idw - Informationsdienst
Wissenschaft
Weil sie Kryptowährungen und Rechte auf einer Blockchain selbständig transferieren können, sind Smart Contracts ein attraktives Ziel für Cyberattacken. Die Arbeitsgruppe von Prof. Dr. Lucas Davi von der Universität Duisburg-Essen (UDE) hat mit einem Technologiepartner eine Lösung zum Schutz dieser intelligenten Verträge entwickelt. Sie stellt „Sereum“ im Februar auf einer der wichtigsten IT-Sicherheitskonferenz in San Diego vor.
Eine Blockchain ist ein virtuelles Register, in dem sämtliche Transaktionen im System aufgezeichnet werden. Sie ist transparent, wird von vielen Computern verwaltet und lässt sich im Nachhinein nicht verändern. Vor allem Smart Contracts eröffnen der Blockchain ein breites Anwendungsfeld. In dieser Software werden vertragliche Regelungen codiert, die nach einer „wenn-dann“-Logik abgewickelt werden: Wird eine Voraussetzung erfüllt, tritt automatisch eine bestimmte Vertragsklausel in Kraft. Dies macht Smart Contracts interessant u.a. für die Finanz-, Versicherungs- und Energiewirtschaft, aber auch fürs Gesundheitswesen und die Produktion.
Allerdings sind Smart Contracts - wie jede Software, die programmiert werden muss - anfällig für Fehler und damit angreifbar. Ein Risiko sind so genannte Reentrancy-Lücken: Hacker könnten hierdurch wiederholt in einen Smart Contract eintreten und beispielsweise immer wieder den gleichen Betrag einer Krypto-Währung abheben, ohne dass der Kontostand aktualisiert wird.
Die Teams von Professor Davi (paluno - the Ruhr Institute for Software Technology) und NEC Laboratories Europe haben gezeigt, dass neuartige Reentrancy-Angriffe die existierenden Tools zur Sicherheitsanalyse umgehen können. Außerdem entwickelten sie mit „Sereum“ eine neue Abwehrmethode. Das Besondere: Sereum lässt sich auf bereits veröffentlichte, eingesetzte Smart Contracts anwenden. Damit adressieren die Forscher eine der größten Herausforderungen beim Schutz von Smart Contracts: die Unveränderlichkeit der Blockchain.
Sereum basiert auf einer Laufzeit-Überwachung. „Während die Smart Contracts ausgeführt werden, werden die Datenflüsse mittels dynamischen Taint-Trackings überwacht“, erklärt Professor Davi. „Inkonsistente Zustände werden automatisch erkannt und verhindert. So lassen sich selbst ausgeklügelte Reentrancy-Angriffe abwehren.“
Die Partner werden die Lösung im Februar 2019 auf dem NDSS Symposium in San Diego vorstellen. Dies ist eine der wichtigsten akademischen IT-Sicherheitskonferenzen weltweit.
Redaktion: Birgit Kremer, paluno, Tel. 0201/18-34655, birgit.kremer@paluno.uni-due.de
Birgit Kremer, paluno, Tel. 0201/18-34655, birgit.kremer@paluno.uni-due.de
Criteria of this press release:
Journalists, Scientists and scholars
Economics / business administration, Information technology
transregional, national
Research results, Transfer of Science or Research
German
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).