Papierschnitte sind nicht so schlimm wie Schlangenbisse. Das wissen wir. Apropos Sicherheit: Gabeln sind nicht so gefährlich wie Messer. Das wissen wir noch nicht.
So sollte es eigentlich nicht passieren, aber wann basiert das Leben (und die Technologie) schon auf Annahmen? Menschen – geniale, kluge, mutige, rebellische Menschen – hatten sich um die Kapsel versammelt. Einige schlurften mit den Füßen, als der erste Schnitt gemacht wurde. Andere zuckten zusammen und schlossen die Augen, als die Nadel für einen Stich ein- und ausfuhr. Andere lächelten, als der Körper mit einem neuen Geräusch wieder zum Leben erwachte. Das unnachahmliche, in Eisen gekleidete Geschöpf war gerade operiert worden. Als die Chirurgen den Raum verließen, blieben einige Augen auf das Geschöpf gerichtet. Schüchtern und besorgt murmelten sie miteinander.
„Aber war diese Spezies nicht so konzipiert, dass sie sich in keiner Weise verändert?
„Waren die Mutationen notwendig?
„Was wäre, wenn diese neuen Gene einen Frankenstein daraus machen?“
„Die linke Seite wird anders funktionieren und die Organe auf der rechten Seite werden überhaupt nicht stören? Wie soll das überhaupt funktionieren?
„Vergiss es. Hast du nicht gesehen, dass wir die Laminierung geöffnet haben? Gott weiß, welche Viren sich da eingeschlichen haben, bevor wir sie wieder versiegelt haben!“
Ihre hörbaren Gedanken wurden durch ein kräftiges Klopfen an der Tür unterbrochen. Es war Zeit, hinauszugehen und zu hoffen, dass alles glatt ging. Und sicher.
Gabeln – nicht nur ein gestoßener Zeh
Es ist das Recht eines jeden Neurotikers, sich über kleine Wetteränderungen aufzuregen. Und oft sind sie nicht ohne ein faires Argument. Niemand wusste, dass die uneinnehmbare Welt der Blockchain würde eines Tages seinen eigenen Anteil an Bedrohungsvorhersagen und Houdini-artigen Hacks haben. Und doch sind wir hier, im Jahr 2019, hinter einer Reihe von Exchange-Einbrüchen, Kryptomining-Malware, Wallet-Diebstählen und was nicht alles.
Wir haben eine McAfee Blockchain-Bedrohung Profil melden Warnung an die Branche: „Ohne ein klares Verständnis der Risiken setzen Sie möglicherweise zu viel Vertrauen in Ihre Blockchain-Implementierungen. Wie wir gesehen haben, passieren leicht Fehler. Benutzer sind noch schwieriger zu kontrollieren und können das Risiko negativ erhöhen. Wir müssen aus den jüngsten Ereignissen lernen, um bessere Entscheidungen zur Sicherung unserer Technologien für die Zukunft zu treffen.
Sogar Checkpoints Sicherheitsbericht 2019, Cyber Attack Trend Analysis, hebt hervor, dass Jenkins Miner, RubyMiner usw. im vergangenen Jahr die größten Bedrohungen waren, mit denen man rechnen musste; jede Woche waren über 20 Prozent der Unternehmen von Cryptojacking-Malware betroffen. „Ein Jahr, nachdem sie die Welt im Sturm erobert haben, zeigen Kryptominer nicht die Absicht, bald nachzulassen. Neue, ausgeklügelte Malware-Familien integrieren weiterhin Mining-Funktionen in ihren Code …“ Wenn die Top-Malware-Charts des Jahres 2018 zeigen, dass Cryptomining-Malware einen globalen Einfluss von etwa 40 Prozent hat, dann ist es nicht paranoid, sich Sorgen darüber zu machen, was als Nächstes kommt
Niemand hat damit gerechnet, dass die fest verwurzelte Welt der Kryptowährungen ins Wanken gerät. Und dennoch haben wir ein Jahr voller Angriffe hinter uns. Und Forks oder Upgrades des Protokolls werden für die Nervösen gute Ausreden sein, alle 15 Sekunden zum Desinfektionsmittel zu greifen. Haben wir durch Hard- und Soft-Forks eine bessere Immunität oder mehr Fragilität aufgebaut?
MRT-Gerät gegen Kopfschmerzen?
