“Gruseliger” Fehler in Bitcoin-Core Software behoben

Die Bitcoin-Core-Entwickler haben am 18. September eine neue Version des Bitcoin-Core-Clients veröffentlicht, nachdem sie einen “sehr gruseligen” Bug (Fehler in der Software) behoben haben, durch den ein Angreifer annähernd 95 Prozent alles Nodes hätte offline nehmen können.

Zwar lag der Fehler nicht im Bitcoin-Protokoll selbst, sondern in seiner populärsten Software-Implementierung, dem Bitcoin-Core-Client. Der Bug war dennoch nicht weniger „gruselig“, da der Bitcoin-Core-Client von ungefähr 95 Prozent der Bitcoin-Nodes im gesamten BTC Netzwerk eingesetzt wird. Dies bedeutete effektiv, dass der behobene Fehler praktisch fast das gesamte Bitcoin-Netzwerk betroffen hätte. Glücklicherweise wurde der Bug nicht ausgenutzt und von einer Drittpartei an die Entwickler des Bitcoin-Core-Client berichtet.

Der Besitzer der Webseiten und Schöpfer der Informationsressourcen Bitcoin.org und Bitcointalk, @CobraBitcoin sagte, dass der Bug das Potenzial gehabt hätte, Chaos in einem “Großteil” des Ökosystems zu schaffen.

A very scary bug in Bitcoin Core has just been fixed which could have crashed a huge chunk of the Bitcoin network if exploited by any rogue miners. https://t.co/fMrgRiDaTP

— Cøbra (@CobraBitcoin) September 18, 2018

Am Dienstag veröffentlichten die Entwickler von Bitcoin Core eine neue Version, die die Schwachstelle behob. Der Bug wurde mehrfach als “sehr gruselig” und als einer der “drei oder vier” schlimmsten Fehler beschrieben, die jemals in Bitcoin entdeckt wurden.

Angreifer hätten Bitcoin-Netzwerk zum Absturz bringen können

Emin Gün Sirer, Dozent für Informatik an der Cornell University, sagte Motherboard:

Für weniger als 80.000 Dollar hätte man das gesamte Netzwerk herunterfahren können. Das ist weniger Geld als das, was viele Unternehmen für einen 0-Day-Exploit auf viele Systeme bezahlen würden. Es gibt viele motivierte Leute wie diese, und sie hätten das Netzwerk zum Einsturz bringen können.

Die Dokumentation auf Github beschreibt den Fehler als eine “Denial-of-Service-Schwachstelle”, die mit dem Update auf Bitcoin Core-Version 0.14.0 im letzten Jahr veröffentlicht wurde bis Version 0.16.2 bestand. Mit der am Dienstag veröffentlichten Version 0.16.3 wurde der Bug nun behoben.

In dem Bitcoin Optech Newsletter #13 heißt es:

Ein in Bitcoin Core 0.14.0 eingeführter Fehler, der alle folgenden Versionen bis 0.16.2 betrifft, führt zum Absturz von Bitcoin Core, wenn ein Block mit einer Transaktion validiert werden soll, welcher versucht, dieselbe Eingabe zweimal zu verwenden. Solche Blöcke wären ungültig und können daher nur von Minern erstellt werden, die bereit sind, den Block-Reward zu verlieren, nachdem sie einen Block erstellt haben (mindestens 12,5 BTC oder 80.000 USD) […] Sofortiges Upgrade wird dringend empfohlen.

Die Sicherheitslücke ermöglichte es also Minern eine Art bösartigen Block zu erstellen, indem sie eine Transaktion einschließen, die versucht, dieselben BTC zweimal auszugeben (Double-Spending). Dieser bösartige Block würde sich auf allen Bitcoin-Core-Nodes verbreiten und hätte im schlimmsten Fall das gesamte Netzwerk zum Absturz bringen können.

Wie Sirer gegenüber Motherboard erklärte, wäre für ein Eingriff nur das Opfern des Block-Rewards von 12,5 Bitcoin (ca. 80.000 USD) notwendig gewesen. Ein sehr geringer Preis, wenn es einem bösartigen Angreifer ernsthaft darum gegangen wäre, dass gesamte Bitcoin Netzwerk zum Absturz zu bringen. Zwar wäre, wie Sirer auch feststellt, es sehr wahrscheinlich gewesen, dass die Bitcoin-Netzwerk nach dem Absturz relativ schnell wieder online gegangen wäre. Dennoch hätte der Bug zu einem kurzzeitigen Erliegen des Netzwerkes geführt, was sicherlich auch der Reputation von Bitcoin und somit dem Bitcoin Preis geschadet hätte.

Bemerkenswerterweise sind von dem Bug auch alle Kryptowährungen betroffen, die mit dem Bitcoin Core-Code erstellt wurden, allen voran auch Litecoin, dass ebenfalls am Dienstag dieselbe Schwachstelle gepatcht hat.

Litecoin Core v0.16.3 has been released which includes a very important security fix for a DoS vulnerability, CVE-2018-17144! All users are advised to upgrade as soon as possible. https://t.co/6wyNEdiNFP

— Litecoin Project (@LitecoinProject) September 20, 2018