Zcash Audit: Viertelmillion US-Dollar Investition in Sicherheit

Quelle: © funnycreature - Fotolia.com

Zcash Audit: Viertelmillion US-Dollar Investition in Sicherheit

Sie soll absolut anonyme Transaktionen verarbeiten können. Vor einigen Tagen ging die risikokapital-gestützte Kryptowährung Zcash in die Beta-Phase über. Nun sollen in aller Kleinlichkeit Fehler und Bugs behoben werden, bevor ihre Blockchain echte Transaktionen unterstützen wird.

Zcash wurde durch einen Bitcoin Blockchain Fork erschaffen. Die Kryptowährung wurde dafür gemacht die Adresse der beiden interagierenden Parteien, sowie die Transaktionsmenge, zu verschleiern.

Sollte dies funktioneren könnte die privat-orientierte public Blockchain das neue Grundgerüst für ein neues Ökosystem sein. In diesem System könnten dann Anwendungen laufen die durch Kunden und große Banken erschaffen worden sind, mit dem Ziel mehr Privatsphäre bei Transaktionen zu erschaffen.

Diese Entwicklung wird nicht nur von der Krypto-Community beobachtet, auch Hacker suchen immer wieder nach einem neuen hochrangigen Ziel.

Um die Robustheit dieses neuen Protokolls zu testen, hat die Gründerfirma dieser Währung, ZCash Electric Coin Company, ein Viertel ihres derzeitigen Kapitals von 1 Mio. US-$ aufgewendet um drei verschiedene IT-Sicherheitsfirmen anzuheuern. Die teure Umgebung in der auch starke Kryptowährungen vertreten sind, würde von einer größeren Sorgfaltspflicht profitieren, so der erfahrene Kryptograph und Gründer von Zcash Zooko Wilcox.


[Anzeige]
Bitcoin kaufen mit dem Bitwala Konto. Warum ein Bankkonto bei Bitwala? Ein Bankkonto “Made in Germany” mit Einlagensicherung bis zu 100.000 Euro; 24/7 Bitcoin Handel mit schneller Liquidität; Gehandelt werden ausschließlich ‘echte’ Bitcoin – keine Finanzderivate wie CFDs; Sichere Nutzerkontrolle über das Bitcoin Wallet und den private Schlüssel; Mit der kontaktlosen Debit-Mastercard weltweit abheben und bezahlen.

Jetzt kostenloses Konto eröffnen

In einem Interview mit CoinDesk erklärte Wilcox wie schwierig es ist einen fast perfekt sicherheits-geprüften Code mit begrenzten finanziellen Ressourcen zu bekommen.

Er sagte:

“Der traurige und unglückliche Fakt ist, dass man mit einer großen Codebase unmöglich alle Bugs finden kann. Wenn man eine solche Sicherheitsuntersuchung macht, muss man sein Sichtfeld auf die gefährlichsten Dinge einstellen.”

Um mit den Problemen umzugehen wollte Wilcox, dass die Prüfer ihr Augenmerk auf die Änderungen legen, die Wilcox Team am Bitcoin Protokoll vorgenommen hat.

Nach sieben Jahren ohne Hack, kann man diesen Teil mit etwas Vertrauen bei Seite legen.

Genau genommen hat Zcash seinen Fokus auf sechs Komponenten gelegt, darunter die zkSNARK Kryptographie die auf libsnark aufbaut, das kryptographische Konstrukt namens “zk-SNARK circuit” und den Equihash proof-of-work Algorithmus.

“Es gibt keine Möglichkeit auf eine große Codebase zu schauen und zu wissen, dass sie im Allgemeinen sicher ist”, sagte Wilcox. “Man muss auf eine große graue Fläche schauen die mehr oder weniger sicher ist.”

Ein sich bewegendes Ziel

Der erste Schritt um ein Sicherheits-Audit zu machen ist, sich Prüfer auszusuchen. Zwar mag das sehr offensichtlich klingen, doch ist der Auswahlprozess nicht immer einfach, da die Zusammenarbeit viel Vertrauen erfordert und zusätzlich schwierige Konversationen beinhalten könnte.

Für Zcashs erstes Audit, welches seit August unterwegs ist, hat Wilcox die londoner NCC Group angeheuert. Sie sind eine Partnerfirma eines vorherigen Audits, dass er mit seiner eigenen Sicherheitsfirma “Least Authority” bewältigt hat.

Alex Balducci, Principal Security Consultant bei der NCC Group, wurde um die Analyse der Third-Party Dependencies wie libsnark gebeten. Balducci teilte seine Analyse in zwei Kategorien: die Zusammenfassung der Implementierung des Zcash-Protokolls und er Audit des Quellcodes.

