Sicherheitsprobleme statt Kursfeuerwerke – die Anhänger von Kryptowährungen dürften einen turbulenten Start ins neue Jahr erlebt haben. Wir fassen die Entwicklungen der vergangenen Wochen zusammen.

Dass öffentliche Kryptowährungen nicht ohne Vertrauen auskommen, hatte Bruce Schneier noch im alten Jahr mit einem geradezu philosophisch wirkenden Vortrag erörtert. Genau an diesem Vertrauen kratzten schon wenige Tage später Sicherheitsexperten auf dem Chaos Communication Congress (35C3) mit praktischen Angriffsszenarien für Hardware-Wallets. Unabhängig davon folgten im Januar weitere Angriffe auf Kryptowährungen in der freien Wildbahn. Aber der Reihe nach.

Ferngesteuerte Wallets

Hardware-Wallets sind Geräte, mit denen sich Cryptotransaktionen auch dann noch sicher signieren lassen, wenn der eigentliche Computer eines Nutzers kompromittiert ist. Auf welch vielfältige Weise die Wallets selbst nun angreifbar sind, haben Thomas Roth, Dmitry Nedospasov sowie Josh Datko untersucht – und auf dem 35C3 in Leipzig präsentiert.

Die Ausführungen von Josh Datko begannen dabei vergleichsweise harmlos. Zunächst widmete sich der Experte für Embedded Systeme nämlich der Lieferkette und zeigte, wie sich versiegelte Verpackungen der Devices spurlos öffnen lassen – ein Haarföhn genüge, um die Sicherheitssiegel zu lösen und Geräte auf dem Versandweg unbemerkt zu manipulieren.

Datko lieferte auch gleich ein Beispiel für ein entsprechendes Hardware-Implantat, das die Sicherheitsfunktionen eines Ledger Nano aushebelte. Dieser fordert normalerweise einen Knopfdruck, mit dem Endanwender Zahlungsvorgänge bestätigen. Den Mechanismus hat Datko nun um einen Fernauslöser ergänzt, mit dem entfernte Angreifer den Knopfdruck per Funk auf 433 MHz auslösen.

Auf welche weiteren Arten die Forscher Firmware und Chipebene der Wallet angreifen, lässt sich auf der Homepage wallet.fail nachvollziehen – dort ist auch der komplette Vortrag als Video verfügbar.

51-Prozent-Angriff auf ETC

Bei der Währung Ethereum Classic (ETC) kam es Anfang Januar derweil offenbar zu sehr realen Unregelmäßigkeiten. So beobachteten die Betreiber der Börse Coinbase am 5. Januar eine Neuordnung der Blockchainstruktur und stoppten vorübergehend alle Transaktionen mit der ETC-Blockchain. Zwei Tage später wurde das Ausmaß wie folgt beziffert: Von 15 „Deep Chain Reorganizations“ enthielten zwölf Double Spends – also doppelt getätigte Ausgaben mit einem Volumen von 219.500 ETC.

Am 7. Januar verbreitete auch der verifizierte Twitter-Account von Ethereum Classic eine Meldung, laut der das chinesische Sicherheitsunternehmen SlowMist von einer 51-Prozent-Attacke auf das Netz ausgeht. Bei solch einem Angriff liegen mehr als die Hälfte der Rechenkapazitäten eines Blockchainnetzes in einer Hand; diese kann dann den dezentralen Konsensmechanismus aushebeln.

Am 10. Januar gab der Marktplatz Gate.io schließlich bekannt, dass Hintermänner der 51-Prozent-Attacke 100.000 US-Dollar in ETC zurückgezahlt hätten. Zum damaligen Kurs von etwa fünf US-Dollar entspräche das etwa 20.000 ETC.

Wirklich aufgeklärt scheint der Vorgang damit noch nicht zu sein. Bemerkenswert sind allerdings die von Ethereum Classic verbreiteten Deutungen. In denen erkennt Tomaz Kariz im 51-Prozent-Szenario keinen Angriff auf das Netz, sondern eine Attacke auf „?naive? network participants“ und schließt mit den wenig beruhigenden Worten „For better or worse, ETC doesn?t give a fuck if humans lost money.“

Konstruktiver wirken immerhin Kariz? Überlegungen über die Länge von „Confirmation Times“ – also jene Zeit die es abzuwarten gilt, bis eine Transaktion als gesichert angenommen werden kann. Nach einigen Nächten Schlaf schob er am 25. Januar überdies den Artikel „Making 51% attacks harder“ nach, in dem er über weitere Verteidigungsmechanismen nachdenkt.

Coindiebstahl bei Cryptopia

Am 14. Januar erlitt schließlich die Kryptobörse Cryptopia einen Angriff und befindet sich aktuell im „Wartungsmodus“. Dem Handelplatz zufolge sei es dabei zu erheblichen Verlusten gekommen. Aktuell arbeitet der Anbieter mit Behörden und insbesondere der neuseeländischen Polizei zusammen, um den Vorfall aufzuklären.

Autor: Dirk Srocke

(c)2019
Vogel Communications Group

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Communications Group GmbH & Co. KG. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.

Vogel Communications Group