Die Entwickler von Monero (XMR) haben eine Sicherheitslücke geschlossen, über die Angreifer Krypto-Börsen und Monero-akzeptierende Händler hätten schaden können.
Monero hat einen Software-Patch an Krypto-Exchanges und Händler herausgegeben, wie nun öffentlich auf der Projektseite zu lesen ist. Über eine Monero-Sicherheitslücke hätten Nutzer vorsätzlich XMR-Token „verbrennen“ können, indem mehrere Zahlungen an die gleiche Stealth-Adresse geschickt werden. Der Empfänger könnte einen Übertrag nutzen, in diesem Fall würde das Wallet die größte Überweisung nutzen. Alle weiteren Transaktionen wären unbrauchbar. Sie führen zu duplizierten Key-Images, die vom Netzwerk als Versuch der doppelten Ausgabe gewertet werden.
Fehler in Monero-Wallet-Software
Ein Angreifer hätte diesen Fehler ausnutzen können, indem er eine Reihe von Zahlungen an eine einzelne Stealth-Adresse auf einer Exchange oder bei einem Händler tätigt. Den Fehler haben die Entwickler in der Wallet-Software von Monero gefunden, die Vorkommnisse wie diese nicht genauer beachtet. Entsprechend hätte das Wallet diese Transaktionen nicht als fehlerhaft erkannt und die Zahlung anerkannt oder die Rechnung als bezahlt markiert.
Wäre diese Attacke auf eine Exchange ausgeführt worden, hätte der Angreifer die komplette Zahlung in andere Krypto-Währungen eintauschen oder diese auf ein externes Wallet übertragen können. Der Betreiber der Exchange wiederum hätte nur die größte Zahlung in eine zukünftige Zahlung einbinden können. Finanziell hätten Angreifer nichts von der Monero-Sicherheitslücke gehabt. Gegen eine geringe Transaktionsgebühr hätten sie allerdings großen Schaden an der Krypto-Börse verusachen können. Auf lange Sicht hin hätte dies auch den Anlegern geschadet.
In größerem Rahmen ausgeführt hätte die Sicherheitslücke in Monero außerdem den effektiven Monero-Bestand, also die Menge nutzbarer XMR, reduzieren können. Dabei wäre der Wert jedes Coins in Relation zur Marktkapitalisierung der Krypto-Währung gestiegen.
Die Struktur der Sicherheitslücke war bereits länger bekannt, erst vor kurzem haben die Entwickler allerdings erkannt, wie gefährlich sie für Krypto-Börsen und Händler ist.
Sicherheitslücke ohne Effekt auf Monero-Kurs
Die Bekanntgabe der Sicherheitslücke hatte derweil keinen maßgeblichen Einfluss auf den Monero-Kurs. Aktuell kann man einen Coin für 114 US-Dollar handeln, nur minimal unter dem Kurs von Montag. Bitcoin und Ethereum hatten seitdem einen ähnlichen Verlauf.
Laut Monero-Team sei die aktuelle Sicherheitslücke „eine Erinnerung daran, dass Krypto-Währungen und die dazugehörige Software immer noch in den Kinderschuhen steckt und deshalb anfällig für (kritische) Fehler ist“.
Stealth-Adressen gewähren dem Empfänger einer Zahlung zusätzliche Sicherheit. Der Sender erstellt eine beliebige Einmaladresse für eine Transaktion. Schickt ein Sender mehrere Transaktionen an eine Stealth-Adresse, werden diese als mehrere ausgehende Zahlungen an verschiedene Adressen angezeigt. Stealth-Adressen werden zum Beispiel von Websites genutzt, die Spenden annehmen wollen.
Tatsächlich sind derzeit viele Krypto-Coins in dieser Situation. Im Juni haben die Entwickler von Tether eine Double-Spend-Option bekanntgegeben, die nicht vorhandene Coins auf ein Konto gutgeschrieben hätte. Vor rund einer Woche gaben die Entwickler von Bitcoin Core bekannt, dass über eine Sicherheitslücke Attacken auf Bitcoin-Nodes möglich gewesen seien.
[Bild: Visual Generation/Shutterstock]