Verge (XVG) fällt Hacker zum Opfer – schon wieder

Die vermeintlich anonyme Kryptowährung Verge (XVG) litt in den letzten Tagen unter einem Hacker-Angriff. Der Angreifer manipulierte die Blockzeiten seiner Blöcke so, dass die Mining-Schwierigkeit heruntergesetzt wurde. Auf diese Art und Weise erbeutete der Hacker über 35 Millionen XVG, also gut 1,3 Millionen Euro.
Wie der Hacker das Netzwerk austrickste

Alex Roos
von Alex Roos
Teilen

Wie der Hacker das Netzwerk austrickste

In Verge kommen gleich fünf verschiedene Mining-Algorithmen zum Einsatz. Diese wechseln sich immer so ab, dass der verwendete Algorithmus des letzen Blocks mindestens eine Runde pausiert und einer der vier anderen Algorithmen aktiv wird. Der Angriff passiert durch das Manipulieren der „Timestamps“ (zu Deutsch: Zeitstempel). Damit wird dem Schwierigkeitsgrad vorgegaukelt, dass nicht schnell genug Blöcke produziert werden und die Schwierigkeit deswegen nach unten korrigiert werden muss.

Das Problem für Verge ist, dass der Computercode benutzergenerierte Zeitstempel mit einer Toleranz von bis zu 2 Stunden zulässt. Damit wird die Tür für den Angriff geöffnet. Auf der Blockchain sieht das dann wie folgt aus:

Block 2,168,400
Tuesday, May 22, 2018 4:56:56 AM

Block 2,168,399
Tuesday, May 22, 2018 3:26:57 AM

Block 2,168,398
Tuesday, May 22, 2018 3:26:57 AM

Block 2,168,397
Tuesday, May 22, 2018 4:56:55 AM

Block 2,168,396
Tuesday, May 22, 2018 3:26:56 AM

Block 2,168,395
Tuesday, May 22, 2018 3:26:56 AM

Man sieht hier mehrere Dinge. Auf der einen Seite werden Blöcke teilweise zeitgleich geschürft – Block 2.168.395 & Block 2.168.396. Block 2168397  zeigt eine Pause von 90 Minuten. Der Block darauf, Nummer 2168398, trägt einen Zeitstempel vor seinem Vorgänger! Bei Verge gibt es nämlich eine Zeit-Toleranz von +/- zwei Stunden. Diese Toleranz wird für den Exploit ausgenutzt. Der Schwierigkeitsalgorithmus denkt daraufhin, dass die Schwierigkeit 180x zu hoch ist, denn die normale Blockzeit in Verge sind 30 Sekunden. Die Schwierigkeit wird nach unten geschraubt und der Angreifer kann problemlos einen Block generieren. Im jüngsten Angriff erbeutete der Hacker so 35 Millionen Verge, was über 1,3 Millionen Euro entspricht.

In folgendem Bild aus einem BitcoinTalk-Thread sieht man die zwei betroffenen Algorithmen: Scrypt und Lyra2re.

Nicht die erste Attacke

Der Angriff kommt nicht zum ersten Mal vor. Verge fiel dem gleichen Exploit schon einmal zum Opfer, damals manipulierte der Hacker allerdings nur einen der fünf Mining-Algorithmen – jetzt sind es zwei. Auch konnte sich das Verge-Entwicklerteam noch nicht dazu durchringen, einen Fix für diese eklatante Lücke herauszugeben. Einige Stimmen im BitcoinTalk-Thread stellen die Kompetenz der Entwickler in Frage. Tatsächlich weist die Code-Basis von Verge größtenteils Code aus anderen Projekten auf.

Vorsicht vor Verge

Aktuell fällt der XVG-Kurs stärker als der anderer Kryptowährungen. In den letzten 24 Stunden büßte er circa 15 Prozent ein, wohingegen sich das Volumen in der letzten Woche verdoppelt hat. Ist dies der Angreifer, der seine erbeuteten Verge in eine andere Kryptowährung umtauscht?

Das Versprechen von Verge ist eine sichere und anonyme Kryptowährung. Allerdings stellt sich die Frage, ob es sich hierbei nicht einzig und allein um einen Markting-Gag handelt. Die TOR-Wallet braucht mehrere Tage, um die Blockchain zu synchronisieren, da der Datenverkehr über das TOR-Netzwerk extrem lange dauert. Verge hat weniger als 40 Full Nodes in Betrieb, was für einen dramatischen Grad an Zentralisierung spricht. Das„Entwickler-Team“ ist eher eine Ein-Mann-Operation und bannt neugierige Fragensteller schnell in den sozialen Mediengruppen.

Das Projekt und die Community selbst scheinen keinen großen Wert auf die technische Grundlage der Kryptowährung zu legen. Wichtig ist nur die Antwort auf die Frage „When Lambo?“ und die nächste Partnerschaft. Wer sich in Verge einkaufen möchte oder dies getan hat, sollte sich Attacken wie diese genau anschauen. Offensichtlich gibt es massive Sicherheitslücken im Protokoll.

Verge ist das Paradebeispiel für eine Kryptowährung, die keinen wirklichen Mehrwert bietet, sondern allein von der allgemeinen Hype-Stimmung am Markt lebt.

BTC-ECHO

Du willst Aave (AAVE) kaufen oder verkaufen?
Wir zeigen dir in unserem Leitfaden, wie und wo du einfach und seriös echte Aave (AAVE) kaufen kannst.
Aave kaufen