Erste Schlussfolgerungen des Audits mündeten in mehrere Vorschläge die einen Einfluss auf die Entwicklung von Zcash hatten. Er hat spezifisch die Einbindung von Tools vorgeschlagen, die Schwierigkeiten mit dem Code während der Entwicklung sichtbar machen.

“Dieser Prozess sollte alle Aspekte des Unternehmens ansprechen”, erklärte Balducci CoinDesk. “Entwickler sollten sich über verschiedene Sicherheitsrisiken bewusst sein, Richtlinien sollten eingesetzt werden um sich schwankenden Sicherheitsbedrohungen stellen zu können, Audits sollten gehalten werden und letztendlich sollten Pläne für verschiedene Worst-Case-Szenarien geschmiedet werden.”

Waffen und Frappuccinos

Ende diesen Monat wird die NCC Group durch zwei weitere Auditoren unterstützt. Auch sie sollen die Zahl der Bugs verringern und Schwachstellen im Code aufspüren.

Da Coinspects Geschichte mit der Veröffentlichung zahlreicher “innovativer” Protokoll Designs gespickt ist, hat Zcash die argentinische Firma beauftragt nach bestimmten Bedrohungen in Protokollen und Algorithmen zu schauen, die nur bei Kryptowährungen auftauchen.

Der Gründer der erfahrenen IT-Sicherheitsfirma hat bereits Implementierungen des Bitcoin Core, ethereum, monero, counterpaty und bitcoinj untersucht. Er sagt, dass Kryptowährungen ein besonders reizvolles Ziel darstellen, da die vorhandenen Daten auch meist mit einem Token-Wert einhergehen.

Julian Rizzo von CoinSpect vergleicht den Start von Zcash mit dem Start von Bitcoin. Er sagte, als Bitcoin gestartert wurde gab es wenige bis gar keine Leute mit einem so gespreizten Netz aus Fähigkeiten um eine Kryptowährung zu hacken – erforderliche Fähigkeiten beinhalten Kenntnisse aus dem Gebiet der Kryptographie, Ahnung von GPU-Interna, Wissen über ASIC-Design, Regulierung, Ökonomie und Social Dynamics.

Eine Strategie die Rizzo seinen Klienten empfehlen will um Diebstahl zu umgehen, ist die Nutzung von Smart Contracts. Diese sollen Unternehmen die Möglichkeit geben ihre Kryptowährung in einem Cold Storage aufzubewahren. Diese werden durch reversible Zeit-Schlösser gesichert, “illegal ausgelöste” Transaktionen könnten somit rückgängig gemacht werden.

Zwar sind die Verteidiger gegen Hacks immer fortgeschrittener geworden, aber auch die Angreifer haben seit den frühen Tagen des Bitcoin aufgeholt.

Rizzo sagte:

“Um einen Beutel mit Bargeld aus einer Bank innerhalb von Minuten zu stehlen, benötigt man eine Gang mit verschiedenen Fähigkeiten, darunter Erfahrung im Umgang mit Waffen und dem Graben eines Tunnels, während man vorgibt Butterkekse zu verkaufen. Ein Kryptodiebstahl kann durch einen einzelnen Hacker passieren, der seinen Frappuccino in einem Café genießt.”

Die größere Verantwortung

Ein anderer Auditor der seine Arbeit im September beginnen wird ist Alexander Peslyak, besser bekannt als der Solar Designer. Sein Fokus lag auf dem Equihash Proof-Of-Work Algorithmus.

Neben seines Stands als Gründer und CTO von Openwall ist Solar Designer Berater des Open Source Computer Emergency Response Team, welches Sicherheitsunterstützung für Open-Source Projekte anbietet.

In einem Interview mit CoinDesk erklärte der Solar Designer, wie schwierig es ist die unmögliche Aufgabe für Krypto-Start-Ups zu vollbringen eine völlig bug-freie Codebase mit begrenztem Kapital zu entwickeln.

Solar Designer schloss sich den individuellen Statements der anderen Auditoren über die Idee der perfekt-bug-freien-Codebase an und kam zu dem Schluss, dass eine bug-freie Codebase “nicht-trivialer” Größe “nicht nur nicht erreicht werden kann – sie kann nicht definiert werden.”

Selbst mit einem Kapital von 250.000 US-$ musste Zcash seine Bestrebungen auf die Bereiche lenken, die nicht bereits in großem Maße untersucht worden sind.

