

Smart Contracts sind wahrscheinlich das Merkmal, welches als erstes mit Ethereum assoziiert ist. Das Konzept hinter Smart Contracts wurde lange zuvor von Nick Szabo im Jahr 1994 definiert. Ihm zufolge ist ein Smart Contract ein automatischer Prozess, der vertraglich geregelt ist. Das Abheben von Geld am Geldautomaten ist ein anschauliches Beispiel eines solchen Smart Contracts.

So weit, so banal. Dank der Blockchain-Technologie werden diese Smart Contracts jedoch zusätzlich transparent und können ihr Potenzial vollkommen ausspielen. Sie sind während der Laufzeit einsehbar, wodurch aus einem Open-Source-System ein Open-Execution-System wird und ein Smart Contract durch diese Transparenz wirklich ein Vertrag sein kann.

Zu Zeiten der DAO, einem dezentralen Venture Fund im Jahr 2016, war deshalb ein oft gehörtes Bonmot “The Code is the Law” – Der Code ist das Gesetz.

Die Schattenseiten dieser Aussage musste man leider im Zuge des DAO-Exploits kennenlernen: Eine auch heute noch unbekannte Person beziehungsweise Personengruppe hat DAO Ether im Wert von 60 Millionen US-Dollar entwendet. Dies wurde nicht durch einen Hack, sondern eine Sicherheitslücke im Smart Contract hinter der DAO möglich.

Und das war beileibe nicht die einzige Sicherheitslücke: Der Smart Contract, der der Parity-Multi-Signature-Wallet zugrundelag, wurde aus Versehen gelöscht, wodurch Ether im Wert von 230 Millionen US-Dollar eingefroren wurden.

3 % der Smart Contracts haben Sicherheitslücken

Nun haben Nikolic et al ein Paper zu dem Thema „Sicherheitslücken in Smart Contracts“ verfasst. Verschiedene News-Portale haben durch eine geschickte Titelwahl den Fokus auf 34.200 Sicherheitslücken gelegt. Der Markt hat prompt reagiert, sodass der Ethereum-Kurs um 9 % fiel. In den Artikeln wird zwar auf die Gesamtzahl der untersuchten Smart Contracts eingegangen, jedoch wäre eine Prozentangabe in der Überschrift wahrscheinlich weniger dramatisch.

Jedenfalls hat man in 34.200 Smart Contracts – bei einer Stichprobe von 971.000 untersuchten Codes – Sicherheitslücken gefunden. Das entspricht einem Prozentsatz von 3 %.

Das klingt an sich nicht nach viel – jedenfalls deutlich banaler als Angaben über 30.000! In verschiedenen Branchen könnten Hersteller mit einer Ausfallquote von 3 % leben. Für den ICO-Investor und den Nutzer von Smart Contracts bedeutet das jedoch, dass Vorsicht geboten sein sollte. In diesem Kontext dient die Veröffentlichung einer notwendigen Sensibilisierung, nicht jedoch einer Panikmache.

Tool-Entwicklung zur Fehlerprävention

Zur Untersuchung von Smart Contracts hat das Autorenteam ein Tool namens MAIAN entwickelt, mit welchem sie alle bis Ende 2017 auf der Ethereum-Blockchain vorhandenen Smart Contracts überprüft hatten.

Im Paper selbst werden sogenannte Trace Vulnerabilities beleuchtet, sprich Sicherheitslücken, die auftreten, wenn ein Smart Contract mehrfach hintereinander aufgerufen wird. Konkret werden drei Arten von Sicherheitslücken unterschieden:

  • Suizidale Sicherheitslücken können von einem Nutzer aus Versehen zerstört werden. Parity war hierfür ein Beispiel.
  • Geizige Sicherheitslücken verwehren Nutzern den Zugang zu ihren eigenen Funds. Parity wäre hierfür ein indirektes Beispiel: Nachdem der Parity-Contract dank der suizidalen Sicherheitslücke zerstört wurde, konnten andere Contracts, die diesen konkreten Contract nutzten, dies nicht mehr tun und wurden so eine geizige Sicherheitslücke.
  • Verschwenderische Sicherheitslücken bezeichnet man Lücken, in denen an nicht vorgegebene Adressen Funds geschickt werden können. Ein Beispiel dafür wäre der DAO exploit, in dem die Funds aus der DAO in eine neue Adresse abgeführt wurden.

Posthume Sicherheitslücken sind noch ein weiterer Spezialfall: Ein Suizidaler Contract mag nicht mehr funktionieren, seine Ethereum-Adresse existiert jedoch noch auf der Ethereum-Blockchain. Ether, welches an die Adresse gesandt wird, kann nicht mehr zurückgefordert werden.

Zwei zentrale Ergebnisse der Untersuchungen sind, dass ein Großteil, genauer gesagt 99 % der Smart Contracts, nicht in einem lesbaren Solidity-Format auf der Blockchain gespeichert sind. Es werden also Tools benötigt, mit denen der Bytecode untersucht werden kann. Allein deshalb ist zu hoffen, dass das MAIAN-Tool bald dem freien Markt zugänglich gemacht wird.

Doch auch bei den lesbaren Artikeln ist darauf zu achten, dass erstens oft mit Legacy Code gearbeitet wird. Einige Sicherheitslücken wurden in neueren Solidity-Versionen schon behoben. Es ist jedoch zu berücksichtigen, dass das, was auf der Ethereum Blockchain ausgeführt ist, nicht der Solidity-Code selbst, sondern eine in Bytecode kompilierte Version des Smart Contracts ist. Das bedeutet, dass diese Sicherheitslücken in mit alten Solidity-Versionen geschriebenen Smart Contracts nicht behoben sind.

