Trotz der katastrophalen Ereignisse im Jahr 2022 sind die Sicherheitslücken vieler Krypto Netzwerke auch dieses Jahr noch nicht behoben. Im jüngsten Beispiel deckte ein auf Sicherheit spezialisiertes Forschungsteam massive Risiken bei Dogecoin, Litecoin und Zcash auf. Die Entwickler warnten auch vor weiteren Risiken.
Kryptowährungen verwenden Open Source Code, jede:r kann also den Quellcode der Software einsehen, abändern und verbreiten. Diese Offenheit fördert Transparenz, Verantwortlichkeit und Innovation. Darüber hinaus ermöglicht es der Krypto Community, die Blockchain Technologie kontinuierlich zu entwickeln und zu verbessern.
Allerdings können dadurch auch Hacker auf den Code zugreifen, dessen Schwachstellen analysieren und diese ausnutzen.
Auf diesen Wegen dringen Angreifer in Netzwerke ein
Im Folgenden beschreiben wir einige mögliche Schwachstellen eines Open Source Codes und die dadurch entstehenden Sicherheitsrisiken für die Blockchain.
- Kodierungsfehler: Selbst den erfahrensten Entwicklern können Kodierungsfehler unterlaufen, welche schnell Schwachstellen im Code nach sich ziehen. Implementiert ein Entwickler beispielsweise keine ordnungsgemäße Eingabevalidierung, könnten Angreifer schädlichen Code in das System einschleusen. Zudem führen Fehler bei der Speicherzuweisung oder der Datenverarbeitung schnell zu Datenverfälschung oder Datenlecks.
- Keine Überprüfung des Codes: Open Source Code ist auf Peer Reviews, also auf die Prüfung durch eine:n zweite:n, unabhängige:n Entwickler:in, angewiesen. Auf diese Weise werden Fehler im Code wesentlich öfter erkannt und behoben. Der Verzicht auf ein solches Prüfungsverfahren kann zu Sicherheitslücken führen, welche Angreifer wiederum gerne ausnutzen. Auch wenn unerfahrene Entwickler Änderungen am Code vornehmen, ohne die Auswirkungen ihrer Modifikationen vollständig zu verstehen, entstehen nicht selten Schwachstellen.
- Forked Code: Forking ist ein Prozess, bei dem Entwickler einen bestehenden Code ändern, um ein neues Projekt zu erstellen. Obwohl das Forking in der Open Source Community absolut üblich ist, kann es zu Schwachstellen führen. So versäumen Entwickler es möglicherweise, Sicherheitsaktualisierungen einzubauen oder nehmen unsachgemäße Änderungen am Quellcode vor. Wird solch ein geforktes Projekt schließlich populär, können Angreifer es aufgrund dieser potenziellen Schwachstellen ins Visier nehmen.
- Software Abhängigkeiten: Viele Open Source Projekte funktionieren auf Basis von Bibliotheken und Frameworks von Drittanbietern. Diese Abhängigkeiten können zwar Zeit und Mühe sparen, aber auch Schwachstellen verursachen, sollten sie Fehler enthalten oder veraltet sein. Angreifer können diese Schwachstellen ausnutzen, um auf sensible Daten zuzugreifen oder die Integrität der Blockchain zu gefährden.
- Social Engineering: Selbst wenn der Code technisch einwandfrei ist, können Angreifer immer noch menschliche Schwächen zu ihrem Vorteil nutzen. So könnten sie beispielsweise durch Phishing Angriffe an Anmeldedaten gelangen, oder Entwickler dazu bringen, schädlichen Code in das System einzuschleusen.
Krypto Plattformen verzeichnen einen Anstieg illegaler Aktivitäten
Der Open Source Charakter von Kryptowährungen bietet erhebliche Vorteile, wie Transparenz und Innovation. Allerdings entstehen dadurch auch potenzielle Schwachstellen, die Angreifer ausnutzen können. Um Sicherheit zu gewährleisten und die Integrität der Blockchain zu erhalten, müssen die Entwickler daher ständig den Code überprüfen und verbessern.
Allein im letzten Jahr verdienten Hacker im Kryptobereich 3,80 Milliarden US-Dollar. Die illegalen Aktivitäten stiegen 2022 um 15 % gegenüber dem Vorjahr (3,30 Milliarden USD). Im Vergleich zu 2020 ist dies ein dramatischer Anstieg, damals wurden “nur” 0,50 Milliarden USD gestohlen.
