> > > > Bug sorgt für Kryptogeld-Diebstahl von 26 Millionen Euro

Bug sorgt für Kryptogeld-Diebstahl von 26 Millionen Euro

Veröffentlicht am: von

ethereum

Bei einigen Dieben hat die Kasse geklingelt: Im öffentlichen Code der Wallet-Software von Parity gab es einen Fehler, der nun ausgenutzt wurde. Gestohlen wurden sage und schreibe 26. Mio. Euro in der Kryptowährung Ethereum – also 150.000 ETH. Ein Startup verlor offenbar durch den Diebstahl 7,8 Mio. Euro. Einige hatten Glück im Unglück, denn White-Hat-Hacker nutzen die Sicherheitslücke ebenfalls aus, um 377.000 ETH (67,4 Millionen Euro) mitzunehmen, sicherten die Währung aber ab, da sie nicht vorhatten die Währung für sich zu behalten. Jene White Hat Group hat versprochen das Geld zurückzugeben. Der brisante Fehler befand sich in einem Multisig-Vertrag. Ein nicht gesetzter Flag ermöglichte Details des Smart Contracts öffentlich einzusehen. Dadurch konnten Unbefugte Ethereum auf eigene Konten umleiten. Betroffen sind alle Varianten des Parity-Walltes ab Version 1.5. In der Entwicklungsversion wurde durch einen Patch bereits nachgebessert.

Betroffen waren offenbar nur Multisig-Wallets, also solche, bei denen Transaktionen mit mehreren Signaturen bestätigt werden. Parity muss nun freilich heftige Kritik einstecken, denn im Grunde handele es sich um einen Flüchtigkeitsfehler im Code, der deswegen auch so leicht auszunutzen war. Es erscheint klar, dass der Quellcode von den Entwicklern nur unzureichend kontrolliert wurde. Zumal die Lücke mehrere Monate im Quellcode ruhte. Besonders hart getroffen hat es nun das Startup Swarm City, die nach eigenen Angaben 7,8 Mio. Euro durch den Diebstahl verloren hat. Zumal diese Woche schon ein anderer Ethereum-Raub für Schlagzeilen sorgte: Beim Ethereum-Projekt Coindash wurden ca. 7,6 Mio. Euro entwendet. Die Diebe gingen dort allerdings anders vor und manipulierten die Website.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (19)

#10
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 11484
Zitat Kununa;25691434
Ich glaube du geht's noch mit einer falschen Vorstellung an die Thematik ran. Der Clue ist halt gerade, dass es dezentral ist und es keine zentrale Steuerungseinheit gibt wie den Staat. Ob sich Cryptos langfristig etablieren können ist wieder ein ganz anderes Thema, aber in Bezug auf Cryptos muss du weg kommen von dem Gedanken, dass es eine zentrale Steuerungseinheit gibt.

Das weiss ich. Darum stehe ich Kryptowährungen ja so kritisch gegenüber (neben der Ressourcenverschwendung zum Minen) und OpenSource sehe ich auch, im Gegensatz zu manchen, nicht als Allheilmittel.
Der Zwischenfall hier bestätigt grade beide meiner Bedenken...

Der Fehler war natürlich trivial (wie sehr viele Sicherheitsbugs), aber finde du mal ein falsch gesetztes Flag bzw. die Zeile welches dieses falsch setzt, in ner Million Zeilen anderer code. Noch dazu Code den du womöglich nicht selbst geschrieben hast.
Als Software dev weiss ich wovon ich rede...

Es gibt natürlich Experten die genau sowas tun. Security Auditoring u.ä. Kostet aber ein Schweinegeld.
Sowas vom Nutzer des Dienstes zu verlangen, ist einfach Weltfremd.
Parity hätte sich das aber natürlich leisten _müssen_ und wird darum jetzt entweder den Schaden ersetzen, oder langfristig pleite gehen (jedenfalls wenn die Kunden korekt Konsequenzen ziehen wie sie es in anderen Wirtschaftsbereichen täten).


EDIT: Des weiteren hat Parity ja offenbar das Ganze in der Entwicklerversion gefixt. Also sie wussten dass dieser Fehler in der offenen Version existiert! Das geht somit bereits richtung grobe Fahrlässigkeit.


