► Zuweilen reichen schon sehr kleine Fehler, um große Schäden zu verursachen. Das zeigt sich gerade beim Zerocoin-Projekt. Ein nicht entdeckter Tippfehler im Quellcode sorgte hier nun dafür, dass ein Angreifer Kryptowährungs-Einheiten im Wert von über einer halben Million Dollar stehlen konnte.

Zerocoin, das auch als Zcoin oder XZC bekannt ist, ist ein Protokoll für eine Kryptowährung, das auf Bitcoin aufsetzt. Es funktioniert auf vergleichbare Weise, soll aber wesentlich stärkere Features bieten, mit denen die Anonymität der Beteiligten bei Transaktionen gewahrt werden kann.

Ein Angreifer hatte kürzlich eine Schwachstelle in der Implementierung entdeckt und diese über einige Wochen hinweg mehrfach ausgenutzt. Er machte sich dabei zu nutze, dass die kryptographischen Belege für eine Transaktion schlicht erneut eingesetzt werden konnten, um weitere scheinbare Transaktionen auszuführen. Wenn es ihm also gelang, eine Transaktion mit einem anderen Nutzer abzuwickeln, konnte er sich den jeweiligen Betrag mehrfach auf seinem Konto gutschreiben lassen.

► Die eigene Geldpresse
Das fiel nicht sofort auf, weil der Täter versuchte, so unauffällig wie möglich zu agieren und seine Aktivitäten über einen längeren Zeitraum streckte. Hinzu kam, dass die zusätzlichen Gelder nicht von anderen Nutzern entwendet wurden, sondern "nur" die gesamte Zcoin-Menge erweitert wurde. Der Angriff ließe sich also am ehesten damit vergleichen, dass jemand unbefugt die Druckmaschinen der Notenbanken verwenden kann und sich sein eigenes Geld herstellt.

Als das Entwickler-Team auf die Transaktionen aufmerksam wurde, leitete man eine Überprüfung des Problems ein. Es zeigte sich, dass der Fehler durch ein einziges Zeichen verursacht wurde, das durch einen nicht entdeckten Tippfehler im Quellcode verblieben war. Insgesamt generierte der Angreifer Zcoin-Einheiten, die nach den derzeitigen Kursen etwa 592.000 Dollar wert sind.

Laut dem Entwickler-Team wurde ein großer Teil des Betrages über verschiedene Börsen bereits weiter transferiert, so dass es bereits im Umlauf ist und im Grunde nicht mehr entfernt werden kann, ohne anderen Nutzern der Kryptowährung Schaden zuzufügen. Um zumindest noch weitere Folgen zu verhindern, steht man mit den relevanten Börsen in Kontakt, um zumindest den Tausch der verbleibenden Beträge in andere Kryptowährungen oder in Dollar zu unterbinden. Auch ein Patch, mit dem der Fehler behoben wird, liegt bereits vor.

Quelle: Winfuture.de