Für andere Start-Ups die nicht in irgendeinem Maße finanziert werden oder eine andere Quelle an Kapital besitzen, sieht das anders aus. Solar Designer erklärte, dass das Level der Sorgfaltspflicht Änderungen von Projekt zu Projekt erforderlich machen würde. Am Ende würde es an den Auditoren selbst liegen die grenzen der jeweiligen Projekte mit den anderen zu kommunizieren.

Dies bedeutet aber nicht, dass keine Überprüfung stattfinden muss.

“Es ist normal, dass man den Bereich an sein Budget anpasst, wobei der Bereich sich um einige Größenordnungen unterscheiden kann”, schrieb er. “Man kann sich das nicht erlauben? Das ist hart.”

Die ‘Halbwertszeit des Zweifels’

Zcash ging letzte Woche in die Beta mit all seinen Features.

Wilcox will aber ab jetzt bis zum Full-Launch am 28. Oktober keine Anhäufung großer Werte auf der Blockchain sehen.

Selbst dann, so hofft er, soll die Wachstumsrate der Währung konstant verlaufen.

Wenn eine Codebase kompliziert genug ist, gibt es keine Garantien. Er nennt dies die “Halbwertszeit des Zweifels”, oder die Idee, dass mit jedem Jahr ohne Hack das Vertrauen steigt – aber man erreicht damit nie absolute Sicherheit.

Auch wenn Zcash auf der bis dato nie-gehackten Bitcoin Codebase aufbaut, so ist sich Wilcox nicht zu 100% sicher, dass sie eines Tages mal untergraben wird.

“Das einzige was mich beruhigt ist,” sagte Wilcox, “wenn die Jahre nach und nach vergehen und mehr und mehr Geld transferiert wird.”

Feuerprobe

Es gibt zwei Wege die Sicherheit eines Systems zu prüfen.

Der erste Weg wurde durch den Sicherheitsexperten Bruce Schneier als “security through obscurity” (Sicherheit durch Verschleierung) in einem Artikel aus dem Jahr 2008 erklärt. Dies war tatsächlich der Status den Bitcoin in seiner frühen Entwicklungsphase inne hatte, als wenige Leute wusten, dass er überhaupt existiert. Diejenigen die von ihm wussten und das nötige Wissen hatten, hatten auch nur sein Bestes im Visier.

Die zweite Form von Sicherheit beschreibt Wilcox als “trial by fire”, oder zu deutsch: “Feuerprobe”.

Monate bevor er Auditoren anheuerte um den Code auseinander zu nehmen und Schwachstellen zu suchen, wurde der Code auf Github veröffentlicht und die Öffentlichkeit wurde dazu eingeladen nach Bugs zu suchen. Das Ergebnis war, dass mehrere Schwachstellen identifiziert worden sind, bevor die formellen Audits begannen.

Die eigentlichen Bugs die in einem komplexen System wie einer Krypto-Codebase auftauchen sind ein Vielfaches der Bugs die überhaupt offen gelegt sind und am Wert des Produkts nagen, so Wilcox.

Mit der Einladung weiterer Auditoren von außen, die den Krypto-Code untersuchen, wird die Offenlegung der Bugs beschleunigt.

Wilcox sagte zuletzt:

“Man zwingt sich selbst nicht durch eine Feuerprobe zu gehen. Und man will, dass dies von allen Leuten gesehen wird.”

Meinung des Autors (Danny):

“Auch wenn langsam ein Hype um Zcash entsteht, sollte man besonders vorsichtig sein und seine eigenen Nachforschungen anstellen. Zwar können Sicherheits-Audits ein größeres Sicherheitspotenzial mitbringen, doch auch “The DAO” wurde damals von einer Sicherheitsfirma untersucht, was den Hack nicht verhindern konnte. Persönlicher Tipp: Vorsichtig hierbei, wartet ab, informiert euch. Bis dahin ist Monero in Sachen Transfer-Verschleierung und Privatspäre immer noch führend.”

BTC-Echo

Englische Originalfassung von Michael del Castillo via coindesk.com

Mehr zum Thema:

Ähnliche Artikel

CFTC deckt Bitcoin-Betrug in Millionenhöhe auf
CFTC deckt Bitcoin-Betrug in Millionenhöhe auf
Regulierung

Die Commodity Futures Trading Commission (CFTC) in Washington in den USA hat einen neuen Krypto-Fraud hochgenommen. Seit Dezember des Jahres 2017 läuft das zwielichtige Programm Circle Society, denen die CFTC nun das Handwerk gelegt hat. Insgesamt sollen die betrügerischen Anbieter rund 11 Millionen US-Dollar erwirtschaftet haben.