Des weiteren, würde wenn sowas bei ner Bank passiert, nicht der Staat auffangen, sondern die Bank selbst und zwar weil diese vom Vertrauen ihrer Kunden lebt.


Zitat majus;25691545
Das schaffen nur die Banken, dass ihnen Ihre hochgradigen Spekulationsfehler auch noch gezahlt werden..
Ist im Endefekt nur bedingt geschehen. Im Zuge der Wirtschaftskrise wurden etliche Banken teilweise oder ganz schließlich verstaatlicht.
Konsequenzen gegen einzelne Schuldige hätte es vieleicht mehr geben können, aber im Endefekt warens ehr viele Schuld - inkl. der ganzen US Bürger die sich ohne an die Zukunft zu denken, per Kredit ein teures Haus gekauft haben.

Aber ja, wäre Kryptowährung eine Weltwährung und würde das System wegen so einem Fehler Probleme bekommen, dann würde selbstverständlich der Staat auch da einspringen, in irgendeiner Form, denn dass die Bürger weiterhin Geld haben bzw. nutzen können und Unternehmen Investitionskredite erhalten, etc. ist erstmal das wichtigste.

Sonst hätten wir uns nicht binnen 5 jahren vollständig erholt.
#11
Registriert seit: 12.06.2015

Leutnant zur See
Beiträge: 1118
Zitat
Ist im Endefekt nur bedingt geschehen. Im Zuge der Wirtschaftskrise wurden etliche Banken teilweise oder ganz schließlich verstaatlicht.
Konsequenzen gegen einzelne Schuldige hätte es vieleicht mehr geben können, aber im Endefekt warens ehr viele Schuld - inkl. der ganzen US Bürger die sich ohne an die Zukunft zu denken, per Kredit ein teures Haus gekauft haben.


Optimist muss man sein :D
Mal schauen ob du das nach dem nächsten Crash immer noch so siehst
#12
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 11484
Zitat majus;25691687
Mal schauen ob du das nach dem nächsten Crash immer noch so siehst

Werde ich, denn Wirtschaft ist nunmal auf auf und ab. War schon immer so.
Unterm Strich ist die Tendenz aber nach oben.
#13
customavatars/avatar179024_1.gif
Registriert seit: 29.08.2012

Flottillenadmiral
Beiträge: 4996
Zitat DragonTear;25691582
inkl. der ganzen US Bürger die sich ohne an die Zukunft zu denken, per Kredit ein teures Haus gekauft haben.

Ähm... ich hoffe, Dir ist bewusst, dass die Immobilien nachträglich heruntergerated wurden - die Leute waren die ganze Zeit im Glauben, ihr Gebäude sei mehr wert. Und es dürfte auch klar sein, wer was davon hat, wenn viele ihre Hypothek nicht mehr bedienen können und plötzlich lauter billige Immobilien käuflich sind...
Oder hast Du das Gefühl, amerikanische und chinesische Investoren seien jetzt plötzlich abgeschreckt, die billigen Objekte hier zu kaufen? Es grenzt schon fast an ein Wunder, dass die Bundesregierung nach Jahren halbwegs geschnallt hat, dass teilweise mutmaßlich systematisch strategische Investitionen von ausländischen Staaten in Deutschland getätigt werden. Selbst "Mainstream"-Medien nehmen das nicht einfach hin: Rating-Agenturen: Die böse Macht der Krisen-Katalysatoren - SPIEGEL ONLINE

Zitat DragonTear;25691582
Sonst hätten wir uns nicht binnen 5 jahren vollständig erholt.

Wenn Du das wirklich glaubst, und dafür nicht bezahlt wirst, ist das verdammt bedauerlich.
#14
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 11484
Zitat oooverclocker;25691784
Ähm... ich hoffe, Dir ist bewusst, dass die Immobilien nachträglich heruntergerated wurden - die Leute waren die ganze Zeit im Glauben, ihr Gebäude sei mehr wert. Und es dürfte auch klar sein, wer was davon hat, wenn viele ihre Hypothek nicht mehr bedienen können und plötzlich lauter billige Immobilien käuflich sind...
Oder hast Du das Gefühl, amerikanische und chinesische Investoren seien jetzt plötzlich abgeschreckt, die billigen Objekte hier zu kaufen? Es grenzt schon fast an ein Wunder, dass die Bundesregierung nach Jahren halbwegs geschnallt hat, dass teilweise mutmaßlich systematisch strategische Investitionen von ausländischen Staaten in Deutschland getätigt werden. Selbst "Mainstream"-Medien nehmen das nicht einfach hin: Rating-Agenturen: Die böse Macht der Krisen-Katalysatoren - SPIEGEL ONLINE

