"Passwort" Folge 38: Schlaue Hacks von schlauen Verträgen
Der Podcast nimmt einen aktuellen, geschickten Angriff gegen "Proxy-Contracts" zum Anlass, sich die Vor- und Nachteile von Code auf der Blockchain anzusehen.
Im Security-Podcast geht es dieses Mal um Angriffe gegen Smart-Contracts, also gegen Code auf der Blockchain. Moment mal, Smart-Contract-Hacks und Blockchains – ist der Podcast in ein Sommer- und Zeitloch gefallen? Keineswegs! Die großen Blockchains stellen immer noch ein florierendes System dar, in dem viel Geld fließt, Angreifer fette Beute wittern – und allzu oft auch erfolgreich machen. Oft ist das (sicherheits-)technisch eher wenig interessant, doch Anfang Juli flog ein ungewöhnlich weitreichender Angriff auf; ein schöner Anlass für den Podcast, sich diesem Thema zu widmen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Weil Christopher im Urlaub weilt, hat Sylvester seinen Kollegen Jan Mahn eingeladen. Die beiden nutzen die Gelegenheit, um allgemein über Blockchains, Smart-Contracts und deren (Sicherheits-)Vor- und Nachteile zu diskutieren. Das ist auch nötig, um den aktuellen Angriff zu verstehen. Der nutzte einen Fehler in sogenannten Proxy-Contracts aus. Solche Konstruktionen erlauben, die an sich unveränderlichen Smart-Contracts mit einer Updatemöglichkeit zu versehen; insbesondere auch, um Fehler beheben zu können. Einerseits eine bitter nötige Option – denn Smart-Contract-Entwickler machen Fehler wie andere Entwickler auch – und andererseits eine sehr drastische Maßnahme: Eigentlich ist ihre garantierte Unveränderlichkeit eine der herausragenden Eigenschaften von Smart-Contracts.
Nach diesen Vorarbeiten sehen sich die Hosts den eigentlichen Angriff an. Er unterwanderte fehlerhaft initialisierte Proxy-Contracts und ging dabei so geschickt vor, dass die betroffenen Projekte nichts bemerkten: Gängige Analyse-Werkzeuge und auch die nachträglichen – vermeintlich erst- und einmaligen – Initialisierungen der Contracts durch ihre Urheber verhielten sich unauffällig.
Letztlich entdeckte ein Security-Unternehmen das Problem, versuchte – mit leider nicht lückenlosem Erfolg – alle betroffenen Projekte zu informieren und in einer koordinierten Aktion alle unterwanderten Verträge unschädlich zu machen. Denn auch wenn der Angreifer offenbar noch auf irgendetwas wartete, er würde sicherlich in Aktion treten, sobald ihm die ersten Gegenmaßnahmen seine Entdeckung verrieten.
Die neueste Folge von "Passwort – der heise security Podcast" steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.
(syt)