Nach den Erkenntnissen des Cybersicherheitsunternehmens Halborn könnte das Jahr 2023 sogar noch verheerender ausfallen. Über 280 wichtige Blockchains wiesen Schwachstellen auf, darunter Dogecoin, Litecoin und Zcash. Insgesamt waren Vermögenswerte in Höhe von etwa 25 Milliarden USD gefährdet.
Krypto Schwachstellen: Schlupflöcher im Code von Dogecoin
Halborn Wissenschaftler untersuchten den Open Source Code von Dogecoin auf unbekannte Exploits, sogenannte “Zero Day Schwachstellen”. Derartige Sicherheitslücken gefährden vor allem die Gelder der Miner.
Nachdem Forscher zwei kritische Stellen in dem Code “Rab13s” identifiziert hatten, behoben die Dogecoin Entwickler diese schließlich.
Schwerwiegende Folgen von Netzwerkattacken
Die Entdeckung dieser Sicherheitslücken ließ weitere Zweifel aufkommen, da Varianten der Zero Day Schwachstellen auch in ähnlichen Blockchains, wie Litecoin und Zcash, auftauchten. Derartige Fehler könnten schwerwiegende Folgen mit sich bringen.
Zum einen können bei den P2P-Nachrichtenmechanismen betrügerische Konsensnachrichten an jeden Node versendet werden. Dies könnte zur Abschaltung letzterer führen und das Netzwerk somit für schwerwiegende Risiken, wie 51%-Attacken, angreifbar machen. Darüber hinaus können Angreifer über die öffentliche Schnittstelle (RPC) als normale Node Betreiber:innen einen Code ausführen. Die Wahrscheinlichkeit eines Angriffs ist hierbei jedoch geringer, da ein gültiger Berechtigungsnachweis erforderlich ist, um Code auszuführen.
Um weiteren Schaden zu verhindern, empfahl das Team der Sicherheitsfirma, alle UTXO-basierten Nodes (z. B. Dogecoin) auf die neueste Version (1.14.6) zu aktualisieren.
In einem weiteren Gespräch beantwortete das Halborn Team einige Fragen von BeInCrypto. Auf die Frage, wie Zcash, Litecoin und Dogecoin die Sicherheitslücken behoben, teilte das Team folgenden Screenshot mit uns.
Demnach behoben die Teams all dieser Projekte die Sicherheitslücken in darauffolgenden Software Updates.
Solche Vorfälle können Auswirkungen auf das breitere Krypto Ökosystem haben. Steve Walbroehl, Chief Security Officer und Mitbegründer von Halborn, erklärte:
“Je länger die Probleme in öffentlichen Netzen bestehen, desto wahrscheinlicher ist es, dass sie von Hackern mit böswilligen Absichten gefunden und ausgenutzt werden. Da die Arbeit mit Dogecoin bereits abgeschlossen war und der größte Staker schnell eine Lösung gefunden hatte, konnte diese als Beispiel für alle anderen Chains dienen. Es war ein ehrbarer Aufruf zu mehr Sicherheit für ein positives Ergebnis. Unterschiedliche Projekte arbeiten zusammen, um einander zu helfen, sich vor einer gemeinsamen Bedrohung zu schützen.”
BeInCrypto bat auch die Kernentwickler von Dogecoin und Zcash um eine Stellungnahme zu diesem Thema. Bis jetzt haben wir jedoch noch keine Antwort erhalten.
Du willst mit Gleichgesinnten über Analysen, Nachrichten und Entwicklungen sprechen? Dann tritt hier unserer Telegram-Gruppe bei.
Haftungsausschluss
Gemäß den Richtlinien des Trust Project werden in diesem Artikel Meinungen und Perspektiven von Branchenexperten oder Einzelpersonen vorgestellt. BeInCrypto ist um eine transparente Berichterstattung bemüht, aber die in diesem Artikel geäußerten Ansichten spiegeln nicht unbedingt die von BeInCrypto oder seinen Mitarbeitern wider. Die Leser sollten die Informationen unabhängig überprüfen und einen Fachmann zu Rate ziehen, bevor sie Entscheidungen auf der Grundlage dieses Inhalts treffen.
