Digital Life 23.02.2018

Hacker können Ethereum im Wert von Millionen US-Dollar stehlen

© Bild: REUTERS / DADO RUVIC

Sicherheitsforscher haben eine Lücke in Smart Contracts der Kryptowährung Ethereum entdeckt.

Im November 2017 wurde eine kritische Sicherheitslücke in Ethereum-Wallets bekannt, mit der der User DevOps199 - angeblich unabsichtlich - Nutzer aus ihren Wallets aussperrte. Dies betraf Ether in der Höhe von 150 Millionen US-Dollar.

Basierend auf dieser Sicherheitslücke haben IT-Forscher nun eine neue Schwachstelle entdeckt, ebenfalls in den Smart Contracts, berichtet Motherboard. Smart Contracts kommen bei der Kryptowährung Ethereum unter anderem zur Verwendung um Wallets, Tokens und andere Anwendungen zu steuern.

Millionen gefährdet

Mit dieser Schwachstelle könnten Hacker Ether stehlen. Die Forscher haben fast eine Million Smart Contracts analysiert und dabei über 34.000 gefunden, die für diese Methode anfällig sind. Die Forscher haben zudem eine Stichprobe von 3.000 Smart Contracts gezogen und diese näher analysiert. Allein über diese Stichprobe wäre es möglich gewesen, Ether im Wert von sechs Millionen US-Dollar zu stehlen. Der Gesamtwert aller 34.000 betroffenen Smart Contracts ist nicht bekannt.

Die Forscher haben erfolglos versucht die Ersteller der anfälligen Smart Contracts zu finden. Aber da die Details der  Sicherheitslücke noch nicht öffentlich bekannt sind, gehen sie davon aus, dass das Geld vorerst sicher ist.

Allerdings könnten potenzielle Angreifer dieselbe Methode wie die Forscher nutzen, um die anfälligen Smart Contracts zu finden. Sie haben dazu die Blockchain von Ethereum heruntergeladen und viele verschiedene Interaktionen mit den Smart Contracts gemacht, bis eine Reihe von Anweisungen zu einem unerwünschten, oder im Falle der Angreifer erwünschten, Ergebnis führte. Sie vergleichen das mit einem Süßigkeiten-Automaten. Man wirft etwas Geld hinein und drückt solange irgendwelche Knöpfe, bis die Klappe unten aufgeht und man sich die gesamten Süßigkeiten nehmen kann.

( futurezone ) Erstellt am 23.02.2018