Upgrade «Constantinople»
22.01.2019, 13:00 Uhr
Ethereum: ETH-Spin-off findet Sicherheitsleck in geplantem Upgrade
Das ETH-Spin-off Chainsecurity hat die Ethereum-Entwickler vor einer Sicherheitslücke gewarnt, die das Plündern von Ether-Konten ermöglicht hätte. Die Schwachstelle wäre durch ein geplantes Upgrade der Ethereum-Plattform zustande gekommen.
Eigentlich hätte Mitte Januar der Ethereum-Hardfork Constantinople über die Bühne gehen sollen. Doch dazu ist es nicht gekommen. Kurz vor dem geplanten Upgrade wurde dieses aufgrund einer Sicherheitslücke abgebrochen, auf die das ETH-Spin-off Chainsecurity aufmerksam machte. Hubert Ritzdorf, technischer Direktor von Chainsecurity, fiel auf, dass das Upgrade eine Sicherheitslücke öffnen würde, wie «ETH-News» berichtet. Ritzdorf habe anschliessend das Ethereum-Kernteam informiert, worauf dieses das Upgrade stoppte. «Wäre das Upgrade wie geplant durchgeführt worden, hätten Nutzer mit Missbrauchsabsicht gewisse Verträge angreifen und so das Konto anderer Nutzer plündern können», wird Ritzdorf im Bericht zitiert.
Die Schwachstelle liegt im Programmiercode von Constantinople. Denn beim Upgrade handelt es sich um eine Aktualisierung des Ethereum-Netzwerks, die gemäss «Cointelegraph» verschiedene «Ethereum Verbesserungsvorschläge» (EIPs) umfasst. So soll mit dem Upgrade unter anderem der Übergang vom Proof-Of-Work- zum Proof-of-Stake-Verfahren erleichtert werden. Will heissen, dass Ethereum ein Wechsel des Hash-Algorithmus bevorsteht.
Ethereum soll künftig weniger Energie verbrauchen
Ein grosses Problem von Kryptowährungen wie Bitcoin oder Ethereum ist, dass das Mining beim aktuellen Proof-of-Work-Verfahren Unmengen an Energie verbraucht. Laut einem Bericht von «Spectrum» liegt der Bedarf für eine typische Ethereum-Transaktion höher als der tägliche Stromverbrauch eines durchschnittlichen US-Haushaltes. Bitcoin-Transaktionen sind hingegen noch grössere Energiefresser. Das Constantinople-Upgrade soll nun aber die Weichen stellen, dass Ethereum in Zukunft mit deutlich weniger Energie auskommen wird.
Der Ethereum-Erfinder Vitalik Buterin geht davon aus, dass der Wechsel auf das effizientere Proof-of-Stake-Verfahren den Stromverbrauch einer Ethereum-Transaktion um mehr als das Hundertfache reduzieren kann. Denn beim ressourcenschonenderen Verfahren fällt das energiefressende Mining weg. Stattdessen kommt eine gewichtete Zufallsauswahl zum Zug. Die Gewichtung der einzelnen Teilnehmer kommt dabei durch ihre Teilnahmedauer und/oder ihrem jeweiligen Vermögen zustande. So wird schliesslich ein Konsens darüber erzielt, wer im Blockchain-Netzwerk den nächsten Block erzeugen darf.
Schwachstelle hätte verschachtelte Contracts ermöglicht
Die Sicherheitslücke wäre laut dem Bericht von «ETH-News» nun entstanden, weil Ethereum den Preis, den Nutzer für die Ausführung von smarten Verträgen bezahlen müssen, deutlich senken wollte. Dies mit dem Ziel, die Benutzerfreundlichkeit zu erhöhen. Dies hätte jedoch dazu geführt, dass User verschachtelte Contracts hätten aufsetzen können, um eine Transaktion im Hintergrund mehrmals statt nur einmal durchzuführen. So wäre es schliesslich möglich gewesen, das Ether-Konto anderer Nutzer zu plündern. Momentan verhindere jedoch eine Kombination von höheren Vertragspreisen und eines Maximalbetrags pro Transaktion das Ausführen von versteckten smarten Verträgen im Hintergrund.
Laut «t3n» haben die Ethereum-Entwickler den Hardfork nun bei Block Nummer 7'280'000 angesetzt, das Upgrade dürfte voraussichtlich um den 27. Februar durchgeführt werden. Jener Teil der Aktualisierung, der von der Sicherheitslücke betroffen ist, soll allerdings später nachgeholt werden. Sobald das Leck gesichert ist, soll der Hardfork komplettiert werden.