Abo
  • Services:

Transaktionsfehler: Angreifer legen Bitcoin-Börsen lahm

Nach Mtgox hat auch Bitstamp sämtliche Bitcoin-Kontoabhebungen ausgesetzt. Grund ist ein konzertierter Angriff auf eine Schwachstelle in Bitcoins Handhabung von Transaktionen, wegen dem auch Mtgox Abhebungen ausgesetzt hat.

Artikel veröffentlicht am ,
Bitcoin-Börsen sind Opfer einer DDoS-Attacke geworden.
Bitcoin-Börsen sind Opfer einer DDoS-Attacke geworden. (Bild: Bitcoin)

Nach Mtgox hat eine weitere große Bitcoin-Börse Bitcoin-Kontoabhebungen vorübergehend ausgesetzt. Bitstamp meldet einen massiven Angriff mit gefälschten Transaktionen, dem wohl auch Mtgox zum Opfer fiel. Auch die Börse BTC-e warnt vor Verzögerungen bei Bitcoin-Abhebungen. Derweil ist ein Streit zwischen den Mtgox- und den Bitcoin-Entwicklern um den Fehler entbrannt, den die Angreifer jetzt ausnutzen. Bitcoin-Besitzer müssen aber keine Verluste fürchten.

Stellenmarkt
  1. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. Bayerisches Landesamt für Steuern, Nürnberg, München

Das Problem: Die Signatur einer Bitcoin-Transaktion enthält nicht die identischen Daten wie der dazugehörige Transaktions-Hash. Daher konnte es vorkommen, dass ein Bitcoin-Knoten die Informationen in einer Transaktion ändert. Damit ist der dazugehörige Hash-Wert allerdings ungültig, nicht aber der Inhalt der Transaktion. Die Hash-Werte aller darauf folgenden Transaktionen sind aber von dem Hash-Wert der ersten Transaktion abhängig. Deshalb muss jede einzelne veränderte Transaktion nochmals verifiziert werden.

Angreifer nutzen Schwachstelle

Laut Bitcoin-Wiki-Eintrag enthält jede Signatur genau eine DER-codierte ASN.1-Datenbeschreibung, deren Inhalt jedoch nicht von Openssl zwingend verifiziert wird. Sofern die Signatur halbwegs als gültig erscheint, wird sie von den Bitcoin-Knoten akzeptiert und an den Blockchain übergeben. Inzwischen arbeiten die Entwickler daran, erste Knoten zu verbieten und ungültige Signaturen weiterzuleiten. Später soll auch der Blockchain solche Signaturen nicht mehr akzeptieren.

Diese Schwachstelle nutzen offenbar die Angreifer, um eine massive Anzahl ungültiger Transaktionen an die Börsen zu schicken. Die Entwickler sprechen deshalb von einer DDoS-Attacke, die nicht nur Mtgox, sondern andere Bitcoin-Börsen betreffe. Deren Abwicklung von Transaktionen verzögert sich und führt zu einem allgemeinen Synchronisationsproblem.

Inkonsistente Hash-Werte

Mtgox war allerdings in zweifacher Hinsicht betroffen. Zum einen litt die Tauschbörse zwar auch unter der DDoS-Attacke. Allerdings gab es auch Probleme mit der verwendeten Client-Software, über die Anwender ihre Bitcoins über Mtgox tauschten. Während die Mtgox-eigene Walletsoftware nicht den ursprünglichen Kern der Bitcoin-Software verwendet, sondern einen eigenen, und ihre Börsensoftware daran angepasst hatn, nutzen viele andere Anwender Bitcoin-Wallets mit dem offiziellen Bitcoin-Kern.

Wegen der unterschiedlichen Implementationen der Signatur und Hash-Werten in den verschiedenen Wallet-Versionen kamen die Mtgox-Server ins Straucheln, was durch den DDoS-Angriff noch verstärkt wurde. Außerdem automatisierte Mtgox die Bestätigung von Abhebungen, ohne sie wirklich zu verifizieren.

Fallende Kurse

Der Konsensmechanismus des Block Chains sowie das Zahlungssystem seien aber vom Angriff nicht betroffen, sagte Bitcoin-Entwickler Jeff Garzik zu Coindesk.com. Allerdings werden die durch den DDoS-Angriff offenbarten Schwachstellen behoben.

Der Sicherheitsexperte bei der Bitcoin-Webseite Blockchain.info Andreas Antonopoulos geht davon aus, dass der normale Zahlungsverkehr in spätestens 72 Stunden wieder normal funktioniert. Inzwischen müssen die betroffenen Börsen die noch ausstehenden echten Transaktionen von den gefälschten trennen und langsam an den Block Chain weiterreichen. Es sei zwar nicht der erste schwerwiegende Hack auf Bitcoin, die virtuelle Währung sei aber noch lange nicht tot, wie bereits oftmals kolportiert, sagte Antonopoulos. Seit dem Beginn der Probleme mit Bitcoin ist der Kurs der virtuellen Währung gegenüber dem US-Dollar um 200 auf etwa 600 US-Dollar gefallen.



Anzeige
Blu-ray-Angebote
  1. 4,25€
  2. (nur für Prime-Mitglieder)
  3. (2 Monate Sky Ticket für nur 4,99€)

pholem 13. Feb 2014

Noch nicht die Storys von den Leuten gehört, die sich damals billig Bitcoins besorgt...

dahana 12. Feb 2014

Was heißt denn in ein paar Tagen? Der Kurs fällt doch schon seit Wochen. Das Gleiche hat...

jt (Golem.de) 12. Feb 2014

Argl. Stimmt. Danke für den Hinweis.


Folgen Sie uns
       


Electronic Arts E3 2018 Pressekonferenz - Live

Mit Command & Conquer Rivals wollte sich die Golem.de-Community so gar nicht anfreunden, da haben Anthem und Unraveled Two mehr überzeugt.

Electronic Arts E3 2018 Pressekonferenz - Live Video aufrufen
Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Nasa-Teleskop Überambitioniert, überteuert und in dieser Form überflüssig
  2. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  3. Nasa 2020 soll ein Helikopter zum Mars fliegen

Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Nach tödlichem Unfall Uber entlässt 100 Testfahrer für autonome Autos
  2. Autonomes Fahren Daimler und Bosch testen fahrerlose Flotte im Silicon Valley
  3. Kooperationen vereinbart Deutschland setzt beim Auto der Zukunft auf China

    •  /