Wenn Sie in einem Text einen Flüchtigkeitsfehler begehen, kann dies je nach Kontext, beispielsweise bei einem Bewerbungsschreiben, schlimme Folgen haben. Noch verheerender sind allerdings die Auswirkungen eines solchen Flüchtigkeitsfehlers, der den Entwicklern der Wallet-Software von Parity Technologies unterlaufen ist. Hackern waren in der Lage Ethereum-Kryptowährung von mehr als 26 Millionen Euro zu entwenden.
Monatelang schwelte der Flüchtigkeitsfehler vor sich hin, ehe er entdeckt wurde. Doch vorher hatte ihn schon jemand anderer entdeckt. Hacker erleichterten beispielsweise das Start-up Swarm City um Kryptowährung Ethereum im Wert von umgerechnet 7,8 Millionen Euro.
Parity Technologies warnt Nutzer
Der Entwickler der Open-Source-Wallet-Software, Parity Technologies, warnt indes mittlerweile vor einem Programmierfehler, der Nutzer viel Geld kosten kann. Es bedurfte jedoch erst dem mutwilligen Eingreifen von unbekannten Hackern. Diese haben ihn ausgenutzt, um verschiedene Nutzer des Wallets um insgesamt 150.000 ETH zu erleichtern. Der derzeitige Gegenwert der Kryptowährung beläuft sich auf 26,8 Millionen Euro.
„White Hat“-Hacker bringen weitere Millionen „in Sicherheit“
Eine andere Gruppe von „guten“ Hackern hat indes denselben Bug benutzt, um weitere 377.000 ETH „in Sicherheit“ zu bringen. Dies entspricht umgerechnet rund 67,4 Millionen Euro, die aktuell im Besitz einer Gruppe von Leuten ist und über die aber ihre eigentlichen Besitzern momentan nicht verfügen können. Diese Hacker haben jedoch versprochen, das Geld ihren rechtmäßigen Besitzern zurückzugeben, wenn der Fehler behoben wurde.
Produkthinweis
Mastering Ethereum: Building Smart Contracts and Dapps
Bug in Mehrfach-Vertragssignatur
Der eigentliche Fehler, der zur Entwendung des Geldes führte, findet sich in dem in der Wallet-Software integrierten „Multisig-Vertrag“. Es wurde vergessen Details des Smart Contracts zu verstecken, die dann aber öffentlich einsehbar waren. Über diese geheimen Informationen gelang es den Hackern das Geld auf eigene Konten umzuleiten.
Von dem Fehler betroffen sind übrigens alle Versionen des Parity Wallets ab Version 1.5. Der Quellcode der aktuellen Entwicklungsversion enthält bereits einen Patch, diesen müssten Nutzer jedoch selbst herunterladen und kompilieren, oder eben warten, bis der Entwickler die Version selbst veröffentlicht. Der Fehler betrifft außerdem nur digitale Portmonees, die mittels Mehrfach-Signatur agieren. Wer lediglich ein einzelne Signatur verwendet, um seine Transaktionen zu bestätigen, ist offenbar auf der sicheren Seite.
Spezialisten kritisieren Entwickler
Parity Technologies erfährt derzeit zurecht Kritik von Sicherheitsforschern. Da der Quellcode öffentlich in einem sogenannten „Repository“ einsehbar ist, kann man die Arbeitsschritte nachvollziehen. Offenbar hat lediglich ein einzelner Entwickler den Quellcode für die „Verschlimmbesserung“ angesehen und in die Codebasis der Wallet-Software hinzugefügt.