- Halborn fand Schwachstellen bei Dogecoin, Litecoin, Zcash.
- Angreifer können Blockchains offline nehmen oder sogar neue Versionen von ihnen erstellen.
Fast 300 Blockchain-Netzwerke laufen Gefahr, aufgrund von "Zero-Day"-Exploits 25 Milliarden US-Dollar oder mehr an Krypto-Vermögenswerten zu verlieren, warnte Halborn, ein Unternehmen für Cyber-Sicherheit.
In einem am 13. März veröffentlichten Blogbeitrag heißt es, dass das Unternehmen damit beauftragt wurde, den offenen Quellcode von Dogecoin auf Schwachstellen zu untersuchen, die die Sicherheit der Blockchain beeinträchtigen könnten. Halborn identifizierte eine Reihe von ausnutzbaren und kritischen Schwachstellen, die das Dogecoin-Team inzwischen behoben hat.
Nach einer umfassenderen Bewertung stellte die Cybersecurity-Firma fest, dass dieselben Schwachstellen auch Zcash, Litecoin und 280 andere Blockchain-Netzwerke betrafen, wodurch Kryptowährungen im Wert von mehr als 25 Milliarden US-Dollar gefährdet sind.
Rab13s: die kritischste Schwachstelle
Halborn nannte die kritischste Schwachstelle Rab13s. Sie ermöglicht es Angreifern, speziell entwickelte bösartige Konsens-Nachrichten zu senden, die ganze Knotenpunkte zum Zusammenbruch bringen können.
Wenn sich diese Nachrichten häufen, könnte die Blockchain für einen 51%-Angriff anfällig werden. Bei so einem Angriff würden den Großteil der im Netzwerk eingesetzten Token oder die Hash-Rate beim Mining kontrollieren. Das reicht aus, um die Blockchain offline zu nehmen oder sogar eine neue Version davon zu erstellen.
Halborn fand auch andere Schwachstellen, wie die Möglichkeit, dass Cyber-Kriminelle Remote Procedure Call (RPC)-Anfragen senden, um Blockchain-Knotenpunkte zum Absturz zu bringen. RPCs ermöglichen es Programmen, sich gegenseitig Dienste anzubieten und anzufordern.
Mindestens ein Element pro Netzwerk ist angreifbar
Das Unternehmen fügte hinzu, dass RPC-bezogene Angriffe nicht so wahrscheinlich seien, da sie gültige Anmeldeinformationen erforderten. Im Blogbeitrag wird davor gewarnt, dass mindestens eine Schwachstelle pro Netzwerk ausgenutzt werden kann. Aber aufgrund von unterschiedlichen Codebasen können nicht alle Blockchains ausgenutzt werden.
Halborn gibt aufgrund der Schwere der Angriffe derzeit keine weiteren technischen Details bekannt, versichert aber, dass man sich bemüht, mit allen betroffenen Unternehmen in Kontakt zu treten. Sie beabsichtigen, die Risiken offenzulegen und Abhilfemaßnahmen für die Fehler anzubieten.
Die Blockchains von Dogecoin, Litecoin und Zcash haben Maßnahmen ergriffen, um die entdeckten Schwachstellen zu beseitigen, aber Hunderte könnten weiterhin gefährdet sein, heißt es am Ende des Beitrags.
Mitwirkende