Upgrades sind vielleicht Zeitverschwendung aus Panik. Oder auch nicht. Schließlich hängt die Sicherheit einer Blockchain von bestimmten Annahmen ab – wie dem Beitrag zum Netzwerk, der „Hash-Rate“, die gut verteilt ist, sodass keine Entität oder kollaborative Gruppe zu irgendeinem Zeitpunkt mehr als 50 Prozent des Netzwerks verarbeiten kann.
Was passiert dann, wenn Forks, insbesondere umstrittene, zu einer Umbesetzung von Entwicklern und Minern führen? Oder was, wenn Doppelausgaben einfach werden (wenn nicht nach oder wegen, dann zumindest während einer Fork), sodass dieselbe Münze mehrfach ausgegeben werden kann und ein Empfänger mit leeren Händen zurückbleibt? Müssen wir nicht aus dem, was wir bei Verge oder Krypton gesehen haben, etwas über das Risiko kleinerer Münzen und Ketten lernen?
Wären intern entwickelte Ketten oder Nebenketten zudem von Natur aus anfällig für einen Mangel an ehrlichen Knoten – eine weitere Grundlage oder Annahme der Sicherheit einer Blockchain?
Wenn nichts anderes, dann sind zwei unmittelbare und bewährte Angstmittel es wert, ein wenig ins Schwitzen zu geraten:
- Taschendiebe bei einer Massenpanik oder in einer kleinen Gasse:
Die Übergangsphase vom alten Fork zum neuen Upgrade braucht Zeit – bis alle die große Veränderung begriffen haben. Dies kann ein günstiges Zeitfenster für Hacker sein, um schwache oder ahnungslose Wallet-Benutzer und Börsen, insbesondere zentralisierte, anzugreifen. Auch wenn Implementierungsschwachstellen (die Bitcoin Wiki hat eine Liste mit häufigen Schwachstellen und Gefährdungen im Zusammenhang mit offiziellen Tools) – die normalerweise nach der Veröffentlichung entdeckt und behoben werden –, aber die Entdeckung verlangsamt sich. Aber der Bereich der Community- und Drittanbieter-Tools ist immer noch ein Fragezeichen. Erinnern Sie sich an den Zero-Day-Exploit, der PyBitmessage (Februar 2018) befiel, ein Peer-to-Peer-Nachrichtenübertragungstool, das das Blockübertragungssystem der Währung widerspiegelte. Kleinere Communities und weniger Ressourcen, wie Mitte Juli 2017 bei Iota zu sehen war, können auch anfällig für Münzdiebstahl werden.
Wenn Benutzer zudem eine Hard-Fork-Münze beanspruchen, Geld nach einer Fork umverteilen oder Geld aus früheren Wallets leeren, entsteht eine neue Schwachstelle durch die Offenlegung der für den Anspruch erforderlichen privaten Schlüsselinformationen. Andernfalls besteht zumindest das Risiko, dass die finanzielle Privatsphäre dem Aktenvernichter zum Opfer fällt. - Verwirrung und Duplizierung:
Doppelausgaben und Hash-Kollisionen lassen sich nicht einfach ignorieren – selbst wenn sie nur eine theoretische Bedrohung darstellen. Jemand hat zu Recht an die goldene Regel der Kryptographie erinnert: „Erstellen Sie keine eigene Krypto“, als die Notwendigkeit besonderer Sorgfalt bei jedem angepassten Code (oder Änderungen an Krypto-bezogenen Funktionen) hervorgehoben wurde. Forks und Upgrades müssen vor der Produktion gründlich geprüft werden, insbesondere wenn es sich um eine typisch dezentralisierte Community wie Blockchain handelt. Wenn Forks selbst voller Reibung und endloser Debatten sind, können diese Sorgen noch verstärkt werden. Die Migrationen von MD5 über SHA-1 bis hin zu SHA-256-Hashing und die Verge-Entwicklung sind deutliche Beispiele für die Notwendigkeit einer guten Produktionsbereitschaft. Wie Experten von Digital Asset Forschung haben gewarnt: „Bei Forks sind Kontext und Zeitpunkt entscheidend.“ Dies gilt umso mehr bei Änderungen, die sowohl drastisch als auch plötzlich erfolgen.
