Forscher hielt eine große Bitcoin-Wanze zwei Jahre lang geheim, um Angriffe zu verhindern

Der INVDoS-Bug hätte es Angreifern ermöglicht, die Bitcoin-Knoten und andere ähnliche Sperrketten zum Absturz zu bringen.

Die besten Sicherheitsschlüssel im Jahr 2020: Hardware-basierte Zwei-Faktor-Authentifizierung für den Online-Schutz

Während robuste Passwörter einen großen Beitrag zum Schutz Ihrer wertvollen Online-Konten leisten, bringt die hardwarebasierte Zwei-Faktor-Authentifizierung diese Sicherheit auf die nächste Stufe.

Im Jahr 2018 entdeckte ein Sicherheitsforscher eine große Schwachstelle in Bitcoin Core, der Software, die die Bitcoin-Sperrkette speist. Nachdem er das Problem gemeldet und behoben hatte, entschied sich der Forscher jedoch dafür, die Details geheim zu halten, um Hacker daran zu hindern, das Problem auszunutzen.

Technische Details wurden Anfang dieser Woche veröffentlicht, nachdem dieselbe Schwachstelle unabhängig in einer anderen kryptographischen Währung entdeckt wurde, basierend auf einer älteren Version von Bitcoin-Code, die den Patch nicht erhalten hatte.

Bitcoin-Inventar des Denial of Service Out of Memory-Angriffs

Die als INVDoS bezeichnete Schwachstelle ist ein klassischer Denial-of-Service (DoS)-Angriff. Zwar sind DoS-Angriffe in vielen Fällen harmlos, aber nicht für Systeme, die über das Internet zugänglich sind und eine stabile Betriebszeit für die Verarbeitung von Transaktionen benötigen.

INVDoS wurde 2018 von Braydon Fuller, einem Ingenieur für das Bitcoin-Protokoll, entdeckt. Fuller entdeckte, dass ein Angreifer missgebildete Bitcoin-Transaktionen erstellen könnte, die bei der Verarbeitung durch Bitcoin-Sperrkettenknoten zu einem unkontrollierten Verbrauch der Speicherressourcen des Servers führen würden, was schließlich dazu führen würde, dass betroffene Systeme gesperrt werden.

„Zum Zeitpunkt der Entdeckung repräsentierte dies mehr als 50% der öffentlich angekündigten Bitcoin-Knotenpunkte mit eingehenden Datenverkehr und wahrscheinlich auch die meisten Bergarbeiter und Börsen“, sagte Fuller in einem am Mittwoch veröffentlichten Artikel [PDF].

Darüber hinaus wirkte sich INVDoS auch auf mehr als nur die Bitcoin-Knoten (Server) aus, auf denen die Bitcoin-Core-Software läuft. Die Bitcoin-Knoten, auf denen Bcoin und Btcd laufen, waren ebenfalls von demselben Fehler betroffen.

Andere kryptographische Währungen, die auf dem ursprünglichen Bitcoin-Protokoll aufbauten, waren ebenfalls betroffen, wie z.B. Litecoin und Namecoin.

Fuller sagte, der Fehler sei gefährlich, weil er „zu einem Verlust von Geldern oder Einnahmen“ beitragen könne.
„Dies könnte durch den Verlust von Abbauzeit oder Stromkosten, die Abschaltung von Knotenpunkten und die Verzögerung von Blöcken oder durch eine vorübergehende Aufspaltung des Netzes geschehen“, sagte er.

„Es könnte auch durch die Unterbrechung und Verzögerung von zeitkritischen Verträgen oder durch das Verbot wirtschaftlicher Aktivitäten geschehen. Dies könnte den Handel, den Austausch, den atomaren Austausch, Lecks und die Zahlungskanäle im HTLC-Netzwerk beeinträchtigen“, fügte Fuller hinzu.

Zwei Jahre später wiederentdeckter Käfer
Der INVDoS-Fehler wurde allen Verantwortlichen gemeldet und damals unter der generischen Kennung CVE-2018-17145 behoben, die nicht so viele Details enthielt, um die Angreifer nicht zu alarmieren.

Derselbe Fehler wurde jedoch im Sommer von Javed Khan, einem anderen Protokoll-Ingenieur von Bitcoin, auf der Jagd nach Fehlern in der kryptografischen Währung Decred wiederentdeckt.

Khan meldete den Fehler an das Fehlerbelohnungsprogramm Decred und wurde schließlich letzten Monat der allgemeinen Welt enthüllt.

Alle Einzelheiten über die gesamte INVDoS-Schwachstelle wurden Anfang dieser Woche veröffentlicht, so dass andere kryptographische Währungen, die ältere Versionen der Bitcoin-Protokolle gegabelt haben, prüfen konnten, ob sie ebenfalls betroffen sind.

„Es ist nicht bekannt, dass diese Verwundbarkeit in der Natur ausgenutzt wurde“, sagten Fuller und Khan. „So weit wir wissen, nein.“