Zweitens ist es nicht einfach der einzelne Smart Contract, der ausgeführt wird. Es gab beispielsweise viele Smart Contracts, die auf die Library von Parity zugriffen und entsprechend ebenso von dem Parity Bug betroffen haben.

Code-Testing als Due Dilligence

Als Lektionen aus dem Paper kann man Folgendes zusammenfassen: Überprüft die Smart Contracts! Natürlich kann nicht jeder ein passionierter Solidity-Programmierer werden, aber zum einen kann darauf geachtet werden, ob zu einem Smart Contract auch ein für Menschen lesbarer Source Code verfügbar ist. Da man nicht der einzige sein wird, der auf den Code schaut, kann auf die Kraft der Crowd vertraut werden; vielleicht fällt jemand anderem ein Fehler auf.

Zum anderen sollte man darauf achten, ob Formulierungen wie xxx is yyy vorkommen. Mit derartigem Code werden Funktionen anderer Smart Contracts verwendet, sodass der ursprüngliche Smart Contract ebenfalls überprüft werden sollte.

Insgesamt gilt also wie bei jedem anderen Investment: Augen auf halten und immer gesund kritisch sein!

BTC-ECHO

Du bist ein Blockchain- oder Krypto-Investor? Der digitale Kryptokompass ist der erste Börsenbrief für digitale Währungen und liefert dir monatlich exklusive Einschätzungen und umfassende Analysen zur aktuellen Lage an den Blockchain- & Krypto-Märkten. Jetzt kostenlos testen

Ähnliche Artikel

Samsung investiert 2,6 Millionen Euro in den französischen Wallet-Hersteller Ledger
Samsung investiert 2,6 Millionen Euro in den französischen Wallet-Hersteller Ledger
Sicherheit

Der südkoreanische Technik-Gigant Samsung beteiligt sich an Ledger. Samsung investierte 2,6 Millionen Euro in den Wallet-Hersteller.

Kein Kavaliersdelikt: Musterschüler muss wegen Bitcoin-Diebstahl ins Gefängnis
Kein Kavaliersdelikt: Musterschüler muss wegen Bitcoin-Diebstahl ins Gefängnis
Sicherheit

In den USA erhielt ein 21-jähriger Krypto-Dieb eine langjährige Haftstrafe.

Newsletter

Die besten News kostenlos per E-Mail

Finde einen Job mit Zukunft

    Aktuell

    Blockchain-Netzwerk wächst um Landesbanken – Helaba und BayernLB treten Marco Polo bei
    Blockchain-Netzwerk wächst um Landesbanken – Helaba und BayernLB treten Marco Polo bei
    Blockchain

    Die Landesbanken der Bundesländer Hessen, Thüringen und Bayern, Helaba & BayernLB, sowie eine Dachorganisation der Sparkassenfinanzgruppe S-Servicepartner verkünden in dieser Woche ihren Beitritt zum Blockchain-Netzwerk Marco Polo.

    Jetzt wird es ernst: Wie Facebook, Nike und Samsung die zweite Welle der Blockchain-Adaption einleiten
    Jetzt wird es ernst: Wie Facebook, Nike und Samsung die zweite Welle der Blockchain-Adaption einleiten
    Kommentar

    Bislang ähnelten sich die meisten Meldungen von Konzernen zur Blockchain-Adaption.

    Schock bei Tether (USDT) und Bitcoin-Börse Bitfinex: Das steckt hinter der 850 Millionen-US-Dollar-Klage
    Schock bei Tether (USDT) und Bitcoin-Börse Bitfinex: Das steckt hinter der 850 Millionen-US-Dollar-Klage
    Märkte

    Der Krypto-Markt und insbesondere der Stable Coin Tether wurden heute Morgen böse überrascht.

    XRP im Wert von 170 Millionen US-Dollar verkauft – Ripples Umsatz wächst um 31 Prozent in Q1
    XRP im Wert von 170 Millionen US-Dollar verkauft – Ripples Umsatz wächst um 31 Prozent in Q1
    Märkte

    Die Nachfrage nach Ripples XRP hat seit Anfang des Jahres signifikant zugenommen.

    Angesagt

    Samsung investiert 2,6 Millionen Euro in den französischen Wallet-Hersteller Ledger
    Sicherheit

    Der südkoreanische Technik-Gigant Samsung beteiligt sich an Ledger. Samsung investierte 2,6 Millionen Euro in den Wallet-Hersteller.

    Desinformation à la Ayre: Bitcoin SV sponsert schottischen Zweitligisten
    Kommentar

    Unter der Federführung von Calvin Ayre vermeldet Bitcoin Satoshi Vision (BSV) das Sponsoring eines schottischen Fußball-Zweitligisten.

    Binance DEX erlässt Guidelines für Token Listings
    Unternehmen

    Die offene Börse für Kryptowährungen Binance hat neue Community-Richtlinien erlassen, in denen sie genau erklärt, wie neue Token eingereicht und gelistet werden können.

    Tether-Konkurrent TrustToken kündigt vier neue Stable Coins an
    Altcoins

    TrustToken wird vier neue Stable Coins einführen. Sie werden im Verlauf des Jahres auf dem Markt verfügbar sein.