Eine entscheidende Eigenschaft von Kryptowährungen ist, dass sie dezentral organisiert sind und nicht wie herkömmliche Währungen von einer zentralen Bank verwaltet werden. Das bringt Probleme mit sich, wenn Forschende Sicherheitslücken in den Systemen der virtuellen Währungen finden. Teils ist unbekannt, wer die Systeme betreibt, ob sie von bekannten Sicherheitslücken betroffen sind und ob notwendige Sicherheitsupdates erfolgen. Wie lange es dauert, bis bekannte Sicherheitslücken in verschiedenen Kryptowährungen geschlossen wurden, haben Forschende um Prof. Dr. Ghassan Karame von der Ruhr-Universität Bochum untersucht.
Das Mitglied des Exzellenzclusters CASA – Cybersecurity in the Age of Large-Scale Adversaries berichtet über die Ergebnisse im Wissenschaftsmagazin der Ruhr-Universität Rubin.
44 schwerwiegende Sicherheitslücken im Test
Der Quellcode der wohl bekanntesten Kryptowährung Bitcoin ist frei im Internet verfügbar. Wer mag, kann ihn kopieren und seine eigene Kryptowährung an den Start bringen. Auf diese Weise entstanden zahlreiche Abwandlungen von Bitcoin, die unter dem Begriff Altcoins zusammengefasst werden. Sicherheitslücken, die im Bitcoin-Code gefunden werden, betreffen in der Regel auch den Code der Altcoins. Zusammen mit Kolleginnen und Kollegen untersuchte Ghassan Krame, wie verschiedene Kryptowährungen mit 44 der schwerwiegendsten Netzwerk-Sicherheitslücken umgegangen sind, die in den vergangenen Jahren dokumentiert wurden.
Dazu zählte auch eine Schwachstelle, die Karame selbst 2015 mit Kooperationspartnern aufgedeckt hatte. „Damals haben wir gezeigt, dass wir den Informationsfluss im gesamten Bitcoin-System zum Erliegen bringen könnten, wenn wir Kontrolle über einige Dutzend Laptops im System besitzen würden“, beschreibt der Leiter des Lehrstuhls Information Security.
Viele Kryptowährungen brauchen Monate oder Jahre, um Schwachstellen zu beheben
Mit einem speziell für diesen Zweck entwickelten Tool bestimmten die Forschenden näherungsweise die Zeit, die verschiedene Kryptowährungen brauchten, um die oben beschriebene Sicherheitslücke zu schließen. „Um es kurz zu machen: Die Ergebnisse waren schockierend“, so Ghassan Karame. Während Bitcoin die Sicherheitslücke in nur sieben Tagen behob, brauchte Litecoin beispielsweise 114 Tage, Dogecoin 185 Tage und Digibyte fast drei Jahre. „Drei Jahre, in denen man mit einigen Dutzend Laptops das gesamte System dieser Kryptowährung zum Zusammenbruch hätte bringen können“, unterstreicht Karame.
Auch bei der Analyse anderer Sicherheitslücken ergab sich stets das gleiche Bild: Bei vielen Altcoins dauerte es eine drei- oder gar vierstellige Anzahl von Tagen, bis die Fehler behoben waren.
Warum die Analyse besonders aufwendig war und was Ghassan Karame Nutzerinnen und Nutzern von Kryptowährungen rät, lesen Sie in Rubin.
Ausführlicher Artikel im Wissenschaftsmagazin Rubin
Einen ausführlichen Beitrag zum Thema finden Sie in der Sonderausgabe des Wissenschaftsmagazins Rubin zum Thema IT-Sicherheit unter https://news.rub.de/wissenschaft/2023-03-28-kryptowaehrungen-verteilte-verantwor.... Für redaktionelle Zwecke dürfen die Texte auf der Webseite unter Angabe der Quelle „Rubin – Ruhr-Universität Bochum“ sowie Bilder aus dem Downloadbereich unter Angabe des Copyrights und Beachtung der Nutzungsbedingungen honorarfrei verwendet werden. Rubin kann als Printmagazin oder als Newsletter kostenlos abonniert werden (https://news.rub.de/rubin).
Termin
Ghassan Karame steht bei der Jubiläumsfeier des Horst-Görtz-Instituts am 10. Mai 2023 zwischen 14 und 15 Uhr für Gespräche mit Medienschaffenden zur Verfügung. Weitere Informationen: https://news.rub.de/presseinformationen/hochschulpolitik/2023-04-27-einladung-di...
Prof. Dr. Ghassan Karame
Information Security
Fakultät für Informatik
Ruhr-Universität Bochum
Tel.: +49 234 32 24284
E-Mail: inf-infsec@ruhr-uni-bochum.de
Sebastien Andreina, Lorenzo Alluminio, Giorgia Azzurra Marson, Ghassan Karame: Estimating patch propagation times across (blockchain) forks. Eine Version des Preprints wird erscheinen in: Proceedings of Financial Cryptography and Data Security, 2023, Download Preprint: https://arxiv.org/pdf/2205.07478.pdf
Bitcoin zählt zu den bekanntesten Kryptowährungen. Der Quellcode ist frei verfügbar im Internet – un ...
Michael Schwettmann
Michael Schwettmann
Ghassan Karame leitet an der Ruhr-Universität Bochum den Lehrstuhl Information Security.
Michael Schwettmann
Michael Schwettmann
Criteria of this press release:
Journalists
Information technology
transregional, national
Research results, Scientific Publications
German
Bitcoin zählt zu den bekanntesten Kryptowährungen. Der Quellcode ist frei verfügbar im Internet – un ...
Michael Schwettmann
Michael Schwettmann
Ghassan Karame leitet an der Ruhr-Universität Bochum den Lehrstuhl Information Security.
Michael Schwettmann
Michael Schwettmann
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).