Cyber Security und Blockchain. Ist die Blockchain wirklich so sicher wie alle sagen?

Generell gesehen gibt es ein grundsätzliches Missverständnis, dass die Blockchain Technologie aufgrund Ihrer Kryptographie und Unveränderlichkeit automatisch hohe Sicherheit bietet. Abgesehen von diesen zweifelsohne Stärken der Technologie, ist das Blockchain Ecosystem nicht unbedingt ein sicherer Hafen. Bereits kleine Sicherheitslücken bei der Verwendung können großen Einfluss nehmen.

Welche Lücken bzw. Risiken es geben kann, zeigten in der Vergangenheit bereits zwei verhängnisvolle Vorfälle, wonach Hacker Schwachstellen im Code der jeweiligen Organisation mit der zugrundeliegenden Blockchain Smart Contract Technologie ausnutzten.

Im Juni 2016 wurden von einer Venture Capital Fund Organisation – der Decentralized Autonomous Organization (kurz “DAO”) im Rahmen Ihrer Geschäftstätigkeit rund $ 50 Mio. in Form von Ether abgezweigt. DAO ist eine dezentrale virtuelle Organisation, in welcher die Teilnehmer mittels Voting entscheiden, welches Unternehmen entsprechendes Risikokapital erhält – abgebildet über Smart Contracts basierend auf der Ethereum Blockchain. Nach Abschluss der Votings wurde mittels eingesammeltem Ether der Betrag an das entsprechende Wallet transferiert. Eine erweiterte Funktionalität, die “split DAO” Funktion, wurde der Organisation zum Verhängnis. Diese Funktion erlaubte es, den Transfer der Ether auf mehrere Konten zu verteilen bzw. umzuleiten, auf sogenannte “child DAO”. Dies wurde über Smart Contract abgebildet und funktionierte technische einwandfrei, erlaubte es jedoch den Teilnehmern mehrere Splits gleichzeitig anzufordern, obwohl die Konten noch nicht ausgeglichen waren. Somit gelang es den Angreifern bis zu 200 mal einen Split anzufordern und das DAO Konto fast komplett zu leeren. Die Schwachstelle lag im Code des DAO Smart Contracts, die Ethereum Blockchain arbeitete dabei einwandfrei und somit sogar zum Vorteil der Angreifer.

Um diesen Hack zu verhindern wäre womöglich ein einfacher formaler Review und Test vor dem Go-live ausreichend gewesen.

Im August 2016 wurde die Krypto-Exchange Börse Bitfinex in Hong-Kong kompromittiert. 120.000 Bitcoins wurden von Benutzerkonten gestohlen. Bitfinex hatte als Sicherheitsvorkehrung ein sogenanntes Multi-Signature Key Management System, wonach Private Keys der User wallets von Bitfinex selbst und bei Third-Party Provider BitGo gespeichert wurden. Die genaue Ursache des Angriffs wurde nie bestätigt, jedoch gelang es den Angreifern alle 3 notwendigen Keys für eine Transaktion eines Kontos zu erlangen und damit die Konten zu leeren. Somit war wiederum Basis eine Sicherheitslücke im organisatorischen Konzept und nicht die Blockchain Technologie selbst.

In beiden Beispielen war die zugrundeliegende Blockchain Technology bzw. Architektur vertrauenswürdig und sicher, die darauf aufbauenden Anwendungen führten aber durch Mangel an vorsorglichen Risikoprüfungen zu Sicherheitslücken, die einen Hack ermöglichten.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram

Haftungsausschluss: Die in diesem Blog-Beitrag bereitgestellten Informationen dienen nur der allgemeinen Information. Die Informationen wurden nach bestem Wissen und Gewissen vervollständigt und erheben weder Anspruch auf Richtigkeit noch auf Genauigkeit. Für detaillierte Informationen zu Krypto-Regulierungen empfehlen wir, einen zertifizierten Rechtsberater im jeweiligen Land zu kontaktieren. Sollten Fragen auftauchen, können Sie uns gerne über unsere Social-Media-Kanäle kontaktieren.

Bleib wie du bist, nur informierter

Melde dich für unseren monatlichen Newsletter an