Da die Wirtschaftskryptowährung weiter expandiert und ein zunehmend attraktives Ziel für Hacker wird, hat das Pentagon eine Studie in Auftrag gegeben, die einige besorgniserregende Schwachstellen entdeckt hat, die in einem begleitenden Bericht detailliert beschrieben werden.
Der am 21. Juni veröffentlichte Bericht mit dem Titel „Sind Blockchains dezentralisiert? Unbeabsichtigte Zentralitäten in Distributed Ledgers“, hat festgestellt, dass „eine Untergruppe von Teilnehmern eine übermäßige, zentralisierte Kontrolle über das gesamte System erlangen kann“.
Die Studie, die sich auf Bitcoin (BTC) und Ethereum (ETH) wurde vom Sicherheitsforschungsunternehmen Trail of Bits unter der Leitung der Defense Advanced Research Projects Agency (DARPA) des Pentagon durchgeführt.
Laut der Meldung:
„Die Anzahl der Einheiten, die ausreicht, um eine Blockchain zu stören, ist relativ gering: vier für Bitcoin, zwei für Ethereum und weniger als ein Dutzend für die meisten PoS-Netzwerke.“
60 % des Bitcoin-Verkehrs laufen über nur 3 ISPs
Darüber hinaus heißt es in dem Bericht, dass „60 % des gesamten Bitcoin-Verkehrs nur drei ISPs durchlaufen“, was sich auf Internetdienstanbieter bezieht. Darüber hinaus „scheint die überwiegende Mehrheit der Bitcoin-Knoten nicht am Mining teilzunehmen, und die Knotenbetreiber sehen sich keiner expliziten Strafe für Unehrlichkeit gegenüber.“
Wie die Analysten warnen, „erfordert die Bereitstellung eines neuen Knotens nur eine kostengünstige Cloud-Server-Instanz – es ist keine spezielle Mining-Hardware erforderlich.“ Dies ermöglicht die Möglichkeit, das Konsensnetzwerk einer Blockchain mit neuen, bösartigen Knoten zu überfluten, die von einer einzigen Partei kontrolliert werden, was als Sybil-Angriff bezeichnet wird.
Weitere Probleme sind veraltete und unverschlüsselte Protokolle und Software, die das Netzwerk Angriffen aussetzen. Wie der Bericht erklärt:
„Die Sicherheit einer Blockchain hängt von der Sicherheit der Software und der Protokolle ihrer Off-Chain-Governance oder Konsensmechanismen ab.“
Sorglose Mining-Pools
Der Bericht entdeckte auch, dass alle von seinen Analysten getesteten Mining-Pools „entweder ein hartcodiertes Passwort für alle Konten zuweisen oder das während der Authentifizierung angegebene Passwort einfach nicht validieren“.
Als Beispiel verwendete der Bericht die Praxis des globalen Kryptowährungs-Mining-Pools ViaBTC, scheinbar allen seinen Konten das Passwort „123“ zuzuweisen. Ein anderes Bergbauunternehmen, Poolin, „scheint Authentifizierungsdaten überhaupt nicht zu validieren“, während Slushpool „seine Benutzer ausdrücklich anweist, das Passwortfeld zu ignorieren“.
Nach den verfügbaren Daten machen diese drei Mining-Pools etwa 25 % der Bitcoin-Hashrate aus.
Internet-Sicherheit Forscher warnen oft vor potenziellen kryptobezogenen Schwachstellen, die zu Vorfällen wie diesem führen können finbold Mitte April berichtet, in dem ein Angreifer gelang es, die gesamte Sammlung einer Person zu stehlen von Kryptos und nicht fungiblen Token (NFTs) im Wert von über 650,000 $ von ihrer MetaMask Krypto Brieftasche.
Quelle: https://finbold.com/pentagon-paper-warns-of-major-vulnerabilities-in-the-bitcoin-blockchain/