Wirtschaft

Bug sorgt für Kryptogeld-Diebstahl von 26 Millionen Euro

Bei einigen Dieben hat die Kasse geklingelt: Im öffentlichen Code der Wallet-Software von Parity gab es einen Fehler, der nun ausgenutzt wurde. Gestohlen wurden sage und schreibe 26. Mio. Euro in der Kryptowährung Ethereum – also 150.000 ETH. Ein Startup verlor offenbar durch den Diebstahl 7,8 Mio. Euro. Einige hatten Glück im Unglück, denn White-Hat-Hacker nutzen die Sicherheitslücke ebenfalls aus, um 377.000 ETH (67,4 Millionen Euro) mitzunehmen, sicherten die Währung aber ab, da sie nicht vorhatten die Währung für sich zu behalten. Jene White Hat Group hat versprochen das Geld zurückzugeben. Der brisante Fehler befand sich in einem Multisig-Vertrag. Ein nicht gesetzter Flag ermöglichte Details des Smart Contracts öffentlich einzusehen. Dadurch konnten Unbefugte Ethereum auf eigene Konten umleiten. Betroffen sind alle Varianten des Parity-Walltes ab Version 1.5. In der Entwicklungsversion wurde durch einen Patch bereits nachgebessert.

Betroffen waren offenbar nur Multisig-Wallets, also solche, bei denen Transaktionen mit mehreren Signaturen bestätigt werden. Parity muss nun freilich heftige Kritik einstecken, denn im Grunde handele es sich um einen Flüchtigkeitsfehler im Code, der deswegen auch so leicht auszunutzen war. Es erscheint klar, dass der Quellcode von den Entwicklern nur unzureichend kontrolliert wurde. Zumal die Lücke mehrere Monate im Quellcode ruhte. Besonders hart getroffen hat es nun das Startup Swarm City, die nach eigenen Angaben 7,8 Mio. Euro durch den Diebstahl verloren hat. Zumal diese Woche schon ein anderer Ethereum-Raub für Schlagzeilen sorgte: Beim Ethereum-Projekt Coindash wurden ca. 7,6 Mio. Euro entwendet. Die Diebe gingen dort allerdings anders vor und manipulierten die Website.