Forscher finden 34.000 SicherheitslĂĽcken in Smart Contracts auf Ethereum

Trotz vieler Warnungen und immer wieder auftretender Probleme hält die Begeisterung für neu angebotene Digitalwährungen (ICOs) an. Dabei sind die damit einhergehenden Sicherheitsfragen noch kaum verstanden.

In Pocket speichern vorlesen Druckansicht 159 Kommentare lesen
Forscher finden 34.000 SicherheitslĂĽcken in Smart Contracts auf Ethereum
Lesezeit: 2 Min.
Von
  • Sascha Mattke

So genannte Smart Contracts auf der Basis von fälschungssicheren Blockchains sollen die Wirtschaft auf den Kopf stellen, weil sie neue dezentrale Dienste und Verträge mit automatisch durchgesetzten Bedingungen ermöglichen. Derzeit werden sie insbesondere zur Schaffung neuer Digitalwährungen genutzt, die in Initial Coin Offerings (ICOs) angeboten werden und den Initiatoren bereits mehr als 5 Milliarden Dollar eingebracht haben. Doch wie eine aktuelle Studie zeigt, sind bisherige Smart Contracts voller Sicherheitslücken, berichtet Technology Review online in „Schlaue Verträge voller Lücken“.

Mehr Infos

Bislang wussten Technik-Experten noch nicht einmal richtig, welche Arten von Sicherheitslücken in Smarts Contracts auftreten, sagt Ilya Sergey, ein Informatiker am University College London, der Ende Februar zusammen mit Kollegen den Fachaufsatz über das Thema veröffentlicht hat. Mit einem neuen Werkzeug haben die Forscher eine Stichprobe von fast einer Million Smart Contracts auf der Ethereum-Blockchain analysiert. Ungefähr 34.000 davon wiesen demnach Schwächen auf.

Sergey vergleicht die Arbeit seines Teams mit Herumprobieren mit einem physischen Verkaufsautomaten: Die Forscher hätten sozusagen willkürlich Knöpfe gedrückt und registriert, wann das zu so nicht vorgesehenen Reaktionen der Maschine führte. „Ich glaube, dass noch viele Lücken entdeckt und formal klassifiziert werden müssen“, sagt der Experte. Einige Nutzer haben das bereits schmerzlich erfahren müssen. Im vergangenen November etwa waren plötzlich Guthaben von rund 150 Millionen Dollar bei dem Wallet-Dienst Parity nicht mehr verfügbar. Sergey und Kollegen konnten unter anderem jetzt die Lücke identifizieren, die für dieses Problem verantwortlich war.

Mehr dazu bei Technology Review online:

(sma)