- Betrügerische dezentrale Anwendungen können Kryptowährungen stehlen, wenn Nutzer bestimmte Transaktionen genehmigen.
- Schwachstelle wurde durch Versäumnis der Entwickler verursacht.
Laut einem Bericht der Entwickler von ZenGo, einer neuen Krypto-Wallet, können Coinbase und andere führende Krypto-Anbieter aufgrund der so genannten “Red Pill”-Sicherheitslücke bei der Durchführung von Transaktionen Opfer von Hacker-Angriffen werden, schreibt CoinTelegraph.
Diese Sicherheitslücke ermöglicht es betrügerischen dezentralisierten Apps, digitale Vermögenswerte der Nutzer zu stehlen, wenn diese bestimmte Transaktionen genehmigen. Die Bezeichnung stammt von der berüchtigten Szene aus dem Film “Matrix”, in der der Hauptprotagonist Neo die “rote Pille” schluckt.
Laut dem Entwickler-Team haben alle Anbieter, an die sie sich wandten, das Problem sehr ernsthaft genommen. Die meisten von ihnen haben die fehlerhafte Implementierung schnell behoben.
Programmierfehler verursachte die Sicherheitslücke
Die Schwachstelle wurde durch ein Versäumnis der Entwickler in Bezug auf so genannte “Special Variables” in Smart Contracts verursacht, die allgemeine Daten über die Funktionen der Blockchain enthalten, wie den Zeitstempel des aktuellen Blocks.
ZenGo stellte fest, dass diese Variablen bei Simulationen keine genauen Werte aufwiesen, was sie zu dem Schluss führte, dass die Entwickler eine “Abkürzung” genommen und ihnen einen Zufallswert zugewiesen hatten. Als Beispiel nannten sie Coinbase:
Die Entwickler zeigten, wie diese Schwachstelle eine Smart-Contract-Simulation auf einer bestimmten Blockchain kompromittieren könnte, bei der Nutzer aufgefordert werden, native Token im Austausch gegen andere Vermögenswerte zu senden.
Wenn man die Transaktion auf der Blockchain durchführt, wird die entsprechende Krypto-Wallet mit der Nicht-Null-Adresse des aktuellen Miners gefüllt. Der intelligente Vertrag nimmt nur die gesendeten Token entgegen.
Die Lösung
ZenGo schlug eine einfache Lösung vor: die Zuweisung sinnvoller statt zufälliger Werte für die anfälligen Variablen.
Coinbase belohnte ZenGo für die Vermeidung potenzieller Probleme, wovon das Unternehmen geschwärzte Screenshots zeigte. Außerdem erhielt ZenGo von der Ethereum Foundation einen Zuschuss in Höhe von 50.000 US-Dollar für seine Forschung zu Transaktionssimulationen.
