Auch im Jahr 2021 bleibt die Sicherheit digitaler Assets ein Problem

Artikel teilen
IN KÜRZE
  • In der Kryptowelt sind große Sicherheitslücken keine Seltenheit.

  • Wenn man sich einige der jüngsten Ereignisse ansieht, wird klar, dass es einige große Schwachstellen gibt.

  • Es gibt aber auch Lösungen, die ein ausgewogenes Verhältnis zwischen erhöhter Sicherheit und Zugänglichkeit bieten.

  • promo

    Marktsignale, Studien und Analysen! Besuch uns noch heute auf Telegram!

Das Trust Project ist ein internationales Konsortium von Nachrichtenorganisationen, die Standards für Transparenz entwickeln.

Die Krypto-Community ist an Hacks und Sicherheitslücken gewöhnt. Das bedeutet jedoch nicht, dass diese Vorfälle kein Grund zur Sorge sind.

Der Juni 2021 war ein besonders schlechter Monat in Sachen Sicherheit. Denn immerhin gab es zwei große Sicherheitslücken, mit ganz unterschiedlichen zugrundeliegenden Problemen. Allerdings beträgt der geschätzte Gesamtverlust bei 20.32 Milliarden US-Dollar.

  • Der bei weitem größte der beiden Vorfälle war der Africrypt-Skandal. Er führte zu geschätzten Verlusten von 3,6 Milliarden Dollar. Der Vorfall, der alle Merkmale eines Exit-Betrugs aufweist, begann im April. Damals meldete die Africrypt-Börse einen Hack. Die beiden Brüder Ameer und Raees Cajee, die die Börse betrieben, verschwanden jedoch, nachdem sie in den Wochen zuvor eine ganze Reihe von Luxusgütern verkauft hatten.
  • Vor allem lokale Handelsplattformen scheinen sich für diese Art von Ausbeutung zu eignen. Im April verschwand der CEO der türkischen Kryptowährungsbörse Thodex zusammen mit über 2 Milliarden Dollar an Kundengeldern.
  • Ganz zu schweigen von dem berüchtigten Fall der kanadischen Börse Quadriga CX. Anfang 2019 wurde bekannt, dass der Gründer Gerald Cotten gestorben war und 145 Millionen Dollar an Kundengeldern mit ins Grab genommen hatte. Dieser Vorfall wird bis heute noch untersucht.

Der Fireblocks-Vorfall

Neben Africrypt gab es im Juni einen weiteren Vorfall, der etwas weniger skandalös war. Dennoch zeigt er einige kritische Lektionen in Bezug auf die Sicherheit privater Keys. Dies gilt insbesondere für Institutionen und diejenigen, die sich auf Verwahrungsdienste für ihre digitalen Vermögenswerte verlassen.

Ende Juni wurde bekannt, dass StakeHound, ein Kryptounternehmen, das sich mit Staking beschäftigt, eine Klage gegen den Verwahrungsdienstleister Fireblocks eingereicht hat. In der Klage wird behauptet, dass Fireblocks Ethereum im Wert von rund 75 Millionen Dollar verloren hat, für die es verantwortlich war. Wenn man jedoch tiefer gräbt, ist aber noch viel mehr los.

Fireblocks erklärte gegenüber Forbes, dass es mit StakeHound für zwei Dienstleistungen unter Vertrag genommen wurde. Der erste war sein Standardangebot für die Verwahrung von Kryptowährungen. Die andere war eine einmalige Vereinbarung, bei der Fireblocks StakeHound dabei unterstützte, ein Programm zur Erzeugung von Signaturen zu schreiben, um die Authentizität einer Staking-Vereinbarung zu überprüfen. StakeHound generierte mit dem Programm einen Schlüssel und verwendete diesen, um 38.178 ETH an den Ethereum 2.0 Staking Contract zu senden.

An dieser Stelle scheint es zu einer Panne gekommen zu sein. Fireblocks gibt an, dass StakeHound die Hälfte des privaten Keys aus Sicherheitsgründen in Verwahrung nehmen wollte, wozu sich das Unternehmen mündlich bereit erklärte. StakeHound schickte seinen Teil des Schlüssels als Backup an Coincover, Fireblocks jedoch nicht. Als eines der Systeme des Unternehmens ausfiel, ging der Key verloren. Außerdem gab es kein Backup. Jetzt kann StakeHound nicht mehr auf die 38.178 ETH zugreifen, die in dem Stake-Vertrag gebunden sind. Darüber hinaus sind die Gelder wahrscheinlich für immer verloren.