OneCoin-Kritikerin erhält Todesdrohungen
OneCoin-Kritikerin erhält Todesdrohungen
Sicherheit

Kryptowährung ist nicht gleich Kryptowährung. Vor nicht allzu langer Zeit wurde der Krypto-Markt regelrecht von neuen Coins und Token überschwemmt. Allerdings hielt nicht jede neue Währung auch das, was sie versprach, so auch im Fall von OneCoin. Viele Zeichen deuten darauf, dass es sich bei der Kryptowährung um einen Pyramiden-Scam handeln könnte. Die Ermittlungen laufen an. Indessen erhält eine lautstarke OneCoin-Kritikerin Todesdrohungen.

Newsletter

Die aktuellsten News kostenlos per E-Mail

Aktuell

Bitcoin-Kurs- und Marktbetrachtung: Anzeichen für Bärenflagge gesichtet
Bitcoin-Kurs- und Marktbetrachtung: Anzeichen für Bärenflagge gesichtet
Kursanalyse

Bisher konnte sich der gleitende Mittelwert der letzten hundert Tage als stabiler Support beweisen. Jedoch kann die kurzfristige Entwicklung des Bitcoin-Kurses als Bärenflagge gedeutet werden. Jenseits von Bitcoin gab es, trotz eines eher sorgenvollen Berichts der G7-Staaten, positive Neuigkeiten um Stable Coins. 

CFTC deckt Bitcoin-Betrug in Millionenhöhe auf
CFTC deckt Bitcoin-Betrug in Millionenhöhe auf
Regulierung

Die Commodity Futures Trading Commission (CFTC) in Washington in den USA hat einen neuen Krypto-Fraud hochgenommen. Seit Dezember des Jahres 2017 läuft das zwielichtige Programm Circle Society, denen die CFTC nun das Handwerk gelegt hat. Insgesamt sollen die betrügerischen Anbieter rund 11 Millionen US-Dollar erwirtschaftet haben.

Facebook Coin Libra: G7 wird Stable Coin vorerst nicht zulassen
Facebook Coin Libra: G7 wird Stable Coin vorerst nicht zulassen
Regulierung

Die „großen 7“ wollen den geplanten Facebook Coin Libra nicht zulassen. Das geht aus einem Stable-Coin-Bericht hervor, den die G7 am 18. Oktober veröffentlichte.

Finanzbranche first, Industrie second: Wann die Blockchain den Maschinenbauer erreichen wird
Finanzbranche first, Industrie second: Wann die Blockchain den Maschinenbauer erreichen wird
Kommentar

„Blockchain ist viel mehr als Bitcoin.“ Dieser Satz wurde in den letzten zwei Jahren geradezu mantra-artig, selbstbewusst und inflationär von Managern aus der Industrie heruntergebetet. Warum die Realität von dieser Vorstellung noch ein Stückchen entfernt ist, wie lange es dauern wird, bis Blockchain im produzierenden Gewerbe wirklich angekommen ist und wieso die Finanzialisierung der Realwirtschaft voraus ist. Ein Kommentar.

Angesagt

Nach Libra-Austritt: MasterCard glaubt an Krypto-Branche
Szene

Nach Visa, PayPal und ebay ist auch MasterCard aus Facebooks Libra Association ausgetreten. Das Kreditkartenunternehmen nahm dies zum Anlass, um einmal über die Zukunft der Krypto-Welt nachzudenken. Von einem Abschied aus der Branche ist MasterCard indessen meilenweit entfernt.

iFinca: Fair-Trade-Kaffee durch Blockchain-Technologie
Blockchain

Eine neue App verspricht mithilfe der Blockchain vollste Transparenz bei der Kaffeeproduktion. Das Produkt der kolumbianischen Firma iFinca möchte Farmern eine stärkere Stimme verleihen. Endverbraucher, die den entsprechenden QR-Code auf ihrem Kaffee scannen, sehen dann, wie viel der Bauer an der Herstellung verdient hat. Es ist nicht das erste Projekt in der Kaffee-Branche, welches die Technologie von Bitcoin & Co. nutzt. Schließlich ist das Kaffee-Business eines der undurchsichtigsten weltweit.

China, Nike und die NBA: Sneaker Token im politischen Eklat
Politik

Nike Sneaker, Token und ein Tweet. Der schwelende Konflikt zwischen der NBA und der chinesischen Regierung hat auch in der Krypto-Sphäre seine Spuren hinterlassen.

USA und Kanada erwägen digitales Zentralbankengeld
Politik

Die Zentralbanken Kanadas und der USA planen die Einführung eigener digitaler Währungen. Sie reagieren damit auf ein wachsendes Interesse an digitalen Währungen und wollen den Aufsprung bei dieser Entwicklung nicht verpassen. Dabei verfolgen beide Nationen unterschiedliche Interessen.