Channel

Blockchain

Koop-Story

Sicherheit: Wie angreifbar sind Blockchain-Netzwerke?

© addendum
© addendum

Blockchain-Systeme sind auf bewährten Verschlüsselungssystemen aufgebaut, was viele Angriffe grundsätzlich verhindert. Beispielsweise ist es Angreifern unmöglich, Transaktionen von Konten zu erzeugen, deren Zugangsdaten sie nicht besitzen. Ausgehende Transaktionen müssen mit diesen Zugangsdaten kryptographisch signiert werden.

Allerdings sind relevante Blockchain-Systeme komplex und geografisch weit verteilt, was einige Angriffe ermöglicht. Unabhängig von der technischen Angreifbarkeit sind die Einsatzbereiche für Blockchains oft großteils unreguliert und anfällig für betrügerische Geschäfte.

Szenario 1: Angreifer kontrolliert sehr, sehr, sehr viel Rechnerleistung

Bei Systemen, deren Sicherheit auf der Lösung von kryptographischen Aufgaben beruht, wird die Integrität des Systems durch geleistete Rechenarbeit garantiert. Miner verwenden oft spezielle Geräte, die nur auf die Lösung dieser Aufgaben ausgelegt sind. Die Aufgaben werden automatisch schwieriger, je mehr Rechenleistung an den Blockchain-Netzwerken teilnimmt. Es ist höchst unwahrscheinlich, dass einzelne Angreifer über ein Vielfaches der Rechenleistung von etablierten Blockchains verfügen. Sollten solche Angreifer existieren, könnten sie zwar immer noch nicht Überweisungen von Konten fälschen, auf die sie keinen Zugriff haben. Aber sie könnten beispielsweise die komplette Geschichte der Blockchain neu schreiben. Das gesamte Bitcoin-Netzwerk würde aktuell etwa 200 Tage dafür benötigen. Hätte ein Angreifer die 200-fache Rechenleistung der Blockchain, wäre es jedoch in einem Tag erledigt.

Was bringt ein Neuschreiben der Geschichte? Die Angreifer könnten beispielsweise alle ihre Einnahmen in der Blockchain belassen und alle ihre Ausgaben ungeschehen machen.

Szenario 2: Angreifer kontrolliert etwas mehr als 50 Prozent des Blockchain-Netzwerks

Kontrolliert ein Angreifer das Bitcoin-Netzwerk, etwa indem er etwas über 50 Prozent der Rechenleistung des Netzwerks übernimmt, ist eine weitere Art von Attacke möglich. Der Angreifer kann seinen Teil des Netzwerks abkapseln, dem kleineren Rest des Netzwerks eine Transaktion übermitteln und sie bestätigen lassen. Das Netzwerk des Angreifers kann jedoch eine alternative Blockchain ohne die Transaktion weiterführen und diese jederzeit dem kleineren Teil des Netzwerks übermitteln. Da die alternative Blockchain mehr Rechenleistung beinhaltet, überschreibt sie die Blockchain, die die Transaktion beinhaltet – sie wurde also bestätigt, durchgeführt, ist aber im Nachhinein trotzdem nicht geschehen.

Szenario 3: Verkäufer will nicht auf Bestätigung warten

Ähnlich wie in Szenario 2 kann man auch die Situation ausnutzen, dass Verkäufer digitale Güter verkaufen, die sie sofort bereitstellen wollen. Für diese Art von Transaktion ist es relativ einfach, die Verkäufer zu betrügen, da der Transaktion oft nicht genug Zeit gegeben wird, in einem Block bestätigt zu werden. Für Verkäufer, die solche und verwandte Probleme vermeiden wollen, gibt es mittlerweile Versicherungen, die sie gegen Szenario 2 und Szenario 3 absichern.

Szenario 4: Angreifer kontrolliert eine Wallet-App

Eine übliche Wallet ermöglicht einem User die Verwaltung von Vermögen auf Blockchains auf mehreren Adressen, inklusive der Möglichkeit, neue Adressen zu generieren.