Hinzu kommt die Möglichkeit (wenn auch derzeit nur auf dem Papier), Münzen vorab zu schürfen oder Replay-Angriffe durchzuführen, bei denen durch Duplizierung Geld auf Kosten anderer geprägt werden kann. Wenn kein „Replay-Schutz“ vorhanden ist, sind Transaktionen, die die Übertragung der Münzen der ursprünglichen Blockchain beinhalten, auf beiden Ketten gültig, und somit öffnet sich eine Lücke für Hacker, die diese Transaktion in böswilliger Absicht auf der neuen, gegabelten Blockchain wiederholen können.
Nein Rachel, du siehst auf einem Röntgenbild nicht dick aus
Glücklicherweise ist aus den bisherigen Forks kein größerer Alarm oder Schaden entstanden. Dies könnte erneut passieren, dank der grundlegenden Stärke und der Sorgfalt der Community, mit der Blockchain ausgestattet wurde. Tatsächlich sind sogar Online-Forks Debatten Auf die Frage „Können Miner möglicherweise SegWit-Transaktionen bei The Real Bitcoin stehlen?“ gab es folgende Antworten: „…klar, man könnte einen Hard Fork durchführen und die in SegWit-Transaktionen ausgegebenen Coins stehlen, aber das würde niemanden interessieren, weil es ein Hard Fork wäre und es nur zu einem weiteren Altcoin würde, an den niemand denkt.“
Eine weitere interessante Sicherheitsmaßnahme, die zur Sprache kam, ist, wie Miner dazu motiviert werden, keine Hard Forks durchzuführen und Münzen zu stehlen. Aber diese Online-Ping-Pongs lassen die Leute auch über die kurzfristige und langfristige Sicherheit beider Ketten nachdenken, da die Hash-Power auf zwei Ketten verteilt wird und dies negative Auswirkungen auf den Wert haben kann. Ein Kommentar hat es gut aufgewühlt – „… eine Projektabspaltung würde die Community in Aufruhr versetzen. Einige Entwickler könnten gehen, einige Unternehmen könnten bankrott gehen, viele Benutzer würden Geld verlieren. Die Community müsste sich neu organisieren, an der Verwaltung arbeiten, neue Ziele ausarbeiten und Teams neu aufbauen. Blöcke würden langsamer werden, weil die Hash-Leistung auf zwei Ketten aufgeteilt wird …“
Und dann gibt es noch allgemeinere Fragen, wie diese von Jannes: „Warum sollte jemand einem System vertrauen, dessen Grundregeln mit einer einfachen kleinen Mehrheit geändert werden können? Was für eine Art Garantie für „digitales Gold“ ist das?
Or Tweets wie diese, die ängstliche Benutzer an gepflegten Nägeln kauen lassen: „Ein SV-Miner kann eine Kette sogar legal zerstören. Das ist das Recht des Miners.“ Ein leitender Wissenschaftler von nChain unterstrich auch die Bedeutung wirtschaftlicher Anreize anstelle der sogenannten Mathematik als echte Belohnung für Miner, ehrlich zu bleiben. Der Verzicht auf Replay-Schutz als echten Test für die „ehrliche Mehrheit“ kann für die Robustheitsprüfung einer Kette gut sein, kann aber für Benutzer ein Panikmoment sein. Die Wissenschaftler nannten hier auch andere Bedrohungen wie Poison-Block-Angriffe, Denial-of-Service-Angriffe, Netzwerkpartitionsangriffe und Zero-Day-Exploits als wichtige Problembereiche.
Bislang ist alles ruhig – abgesehen von einigen Stürmen im Wasserglas. Sanjay Katkar, CTO von Quick Heal Technologies, versichert: „Software-Upgrades machen die Kette nur sicherer. Was später kommt, ist immer stärker und besser ausgestattet. Auch während des Übergangs gibt es keine Bedenken – dank der Art und Weise, wie die Software konzipiert ist. Das Alte läuft wie gewohnt weiter und das Neue wird sicherer sein.“ Er betont jedoch, dass es angesichts der offenen und verteilten Natur der Blockchain eine Herausforderung sein kann, wenn sich Entwickler abmelden. „Je mehr Entwickler, desto besser ist es auch für die Sicherheit.“
Trotzdem schadet es nie, auf alles zu achten und vorbereitet zu sein. Die Operation ist abgeschlossen. Das Tier zeigt keine größeren Anzeichen von Beunruhigung – keine wackeligen Füße, keine komischen Geräusche, kein seltsames Rülpsen.
Vielleicht, wenn wir aufhören würden, nach vermissten Kanarienvögeln zu suchen. Aber nach Katzen, die sie gefressen haben. Oder nach Hunden, die nicht bellen.