Technical analysis & news on Blockchain & Cryptocurrencies | Coincronica
Nachrichten

Chinesisches Cybersecurity-Unternehmen findet kritische Sicherheitslücken in EOS Blockchain

Qihoo 360, ein chinesisches Cybersecurity-Unternehmen, fand vor kurzem mehrere Schwachstellen in EOS‘ Blockchain und Smart-Contract-Plattform. Dies kam nur wenige Tage bevor der geplanten Veröffentlichung des EOS‘ Mainnet am 02. Juni. Laut der Firma könnten die aufgedeckten Schwachstellen zu kompletter Kontrolle von Kryptowährungs-Transaktionen führen.

Yuki Chen vom Qihoo 360 Vulcan Team und Zhiniang Peng vom Qihoo 360 Core Security Team fanden Schwachstellen in EOS, als sie eine WASM-Datei analysierten. WebAssembly (Wasm, WA) ist ein Webstandard, der ein Binärformat und ein entsprechendes ähnliches Textformat für ausführbaren Code in Webseiten definiert. Es ermöglicht die Ausführung von Code fast so schnell wie das Ausführen von nativem Maschinencode. Die Forscher waren in der Lage, eine Out-of-Bounds-Write-Schwachstelle erfolgreich auszunutzen. Hacker könnten diese Sicherheitslücke nutzen, indem sie einen schädlichen Smart-Contract auf den Nodes-Server hochladen und nachdem der Vertrag von den Nodes-Servern analysiert wurde, könnten die schädlichen Nutzdaten auf dem Server ausgeführt werden und Hacker könnten die Kontrolle über den Server übernehmen. Danach könnte dieser Angreifer den schädlichen Smart-Contract in einen neuen Block packen und alle Noden des EOS-Netzwerks weiter kontrollieren.

Qihoo 360 berichtete EOS von dieser Schwachstelle. Das folgende Bild beschreibt den Ablauf der Entdeckung dieser Schwachstelle.

eos-node-remote-code-execution-vulnerability

Der CTO von EOS, Daniel Larimer, erklärte, dass das Unternehmen die Schwachstellen berichtigen würde bevor das Mainnet veröffentlicht werde. Er bat die Forscher den Schwachstellen-Bericht ihm privat zuzusenden.

conversation-between-CTO-and-researchers

 Was ist EOS?

Laut dem Whitepaper des Projekts handelt es sich bei EOS um eine neue Blockchain-Architektur, die horizontale und vertikale Skalierbarkeit für dezentralisierte Anwendungen ermöglicht. Die Software bietet Konten, Authentifizierung, Datenbanken, asynchrone Kommunikation und die Planung von Anwendungen über viele CPU-Kerne oder Cluster hinweg. Die sich daraus ergebende Technologie ist eine Blockchain-Architektur, die sich letztendlich auf Millionen von Transaktionen pro Sekunde skalieren, Benutzergebühren vermeiden und eine schnelle und einfache Bereitstellung und Wartung dezentraler Anwendungen im Kontext einer kontrollierten Blockchain ermöglichen kann.

In der Zwischenzeit hat Larimer eine Bug-Bounty auf Twitter angekündigt, um Programmierern  zu helfen, noch vorhandene Schwachstellen vor der Version 1.0 der Software zu patchen.

Related posts

Die Maker DAO: Ein Modell für dezentrale Stablecoins – und eine nachhaltige Ökonomie der Token

Kathrin Jung

10 Jahre Bitcoin-Whitepaper: Geschichte geht auf leisen Sohlen

Kathrin Jung

Bitcoin.de aktiviert SegWit – Kunden sparen Gebühren

Kathrin Jung

Leave a Comment