Auf der Jagd nach Krypto Bugs bei Zcash, EOS, Tron & Denarius
Nach dem Cryptopia Hack ist die Krypto-Community verständlicherweise vorsichtig gegenüber jeder Diskussion über Sicherheitsfragen. Diese gibt es jedoch, und einige wurden kürzlich enthüllt: von der Privacy Coin Zcash bei der eine schweren Schwachstelle behoben wurde, die es böswilligen Akteuren ermöglicht hätte, eine unendliche Anzahl von Token zu fälschen, über fünf kritische Schwachstellen, die seit Anfang des Jahres in der Smart Contract Plattform EOS entdeckt wurden, bis hin zu einer Backdoor Kryptowährung namens Denarius, die für Malware gefunden wurde.
Der Zcash-Fix war eine streng geheime Operation
Das Team hinter der Privacy Coin Zcash stieß auf eine so schwere Schwachstelle, dass nur vier Personen davon wussten, bevor Ende Oktober 2018 ein Patch veröffentlicht wurde, um ihn zu beheben. Laut einem am Dienstag veröffentlichten Bericht entdeckte der Zcash-Kryptograph Ariel Gabizon vor etwas weniger als einem Jahr in zk-SNARKS, der Kryptographie, mit der das Projekt Bilanzen und Benutzeridentitäten abschirmt. Obwohl es seitdem überhaupt kein Risiko mehr darstellt, hat das Team den Fehler bisher verschwiegen und schreibt: "Vor der Behebung hätte ein Angreifer gefälschtes Zcash erstellen können, ohne entdeckt zu werden. Die Schwachstelle bei Fälschungen wurde in Zcash vollständig behoben, und es sind keine Maßnahmen von Zcash-Benutzern erforderlich."
"Wir haben keine Beweise dafür gefunden, dass die Schwachstelle von jemand anderem entdeckt wurde oder dass Fälschungen stattgefunden haben", ist im Bericht zu lesen. Ihrer Meinung nach liegt dies daran, dass "die Entdeckung der Schwachstelle ein hohes Maß an technischer und kryptographischer Raffinesse erfordert hätte, das nur sehr wenige Menschen besitzen".
Das Team wurde für die Art und Weise gelobt, wie sie mit dem Problem umgegangen sind, vielleicht vor allem durch den berüchtigten NSA Whistleblower Edward Snowden, der getwittert hat: "Viele Leute fragen sich, warum ich #Zcash trotz der Belohnung des Gründers mag. Hier ist ein Grund: Die Steuer finanziert ein Qualitätsteam, das schwere Fehler im eigenen Haus behebt, bevor sie ausgenutzt werden. Einige andere Projekte lernen von solchen Fehlern erst, wenn Menschen Geld verloren haben."
Nicht alle sind sich jedoch einig:
Basically, there may very well be more Sprout coins in existence then there should be. The only way we can know is via the "turnstile audit", and that audit only works by people moving coins from Sprout to Sapling or unshielded.
— Peter Todd (@peterktodd) February 5, 2019
Zchash Preis Diagramm:
Bug-Bounties scheinen ein lukratives Hobby zu sein
Smart Contract und dapp (dezentrale Anwendung) Plattform EOS ist bekannt für ihre Bug-Bounties, bei denen die Community dafür bezahlt wird, dass sie dem Team hilft, Fehler zu finden und zu beheben. Seit Anfang dieses Jahres haben sie Bounties für fünf kritische Schwachstellen vergeben, so die öffentliche Aktivität auf der Offenlegungsplattform HackerOne, die auch die Bounties enthüllte.
Am 10. Januar wurden von EOS.io 40.750 US-Dollar an fünf White Hat Hacker auf der Plattform vergeben, und am Tag darauf erhielt ein weiterer Forscher eine Prämie von 10.000 US-Dollar. Fünf von insgesamt acht Bounties entsprechen jeweils USD 10.000, was die höchstmögliche Auszahlung ist, die das Unternehmen nur für die kritischsten Schwachstellen reserviert hat.
EOS war jedoch nicht die einzige Plattform, die ihre Community in diesem Jahr für die Veröffentlichung von Fehlern auszahlte. Ein weiterer davon ist das blockchain-basierte ProtokollTRON, das im Januar vier Bounties für insgesamt 22.700 US-Dollar vergeben hat.
Die Bemühungen der Projekte, sicher zu bleiben, während sie die Hilfe ihrer Gemeinschaft in Anspruch nehmen, sind sicherlich lobenswert – aber die Tatsache, dass Bug-Bounties ihre Empfänger noch um einiges reicher machen können, zeigt, dass diese Projekte noch einen Weg vor sich haben.
EOS Preis Diagramm:
Warum Sie Ihr Passwort nicht wiederverwenden sollten
Hacker haben den GitHub, einen webbasierten Hosting-Service, der am häufigsten für Code verwendet wird, unter Berücksichtigung des Denarius Kryptowährungsprojektleiters kompromittiert und den Windows-Client mit der AZORult Infostealer-Malware nach ZDNet hinterzogen. Sie fügen hinzu, dass sie die Ergebnisse auch unabhängig voneinander bestätigt haben. Laut dem Top-Entwickler von Denarius, Carsen Klock, ereignete sich der Vorfall, weil er ein älteres Passwort zur Sicherung seines GitHub-Kontos wiederverwendet hatte.
Einmal auf dem Computer eines Benutzers installiert, kann diese Malware AZORult eine Vielzahl von Benutzerdaten stehlen, wie z.B. Browser-Passwörter, Browser-Cookies, Passwörter für FTP-Clients, Chat-Historien und vor allem Wallet Datenbankdateien von beliebten Kryptowährungskunden. Ein Sicherheitsforscher, der über den Twitter-Handle @prsecurity_ geht, behauptet, dass etwa 3.200 Benutzer infiziert wurden. Glücklicherweise gab es bisher keine 51% Attacks auf die Denarius-Blockchain.
Das wahrscheinlichste Szenario, berichtet ZDNet, ist, dass die Hacker die Wallets der Benutzer einfach von der Kryptowährung geleert haben. Zum jetzigen Zeitpunkt gibt es jedoch keine Hinweise darauf, wie viel auf diese Weise verloren gegangen sein könnte.
Sie finden de.CryptoNews auch auf Facebook und Twitter.
