Sicherheitsleck in Ethereum-Upgrade entdeckt

Eigentlich hätte Mitte Januar der Ethereum-Hardfork Constantinople über die Bühne gehen sollen. Doch dazu ist es nicht gekommen. Kurz vor dem geplanten Upgrade wurde dieses aufgrund einer Sicherheitslücke abgebrochen, auf die die Sicherheitsfirma Chainsecurity aufmerksam machte. Hubert Ritzdorf, technischer Direktor von Chainsecurity, fiel auf, dass das Upgrade eine Sicherheitslücke öffnen würde, wie ETH-News berichtet. Ritzdorf habe anschließend das Ethereum-Kernteam informiert, worauf dieses das Upgrade stoppte. "Wäre das Upgrade wie geplant durchgeführt worden, hätten Nutzer mit Missbrauchsabsicht gewisse Verträge angreifen und so das Konto anderer Nutzer plündern können", wird Ritzdorf im Bericht zitiert.

Die Schwachstelle liegt im Programmcode von Constantinople. Denn beim Upgrade handelt es sich um eine Aktualisierung des Ethereum-Netzwerks, die laut Cointelegraph verschiedene "Ethereum Verbesserungsvorschläge" (EIPs) umfasst. So soll mit dem Upgrade unter anderem der Übergang vom Proof-Of-Work- zum Proof-of-Stake-Verfahren erleichtert werden. Will heißen, dass Ethereum ein Wechsel des Hash-Algorithmus bevorsteht.

Ein großes Problem von Kryptowährungen wie Bitcoin oder Ethereum ist, dass das Mining beim aktuellen Proof-of-Work-Verfahren Unmengen an Energie verbraucht. Laut einem Bericht von Spectrum liegt der Bedarf für eine typische Ethereum-Transaktion höher als der tägliche Stromverbrauch eines durchschnittlichen US-Haushaltes. Bitcoin-Transaktionen sind hingegen noch größere Energiefresser. Das Constantinople-Upgrade soll nun aber die Weichen stellen, dass Ethereum in Zukunft mit deutlich weniger Energie auskommen wird.

Der Ethereum-Erfinder Vitalik Buterin geht davon aus, dass der Wechsel auf das effizientere Proof-of-Stake-Verfahren den Stromverbrauch einer Ethereum-Transaktion um mehr als das Hundertfache reduzieren kann. Denn beim ressourcenschonenderen Verfahren fällt das energiefressende Mining weg. Stattdessen kommt eine gewichtete Zufallsauswahl zum Zug. Die Gewichtung der einzelnen Teilnehmer kommt dabei durch ihre Teilnahmedauer und/oder ihrem jeweiligen Vermögen zustande. So wird schließlich ein Konsens darüber erzielt, wer im Blockchain-Netzwerk den nächsten Block erzeugen darf.

Die Sicherheitslücke wäre laut dem Bericht von ETH-News nun entstanden, weil Ethereum den Preis, den Nutzer für die Ausführung von smarten Verträgen bezahlen müssen, deutlich senken wollte. Dies mit dem Ziel, die Benutzerfreundlichkeit zu erhöhen. Dies hätte jedoch dazu geführt, dass User verschachtelte Contracts hätten aufsetzen können, um eine Transaktion im Hintergrund mehrmals statt nur einmal durchzuführen. So wäre es schließlich möglich gewesen, das Ether-Konto anderer Nutzer zu plündern. Momentan verhindere jedoch eine Kombination von höheren Vertragspreisen und eines Maximalbetrags pro Transaktion das Ausführen von versteckten smarten Verträgen im Hintergrund.

Laut t3n haben die Ethereum-Entwickler den Hardfork nun bei Block Nummer 7.280.000 angesetzt, das Upgrade dürfte voraussichtlich um den 27. Februar durchgeführt werden. Jener Teil der Aktualisierung, der von der Sicherheitslücke betroffen ist, soll allerdings später nachgeholt werden. Sobald das Leck gesichert ist, soll der Hardfork komplettiert werden.