Abo
  • Services:

Transaktionsfehler: Angreifer legen Bitcoin-Börsen lahm

Nach Mtgox hat auch Bitstamp sämtliche Bitcoin-Kontoabhebungen ausgesetzt. Grund ist ein konzertierter Angriff auf eine Schwachstelle in Bitcoins Handhabung von Transaktionen, wegen dem auch Mtgox Abhebungen ausgesetzt hat.

Artikel veröffentlicht am ,
Bitcoin-Börsen sind Opfer einer DDoS-Attacke geworden.
Bitcoin-Börsen sind Opfer einer DDoS-Attacke geworden. (Bild: Bitcoin)

Nach Mtgox hat eine weitere große Bitcoin-Börse Bitcoin-Kontoabhebungen vorübergehend ausgesetzt. Bitstamp meldet einen massiven Angriff mit gefälschten Transaktionen, dem wohl auch Mtgox zum Opfer fiel. Auch die Börse BTC-e warnt vor Verzögerungen bei Bitcoin-Abhebungen. Derweil ist ein Streit zwischen den Mtgox- und den Bitcoin-Entwicklern um den Fehler entbrannt, den die Angreifer jetzt ausnutzen. Bitcoin-Besitzer müssen aber keine Verluste fürchten.

Stellenmarkt
  1. M-net Telekommunikations GmbH, München
  2. McService GmbH, München

Das Problem: Die Signatur einer Bitcoin-Transaktion enthält nicht die identischen Daten wie der dazugehörige Transaktions-Hash. Daher konnte es vorkommen, dass ein Bitcoin-Knoten die Informationen in einer Transaktion ändert. Damit ist der dazugehörige Hash-Wert allerdings ungültig, nicht aber der Inhalt der Transaktion. Die Hash-Werte aller darauf folgenden Transaktionen sind aber von dem Hash-Wert der ersten Transaktion abhängig. Deshalb muss jede einzelne veränderte Transaktion nochmals verifiziert werden.

Angreifer nutzen Schwachstelle

Laut Bitcoin-Wiki-Eintrag enthält jede Signatur genau eine DER-codierte ASN.1-Datenbeschreibung, deren Inhalt jedoch nicht von Openssl zwingend verifiziert wird. Sofern die Signatur halbwegs als gültig erscheint, wird sie von den Bitcoin-Knoten akzeptiert und an den Blockchain übergeben. Inzwischen arbeiten die Entwickler daran, erste Knoten zu verbieten und ungültige Signaturen weiterzuleiten. Später soll auch der Blockchain solche Signaturen nicht mehr akzeptieren.

Diese Schwachstelle nutzen offenbar die Angreifer, um eine massive Anzahl ungültiger Transaktionen an die Börsen zu schicken. Die Entwickler sprechen deshalb von einer DDoS-Attacke, die nicht nur Mtgox, sondern andere Bitcoin-Börsen betreffe. Deren Abwicklung von Transaktionen verzögert sich und führt zu einem allgemeinen Synchronisationsproblem.

Inkonsistente Hash-Werte

Mtgox war allerdings in zweifacher Hinsicht betroffen. Zum einen litt die Tauschbörse zwar auch unter der DDoS-Attacke. Allerdings gab es auch Probleme mit der verwendeten Client-Software, über die Anwender ihre Bitcoins über Mtgox tauschten. Während die Mtgox-eigene Walletsoftware nicht den ursprünglichen Kern der Bitcoin-Software verwendet, sondern einen eigenen, und ihre Börsensoftware daran angepasst hatn, nutzen viele andere Anwender Bitcoin-Wallets mit dem offiziellen Bitcoin-Kern.

Wegen der unterschiedlichen Implementationen der Signatur und Hash-Werten in den verschiedenen Wallet-Versionen kamen die Mtgox-Server ins Straucheln, was durch den DDoS-Angriff noch verstärkt wurde. Außerdem automatisierte Mtgox die Bestätigung von Abhebungen, ohne sie wirklich zu verifizieren.

Fallende Kurse

Der Konsensmechanismus des Block Chains sowie das Zahlungssystem seien aber vom Angriff nicht betroffen, sagte Bitcoin-Entwickler Jeff Garzik zu Coindesk.com. Allerdings werden die durch den DDoS-Angriff offenbarten Schwachstellen behoben.

