Forscher des CISPA, dem zukünftigen Helmholtz-Zentrum für Informationssicherheit in Saarbrücken konnten hunderte von Schwachstellen der Ethereum-Blockchain nachweisen. Die neue Software soll Nutzerinnen und Nutzern ohne großes Vorwissen dabei helfen, künftig selbst Sicherheitslücken aufzuspüren und sich somit vor kriminellen Manipulationen von außen zu schützen.
Online spielen, wetten, einkaufen und spekulieren – und das alles ohne Banken und Zahlungsdienstleister. Blockchain-Technologie macht es möglich. So verlockend Handel mit Kryptowährungen für viele Menschen sein mag, zieht er zunehmend auch Cyberkriminelle an, die ein lukratives Geschäft erspähen. Wie angreifbar Ethereum, das nach Bitcoin zweitgrößte Kryptowährungssystem, tatsächlich ist, konnten Wissenschaftler des vom Bundesforschungsministerium geförderten Kompetenzzentrums für IT-Sicherheit CISPA jetzt nachweisen. Sie identifizierten Schwachstellen, die es Hackern unter anderem ermöglichen, Gelder umzuleiten und so digitalen Diebstahl zu begehen.
Handel mit so genannter Kryptowährung wird über eine dezentrale Datenbank, einer Blockchain, möglich. Diese fungiert als eine Art öffentliches Kassenbuch. Jede Transaktion wird hier unveränderbar verzeichnet und dezentral von tausenden von Rechnern überprüft. Ethereum ist eine solche dezentrale Plattform zur Abwicklung von sogenannten Smart Contracts, die auf der Kryptowährung Ether basieren. „Smart Contracts sind Verträge, die sich selbst ausführen, niedergeschrieben in Code", erklärt Johannes Krupp von CISPA. Über solche automatisierten Verträge können beispielsweise Auktionen oder Lizenzvergaben abgewickelt werden. Denkbar ist etwa eine Gruppenfinanzierung, bei der die Einzahler ihre Beiträge automatisch zurückerhalten, falls der Gesamtbetrag nicht rechtzeitig eingeht.
Smart Contracts werden in der Ethereum-Blockchain unter anderem in der Programmiersprache „Solidity“ geschrieben. „Hier fängt das Übel an. Solidity ist sehr komplex, so dass der Anwender beim Schreiben darin entscheidende Fehler machen kann“, sagt Krupp. Aufgrund nur einer Handvoll für Transaktionen relevanten Befehlen in der Ethereum Virtual Machine konnten die Wissenschaftler gezielt nach fehlerhaften und somit verwundbaren Verträgen suchen. Wegen der dezentralen Struktur können Angreifer überall zuschlagen. „Diese Angriffe können nahezu anonym und von jedem ausgeführt werden. Man muss lediglich ein Ethereum-Konto haben. Auch das ist trivial", erklärt Christian Rossow von CISPA.
Wie anfällig Ethereum-Verträge sind, überprüften die Forscherinnen und Forscher mit einer neu entwickelten Software namens „TeEther". Diese sucht nach Sicherheitslücken und Manipulationsmöglichkeiten in Smart Contracts und generiert automatisiert maßgeschneiderte Angriffe. Insgesamt ließ das Forschungsteam die Software auf mehr als 38.000 Smart Contracts los, die sie aus der Ethereum-Blockchain heruntergeladen hatten. Das Ergebnis: die Software stufte insgesamt 815 Verträge als unsicher ein, 1560 Angriffe konnten generiert werden, um die Sicherheitslücken auszunutzen. „Damit hat unsere Analyse gezeigt, dass Sicherheitslücken in den Smart Contracts der realen Blockchain ein größeres Problem sind als bisher angenommen", sagt Rossow.
Aktuell verfügt die Plattform Ethereum über einen Börsenwert von rund 32 Milliarden Dollar. 2017 explodierten die Ether-Preise bereits um 7.800 %. Auch für 2018 und 2019 rechnen die Analystinnen und Analysten trotz Kursschwankungen mit steigenden Preisen. Dies unterstreicht nicht nur die steigende Bedeutung von Kryptowährung im Allgemeinen, sondern auch die steigende Relevanz der IT-Sicherheit solcher alternativen Zahlungssysteme. Denn mit dem wachsenden Interesse an Kryptowährungen in der Öffentlichkeit fließt viel mehr Geld in den Markt und lockt Cyberkriminelle.
Die CISPA-Forscher haben die Ergebnisse erstmalig auf dem internationalen "USENIX Security Symposium" vom 15. bis 17. August 2018 in Baltimore vorgestellt. In 180 Tagen will das Forschungsteam den Quellcode von TeEther veröffentlichen und damit Anwendern von Ethereum ein Sicherheitstool an die Hand geben. „Unsere Software ist ein Schritt nach vorne, da sie es Anwendern erlaubt, ihre Verträge vor deren Veröffentlichung auf technische Fehler hin zu überprüfen, die im schlimmsten Falle einen enormen finanziellen Verlust hervorrufen könnten", sagt Rossow. Gleichzeitig denkt das CISPA Forschungsteam über eine Weiterentwicklung des Prototypen nach. Im Visier sind Möglichkeiten, Schwachstellen zu finden, die über mehrere Smart Contracts verteilt sind.