Ein Bild von BeInCrypto.com
Ein Bild von BeInCrypto.com

HSMs vs. MPC

Es gibt keine Möglichkeit herauszufinden, wer was gesagt hat oder wie der Rechtsstreit ausgehen wird. Fireblocks hat erklärt, dass seine Kunden keinen Grund haben, sich Sorgen zu machen, da dieser Vorfall außerhalb der normalen Abläufe stattfand. Das Unternehmen hat auch gesagt, dass StakeHound weiterhin Fireblocks für alltägliche Krypto-Verwahrungsdienste nutzt. Es lohnt sich jedoch, den Vorfall zu untersuchen. Dieser zeigt uns einen grundlegenden Sicherheitsmangel, wenn man sich für die Sicherheit auf Mehrparteienberechnungen oder Wallets mit mehreren Unterschriften verlässt.

An diesem Punkt in der Entwicklung der Sicherheit digitaler Vermögenswerte bieten Wallets mit mehreren Unterschriften eine ziemlich schwache Sicherheit. Schließlich kann man nicht wissen, wer Zugang zu den privaten Schlüsseln hat, was bedeutet, dass sie von Natur aus nicht sicherer sind als eine Einzelsignatur-Wallet. Derzeit verwenden Verwahrer zwei Hauptformen der Sicherheit, um private Schlüssel und damit digitale Vermögenswerte zu schützen. Dabei handelt es sich um Hardware-Sicherheitsmodule (HSM) und Mehrparteienberechnungen (MPC).

  • HSMs sind physische Hardware-Geräte, die mehrere weltweit anerkannte Standards erfüllen, die die sichere Erstellung und Speicherung privater Schlüssel gewährleisten. HSMs werden im öffentlichen und privaten Sektor eingesetzt. Dazu gehören auch militärische Bankanwendungen.
  • Bei MPC wird der private Schlüssel in mehrere Teile aufgeteilt und jeder Teil separat auf verschiedenen Geräten oder Cloud-Speicher-Servern gespeichert, wie es StakeHound und Fireblocks vereinbart haben. Die Idee dahinter ist, dass ein Hacker, wenn er einen Teil des Schlüssels knackt, keinen Zugang zu genügend Informationen hat, um den gesamten privaten Schlüssel zusammenzusetzen.

Eine bewährte Backup-Lösung

Der entscheidende Unterschied zwischen den beiden ist, dass HSMs über integrierte Sicherungsmechanismen für Schlüssel verfügen, die sicherstellen, dass die Benutzer niemals den Zugriff auf ihre Mittel verlieren.

  • In der Regel sind HSM-Benutzer mit physischen Sicherungskarten ausgestattet, die an mehreren Orten sicher aufbewahrt werden. Die Benutzer können die Backup-Karten einsetzen, um einen Backup-Schlüssel wiederherzustellen, der jedes Mal erzeugt wird, wenn ein neuer Schlüssel angefordert wird.
  • MPC-Lösungen haben keinen eingebauten Mechanismus zur Erzeugung von Backup-Schlüsseln. Außerdem ist die Erstellung von Sicherungskopien für MPC-Schlüssel von Natur aus recht komplex. Das liegt daran, dass an diesem Prozess mehrere Parteien beteiligt sind. Aus diesem Grund gibt es Bedenken hinsichtlich der Verwendbarkeit jeder Backup-Lösung.

In der bisherigen Entwicklung der Sicherheit von Kryptowährungen haben sich HSMs als die einzige Möglichkeit erwiesen, mit der Unternehmen ihre privaten Schlüssel sicher sichern können. Sie stellen sicher, dass sie im Falle eines Verlustes immer noch auf ihre Kryptowährungen zugreifen können. In diesem Sinne bleiben sie die robusteste Form der Sicherheit gegen Angriffe. Gleichzeitig bleibt MPC ein spannender neuer Zweig der Kryptographie. Dies ist ein vielversprechender Ansatz im Bereich der Cybersicherheit. Außerdem bietet sie den Nutzern mehr Komfort durch getestete und bewährte Methoden zum Schutz ihrer Gelder vor Angreifern.

Haftungsausschluss

Alle auf unserer Website enthaltenen Informationen werden nach bestem Wissen und Gewissen recherchiert. Die journalistischen Beiträge dienen nur allgemeinen Informationszwecken. Jede Handlung, die der Leser aufgrund der auf unserer Website gefundenen Informationen vornimmt, geschieht ausschließlich auf eigenes Risiko.
Share Article

Die Meinung der BeInCrypto-Mitarbeiter mit einer Stimme.

MEHR ÜBER DEN AUTOR

Marktsignale, Studien und Analysen! Besuch uns noch heute auf Telegramml!

Jetzt mitmachen

Marktsignale, Studien und Analysen! Besuch uns noch heute auf Telegramml!

Jetzt mitmachen