Der Sicherheitsexperte bei der Bitcoin-Webseite Blockchain.info Andreas Antonopoulos geht davon aus, dass der normale Zahlungsverkehr in spätestens 72 Stunden wieder normal funktioniert. Inzwischen müssen die betroffenen Börsen die noch ausstehenden echten Transaktionen von den gefälschten trennen und langsam an den Block Chain weiterreichen. Es sei zwar nicht der erste schwerwiegende Hack auf Bitcoin, die virtuelle Währung sei aber noch lange nicht tot, wie bereits oftmals kolportiert, sagte Antonopoulos. Seit dem Beginn der Probleme mit Bitcoin ist der Kurs der virtuellen Währung gegenüber dem US-Dollar um 200 auf etwa 600 US-Dollar gefallen.



Anzeige
Spiele-Angebote
  1. 32,99€ (erscheint am 25.01.)
  2. (-60%) 7,99€
  3. 32,99€ (erscheint am 15.02.)

pholem 13. Feb 2014

Noch nicht die Storys von den Leuten gehört, die sich damals billig Bitcoins besorgt...

dahana 12. Feb 2014

Was heißt denn in ein paar Tagen? Der Kurs fällt doch schon seit Wochen. Das Gleiche hat...

jt (Golem.de) 12. Feb 2014

Argl. Stimmt. Danke für den Hinweis.


Folgen Sie uns
       


Landwirtschafts-Simulator C64 - Fazit

Der Landwirtschaftssimulator kommt auf den C64: Giants Software legt der Collector's Edition des Landwirtschafts-Simulators 19 eine Version für den Heimcomputer von Commodore bei. Wir haben das gar nicht mal schlechte Spiel auf originaler Hardware gespielt.

Landwirtschafts-Simulator C64 - Fazit Video aufrufen
Schwer ausnutzbar: Die ungefixten Sicherheitslücken
Schwer ausnutzbar
Die ungefixten Sicherheitslücken

Sicherheitslücken wie Spectre, Rowhammer und Heist lassen sich kaum vollständig beheben, ohne gravierende Performance-Einbußen zu akzeptieren. Daher bleiben sie ungefixt. Trotzdem werden sie bisher kaum ausgenutzt.
Von Hanno Böck

  1. Sicherheitslücken Bauarbeitern die Maschinen weghacken
  2. Kilswitch und Apass US-Soldaten nutzten Apps mit fatalen Sicherheitslücken
  3. Sicherheitslücke Kundendaten von IPC-Computer kopiert

Nubia Red Magic Mars im Hands On: Gaming-Smartphone mit Top-Ausstattung für 390 Euro
Nubia Red Magic Mars im Hands On
Gaming-Smartphone mit Top-Ausstattung für 390 Euro

CES 2019 Mit dem Red Magic Mars bringt Nubia ein interessantes und vor allem verhältnismäßig preiswertes Gaming-Smartphone nach Deutschland. Es hat einen Leistungsmodus und Schulter-Sensortasten, die beim Zocken helfen können.
Ein Hands on von Tobias Költzsch

  1. ATH-ANC900BT Audio Technica zeigt neuen ANC-Kopfhörer
  2. Smart Clock Lenovo setzt bei Echo-Spot-Variante auf Google Assistant
  3. Smart Tab Lenovo zeigt Mischung aus Android-Tablet und Echo Show

WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?
WLAN-Tracking und Datenschutz
Ist das Tracken von Nutzern übers Smartphone legal?

Unternehmen tracken das Verhalten von Nutzern nicht nur beim Surfen im Internet, sondern per WLAN auch im echten Leben: im Supermarkt, im Hotel - und selbst auf der Straße. Ob sie das dürfen, ist juristisch mehr als fraglich.
Eine Analyse von Harald Büring

  1. Gefahr für Werbenetzwerke Wie legal ist das Tracking von Online-Nutzern?
  2. Landtagswahlen in Bayern und Hessen Tracker im Wahl-O-Mat der bpb-Medienpartner
  3. Tracking Facebook wechselt zu First-Party-Cookie

    •  /