Genau das meinte ich ja mit der Mitschuld. Man kann nicht einfach so glauben dass der Wert der Häuser allesamt dauerhaft so hoch bleiben würde. Die Menschen haben sich von einer Versuchung verleiten lassen und genau das bezeichnet man ja als Blase. Der Spiegel Artikel sagt genau das auch.
Das gilt im Endefekt ebenso für das Glauben an die Ratings. Diese sind schließlich eine Bewertung. Nichts weiter.
Man kann die Verantwortung nicht immer abgeben... Leider ist das Wesen der Menschen nunmal so und deswegen kommt es hin und wieder zum temporären "Crash".

Was ausländische Investitionen angeht... wir sollten jetzt nicht in Protektionismuss und Abschottung verfallen (wie es die USA vorhat wenn es nach Trump geht/ginge). Das ist langfristig nie gut. Die USA war ja der größte leidensträger der Krise und China wird früher oder später zusammenbrechen wenn der Lebensstandard dort weiter zunimmt.
Deutsche/europäische Unternehmen investieren übrigens auch massiv im Ausland. So funktioniert Globalisierung (ohne die man keine 7Mrd Menschen versorgen könnte).

Zitat oooverclocker;25691784
Wenn Du das wirklich glaubst, und dafür nicht bezahlt wirst, ist das verdammt bedauerlich.

Der BIP ist wieder deutlich höher als vor der Krise und das sieht auch in den meisten Ländern (nicht alle, aber immerhin den meisten) ähnlich aus: BIP in Deutschland - Bruttoinlandsprodukt bis 2016 | Statista
Also ja, wir haben uns erholt. Schulden sind auch entstanden, aber es geht in erster Linie darum wie es den Menschen geht.
#15
Registriert seit: 19.05.2013
NRW
Kapitänleutnant
Beiträge: 1688
Du traust also den Menschen zu den Wert der Häuser schätzen zu können, aber Entwickler können nicht Quellcode prüfen?
Parity hat den Fehler in der Entwicklerversion gefixt nachdem der Fehler bekannt wurde. Zudem ist die befallene Datei nicht mal 500 Zeilen lang. Dazu kommt noch, dass verschiedenste Code-Guidelines missachtet wurden. Grobes menschliches Versagen.
Ich will Cryptos nicht als unfehlbar darstellen, aber dass das klassische Bankensystem einige schwächen hat, ist schon häufig genug klar geworden. Bei einer Krise muss zudem immer der Staat blechen und nicht die Banken.
#16
customavatars/avatar210347_1.gif
Registriert seit: 18.09.2014
Gelsenkirchen
Hauptgefreiter
Beiträge: 250
Zitat Kununa;25692126
............., aber dass das klassische Bankensystem einige schwächen hat, ist schon häufig genug klar geworden. Bei einer Krise muss zudem immer der Staat blechen und nicht die Banken.


Der kleine man Muss die zeche der achso Großen Banken Zahlen wird immer so sein. Man hat ja nicht die Eier wie Island und lässt die Banken pleite gehen, und hatte damit Erfolg.
#17
customavatars/avatar151917_1.gif
Registriert seit: 18.03.2011

Oberleutnant zur See
Beiträge: 1426
Tja, der Kurs wird das kompensieren, kollektiver Verlust halt.
#18
Registriert seit: 08.11.2015

Obergefreiter
Beiträge: 127
Zitat Mezzo;25692232
Der kleine man Muss die zeche der achso Großen Banken Zahlen wird immer so sein. Man hat ja nicht die Eier wie Island und lässt die Banken pleite gehen, und hatte damit Erfolg.


