Abo
  • Services:
Anzeige
Bitcoin-Börsen sind Opfer einer DDoS-Attacke geworden.
Bitcoin-Börsen sind Opfer einer DDoS-Attacke geworden. (Bild: Bitcoin)

Transaktionsfehler: Angreifer legen Bitcoin-Börsen lahm

Nach Mtgox hat auch Bitstamp sämtliche Bitcoin-Kontoabhebungen ausgesetzt. Grund ist ein konzertierter Angriff auf eine Schwachstelle in Bitcoins Handhabung von Transaktionen, wegen dem auch Mtgox Abhebungen ausgesetzt hat.

Anzeige

Nach Mtgox hat eine weitere große Bitcoin-Börse Bitcoin-Kontoabhebungen vorübergehend ausgesetzt. Bitstamp meldet einen massiven Angriff mit gefälschten Transaktionen, dem wohl auch Mtgox zum Opfer fiel. Auch die Börse BTC-e warnt vor Verzögerungen bei Bitcoin-Abhebungen. Derweil ist ein Streit zwischen den Mtgox- und den Bitcoin-Entwicklern um den Fehler entbrannt, den die Angreifer jetzt ausnutzen. Bitcoin-Besitzer müssen aber keine Verluste fürchten.

Das Problem: Die Signatur einer Bitcoin-Transaktion enthält nicht die identischen Daten wie der dazugehörige Transaktions-Hash. Daher konnte es vorkommen, dass ein Bitcoin-Knoten die Informationen in einer Transaktion ändert. Damit ist der dazugehörige Hash-Wert allerdings ungültig, nicht aber der Inhalt der Transaktion. Die Hash-Werte aller darauf folgenden Transaktionen sind aber von dem Hash-Wert der ersten Transaktion abhängig. Deshalb muss jede einzelne veränderte Transaktion nochmals verifiziert werden.

Angreifer nutzen Schwachstelle

Laut Bitcoin-Wiki-Eintrag enthält jede Signatur genau eine DER-codierte ASN.1-Datenbeschreibung, deren Inhalt jedoch nicht von Openssl zwingend verifiziert wird. Sofern die Signatur halbwegs als gültig erscheint, wird sie von den Bitcoin-Knoten akzeptiert und an den Blockchain übergeben. Inzwischen arbeiten die Entwickler daran, erste Knoten zu verbieten und ungültige Signaturen weiterzuleiten. Später soll auch der Blockchain solche Signaturen nicht mehr akzeptieren.

Diese Schwachstelle nutzen offenbar die Angreifer, um eine massive Anzahl ungültiger Transaktionen an die Börsen zu schicken. Die Entwickler sprechen deshalb von einer DDoS-Attacke, die nicht nur Mtgox, sondern andere Bitcoin-Börsen betreffe. Deren Abwicklung von Transaktionen verzögert sich und führt zu einem allgemeinen Synchronisationsproblem.

Inkonsistente Hash-Werte

Mtgox war allerdings in zweifacher Hinsicht betroffen. Zum einen litt die Tauschbörse zwar auch unter der DDoS-Attacke. Allerdings gab es auch Probleme mit der verwendeten Client-Software, über die Anwender ihre Bitcoins über Mtgox tauschten. Während die Mtgox-eigene Walletsoftware nicht den ursprünglichen Kern der Bitcoin-Software verwendet, sondern einen eigenen, und ihre Börsensoftware daran angepasst hatn, nutzen viele andere Anwender Bitcoin-Wallets mit dem offiziellen Bitcoin-Kern.

Wegen der unterschiedlichen Implementationen der Signatur und Hash-Werten in den verschiedenen Wallet-Versionen kamen die Mtgox-Server ins Straucheln, was durch den DDoS-Angriff noch verstärkt wurde. Außerdem automatisierte Mtgox die Bestätigung von Abhebungen, ohne sie wirklich zu verifizieren.

Fallende Kurse

Der Konsensmechanismus des Block Chains sowie das Zahlungssystem seien aber vom Angriff nicht betroffen, sagte Bitcoin-Entwickler Jeff Garzik zu Coindesk.com. Allerdings werden die durch den DDoS-Angriff offenbarten Schwachstellen behoben.

Der Sicherheitsexperte bei der Bitcoin-Webseite Blockchain.info Andreas Antonopoulos geht davon aus, dass der normale Zahlungsverkehr in spätestens 72 Stunden wieder normal funktioniert. Inzwischen müssen die betroffenen Börsen die noch ausstehenden echten Transaktionen von den gefälschten trennen und langsam an den Block Chain weiterreichen. Es sei zwar nicht der erste schwerwiegende Hack auf Bitcoin, die virtuelle Währung sei aber noch lange nicht tot, wie bereits oftmals kolportiert, sagte Antonopoulos. Seit dem Beginn der Probleme mit Bitcoin ist der Kurs der virtuellen Währung gegenüber dem US-Dollar um 200 auf etwa 600 US-Dollar gefallen.


eye home zur Startseite
pholem 13. Feb 2014

Noch nicht die Storys von den Leuten gehört, die sich damals billig Bitcoins besorgt...

dahana 12. Feb 2014

Was heißt denn in ein paar Tagen? Der Kurs fällt doch schon seit Wochen. Das Gleiche hat...

jt (Golem.de) 12. Feb 2014

Argl. Stimmt. Danke für den Hinweis.



Anzeige

Stellenmarkt
  1. DATAGROUP Köln GmbH, Köln
  2. PDV-Systeme GmbH, Dachau
  3. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  4. Continental AG, Regensburg


Anzeige
Top-Angebote
  1. 1169,00€
  2. (u. a. ROG Strix GTX1080-8G-Gaming, ROG Strix GTX1070-8G-Gaming u. ROG Strix Radeon RX 460 OC)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Ultrastar He12

    WD plant Festplatten mit bis zu 14 Terabyte

  2. LG

    Weitere Hinweise auf Aufgabe des bisherigen Modulsystems

  3. Onlinewerbung

    Forscher stoppen monatelange Malvertising-Kampagne

  4. Steep im Test

    Frei und einsam beim Bergsport

  5. Streaming

    Netflix-Nutzer wollen keine Topfilme

  6. Star Wars Rogue One VR Angespielt

    "S-Flügel in Angriffsposition!"

  7. Kaufberatung

    Die richtige CPU und Grafikkarte

  8. Android

    Google kann Größe von App-Updates weiter verringern

  9. Exilim EX-FR 110H

    Casio stellt Actionkamera für die Nacht vor

  10. Webmailer

    Mit einer Mail Code in Roundcube ausführen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

  1. Re: Das war mein Kündigungsgrund

    Dieselmeister | 15:18

  2. Re: Ich hab's befürchtet...

    mr.r | 15:17

  3. Re: Schwungradgeneratoren - preiswerter und...

    Eheran | 15:17

  4. Re: Kaufmännische Argumentation

    Dino13 | 15:16

  5. Re: ÜBERRASCHUNG (/s)

    DetlevCM | 15:16


  1. 14:43

  2. 14:20

  3. 14:07

  4. 14:00

  5. 13:10

  6. 12:25

  7. 11:59

  8. 11:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel