Unbekannte Täter haben einen trivialen und über Monate unentdeckten Softwarefehler ausgenutzt, um Ether (ETH) im Wert von über 30 Millionen Dollar in ihre Taschen umzuleiten. Der Fehler steckte in der Software für Multisig-Contracts der Firma Parity. Diese wurde von Gavin Wood gegründet, der auch die verteilte und auf einer eigenen öffentlichen Blockchain basierende Ethereum-Plattform initiiert hatte, die die Kryptowährung Ether als Zahlungsmittel verwendet.
Betroffen waren Multisig-Wallets, die jeweils von mehreren Nutzern mit ihren eigenen Schlüsseln kontrolliert werden. Sie sollten eigentlich besonders sicher sein, da Kryptogeld nur aus einem solchen Wallet transferiert werden kann, wenn die Mehrheit der Wallet-Besitzer die Transaktionen mit ihren Schlüsseln signieren.
Am 18. Juli bemerkte jedoch Bernd Lapp vom Ethereum-Projekt Swarm City, dass alle Mittel aus dessen Wallet verschwunden waren. Er alarmierte die Ethereum Foundation und mehrere Entwicklergruppen, die daraufhin auf den fatalen Fehler im Multisig-Code von Parity stießen. Es stellte sich außerdem heraus, dass auch die Projekte Edgeless und Æternity erhebliche ETH-Summen eingebüsst hatten.
Um weitere Verluste zu vermeiden, trat in der Folge eine Gruppe von White-Hat-Hackern in Aktion und transferierte das Kryptogeld aus allen anfälligen Parity-Wallets in ein sicheres Konto. Sie wollen die Mittel in andere gesicherte Wallets zurückführen, auf die die Besitzer mit allen bisherigen Einstellungen zugreifen können. „Es war trivial, diese Schwachstelle auszunutzen“, merkten sie dazu an. Sicherheitsexperten sparten auch nicht mit Kritik an Parity und der ungenügenden Code-Validierung.
Parity gab am 19. Juli eine Sicherheitswarnung aus für Multisig-Wallets in der Version 1.5 oder höher. Im Laufe des Tages erstellte das Unternehmen eine fehlerbereinigte Version und veröffentlichte sie auf GitHub. Es versichert, dass alle damit künftig erstellten Multisig-Wallets sicher sind.
Ethereum wird vielfach zugetraut, mit seiner Kryptowährung Ether eines Tages Bitcoin zu überflügeln. In dieser Woche kam die Plattform aber gleich zweimal durch erfolgreiche Hackerangriffe in die Schlagzeilen. Opfer eines Angriffs wurde zuvor bereits das Start-up CoinDash, das sich mit einem Token-Verkauf als Handelsplatz etablieren wollte. Hacker verschafften sich jedoch schon im Vorfeld Zugriff auf die Website des Unternehmens und konnten innerhalb weniger Minuten 7 Millionen Dollar in virtueller Währung abgreifen.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