Absolut richtig. Der einzige Gewinner einer Krise ist die Bank. Wer meint, dass eine Krise willkürlich entsteht, lebt immer noch in der Scheinwelt der Medien. Krisen gibt es in regelmäßigen Abständen und seit dem abschaffen des Goldstandards 1971 durch Richard Nixon haben es die Banken noch einfacher. Eig. müsste man sich deshalb trotzdem nicht aufregen, denn uns geht es gut. Schaut man jedoch in andere Länder (z.B. Afrika), sieht die Sache wieder ganz anders aus.
#19
customavatars/avatar83807_1.gif
Registriert seit: 30.01.2008

Hauptgefreiter
Beiträge: 150
Zitat DragonTear;25691271
Verantwortlich ist Parity und es dürfte wohl Klagen regnen [..]


Seit wann haften denn Entwickler kostenlos bereitgestellter Open Source Lösungen?
Der Haftungsausschluss ist klar in der GPL geregelt.

This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MODIFIES AND/OR CONVEYS THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.


Zitat DragonTear;25691271

Einfacher wäre es wenn man die Ver'brecher schnappen würde aber hier wird der Vorteil der Währung zum Nachteil...


Naja, gerade weil die Adressen so öffentlich einsehbar sind, wird der Dieb die Coins schlecht an irgendeine Börse bekommen, ohne dass das sofort auffällt.
Für Ethereum gibt es meines Wissens auch noch keinen Coin Mixer.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Lohnt das Mining für den Privatanwender noch?

Logo von IMAGES/STORIES/2017/ETHEREUM

Bestimmte Grafikkartenmodelle sind schlecht verfügbar und einige Hersteller präsentieren sogar spezielle Mining-Modelle – bestes Anzeichen dafür, dass eine neue Mining-Welle anrollt. Ethereum basiert wie Bitcoins auf einer Blockchain-Technologie. Ethereum ist aber keine reine Kryptowährung,... [mehr]

Bitcoin droht der Hard Fork – Ethereum weiter auf niedrigem Kurs

Logo von IMAGES/STORIES/2017/ETHEREUM

Bereits in der vergangenen Woche deuteten sich einige Änderungen bei den Kryptowährungen an. Nach einem wochenlangen Hoch brach der Kurs des Ether auf weit unter 200 US-Dollar ein. Die Gründe dafür sind nicht immer ersichtlich. Oftmals gibt es auch Wechselwirkungen zwischen den einzelnen... [mehr]

AMD mit guten Quartalszahlen – Vega und Naples für Q2 bestätigt (Update)

Logo von IMAGES/STORIES/2017/AMD

AMD hat die ersten Quartalszahlen veröffentlicht, die nach dem Verkaufsstart der RYZEN-Prozessoren zusammengestellt wurden. Darin zeichnet das Unternehmen einen deutlichen Anstieg beim Umsatz aus, muss bisher aber noch auf Gewinne verzichten. Weitaus wichtiger aber ist, dass AMD in seinen... [mehr]

Epyc und Vega: AMD packt ein PFLOP pro Sekunde in ein Serverrack

Logo von IMAGES/STORIES/2017/AMD-PROJECT47

AMD hat mit den Eypc-Serverprozessoren und Radeon-Instinct-GPU-Beschleunigern zwei sicherlich potente Hardwarekomponenten vorgestellt, die teilweise auch schon im Handel verfügbar sind oder in den kommenden Wochen und Monaten auf den Markt kommen werden. Mit den Epyc-Prozessoren greift AMD den... [mehr]

O2: Wer bei der Hotline nicht anruft, wird mit Datenvolumen belohnt (Update)

Logo von IMAGES/STORIES/2017/O2_LOGO

O2 war in den letzten Monaten aufgrund seiner schlecht erreichbaren Hotline immer wieder in der Kritik. Kunden mussten teilweise stundenlang in der Warteschleife warten, bis sich am anderen Ende der Leitung ein Mitarbeiter meldete. Dies ist einerseits darauf zurückzuführen, dass die Kapazitäten... [mehr]

Apple Pay weiterhin nicht in Deutschland vorgesehen

Logo von IMAGES/STORIES/2017/APPLE_PAY

Apple Pay ist das drahtlose Bezahlsystem des iPhone-, iPad- und Mac-Herstellers, welches am 20. Oktober 2014 startet, bisher aber noch immer nicht den Weg nach Deutschland gefunden hat. Inzwischen hat Apple für viele Nachbarländer Apple Pay bereits eingeführt, Deutschland aber ist nach wie vor... [mehr]