Hier gibt es mehrere Szenarien, wie ein Angriff oder ein Betrug ausgeführt werden könnte. Die Wallet könnte die generierten Zugangsdaten an einen Angreifer übermitteln, ohne dass es dem User bewusst ist. Dieser kann dann damit jedes aktuell oder in Zukunft in der Adresse vorhandene Vermögen an eine andere Adresse überweisen. Die Wallet könnte auch eine unsichere Funktion verwenden, um die Adresse zu generieren, wodurch die Zugangsdaten einfach genug mit einer Brute-Force-Attacke zu erraten sind. Auf diese Art muss keine Information an den Angreifer übermittelt werden, wodurch der Angriff schwerer zu entdecken ist. Da die Transfers nicht umkehrbar sind, kann der Geschädigte seine Coins nicht mehr zurückholen.

Schwache Zufallszahlen in IOTA-Wallets

Zugriff auf eine Wallet-App können Angreifer auf mehrere Arten erlangen. Ein Wallet-Anbieter könnte beispielsweise den Betrug von langer Hand planen und warten, bis seine Wallet-Software eine kritische Masse erreicht, sodass der Angreifer mehr Geld stehlen kann, als die Entwicklung und Bewerbung der Software gekostet hat. Abhilfe schafft Open-Source-Software, wenn sie von vielen Experten regelmäßig auf Schwachstellen überprüft wird. Wallets, deren Quellcode nicht offen ist, sollten auch nicht empfohlen werden.

Einfallstor Auto-Update

Eine weitere Möglichkeit ist das Einschleusen von schadhaftem Code mittels Autoupdate oder einer anderen Sicherheitslücke. Normalerweise muss der Code des Autoupdates vom Ersteller der Software signiert sein. Falls der Signatur-Private-Key des Herstellers jedoch kompromittiert ist, könnte jeder Angreifer Schadcode als Software-Update nachliefern. Als User kann man sich vor dieser Art von Attacke schützen, indem man nur von Experten empfohlene Wallets verwendet, welche regelmäßig überprüft werden. User sollten außerdem regelmäßig überprüfen, ob die Wallet weiterhin als sicher angesehen wird.

Menschliche und technische Sicherheitslücken

Angreifer können außerdem mittels Phishing oder Ausnutzen von Sicherheitslücken die Kontrolle über Computer übernehmen. Dann ist es für den Angreifer einfach, auf dem Computer gespeicherte Zugangsdaten auszulesen. Abhilfe schafft es, Passwörter für den Zugriff auf Zugangsdaten festzulegen oder eine Hardware-Wallet zu verwenden, welche die Transaktionen signiert, ohne dass die Zugangsdaten jemals im Speicher des verwendeten Rechners liegen.

Szenario 5: Angreifer kontrolliert einen Bitcoin-Exchange

Etwa 850.000 Bitcoin konnten Angreifer 2014 übernehmen, indem sie den Bitcoin-Exchange Mt. Gox hackten. Bitcoin-Exchanges müssen, um die Konten für ihre Kunden zu verwalten, die Zugangsdaten für die kontrollierten Konten selbst speichern – und können sie deswegen auch verlieren. Der Hack von Mt. Gox ist nicht der einzige Hack eines Exchanges. Wer Cryptocurrencies hält, sollte also zumindest andenken, die Sicherheit des Blockchainvermögens selbst in die Hand zu nehmen.

Zusammenfassend lässt sich sagen: Es ist nicht ganz einfach, bei der Benutzung von Blockchains nicht in Sicherheitslücken zu stolpern.

Gemeinsam mit der Rechercheplattform addendum hat Trending Topics ein Rechercheprojekt zum Thema Blockchain durchgeführt. Dieser Artikel wurde zuerst hier veröffentlicht und ist ab jetzt auch auf Trending Topics zu lesen.

Springe zu:

Ganzen Artikel lesen

Realtime Prices

Werbung