Wegen eines Flüchtigkeitsfehlers im öffentlichen Code der Wallet-Software von Parity Technologies, den die Entwickler monatelang nicht entdeckten, haben Nutzer mehr als 26 Millionen Euro verloren. Ein Startup wurde um 7,8 Millionen Euro erleichtert.

Parity Technologies warnt vor einem Programmierfehler, der Anwender des beliebten Ethereum-Wallets der Firma viel Geld kosten kann. Der Fehler war aufgefallen, weil Unbekannte ihn missbraucht hatten, um verschiedene Nutzer des Wallets um insgesamt 150.000 ETH (aktueller Gegenwert: 26,8 Millionen Euro) zu erleichtern. Darüber hinaus waren wohl noch weitere 377.000 ETH (67,4 Millionen Euro) in Gefahr, die von einer Gruppe von "White Hats" in Sicherheit gebracht wurden. White Hats nennt man im Hacker-Jargon Mitglieder der Hacker-Community, die ihr Können für gute Zwecke einsetzen.

Winziger Fehler, katastrophale Wirkung

Der Bug befindet sich in einem eingebauten Multisig-Vertrag der Wallet-Software. Wegen eines nicht gesetzten Flags werden so Details des Smart Contracts öffentlich, die eigentlich geheim bleiben sollten (siehe Punkt C6 in dieser Liste von häufigen Fehlern beim Schreiben von Ethereum-Contracts). Das führt dazu, dass Unbefugte das in bestimmten Wallets verwahrte Ethereum auf eigene Konten umleiten können. Betroffen sind alle Versionen des Parity Wallets ab Version 1.5 – der Quellcode der Entwicklungsversion enthält bereits einen Patch.

Die "White Hat Group", die gefährdete ETH-Reserven auf ein Rettungs-Wallet umgeleitet hatte, verspricht, das Geld zurückzuzahlen. Dafür wollen sie für jeden betroffenen Nutzer ein neues Multisig-Wallet anlegen, dass die selben Einstellungen wie das ursprüngliche, verwundbare Wallet hat. Allerdings ohne den fatalen Fehler, der zum Klau des Ethereums missbraucht werden kann. Immerhin scheinen nur Multisig-Wallets betroffen zu sein, also solche, bei denen Transaktionen mit mehreren Signaturen bestätigt werden müssen.

2000+ line changeset containing critical code merged w/out security review or formal signoff, 1 person commenting. Maybe not best practices https://t.co/a3oLApX41Y — Arkadiy Kukarkin (@parkan) July 19, 2017

Mehrere Sicherheitsforscher und andere Beobachter kritisieren Parity wegen des Bugs heftig. Zwar handelt es sich dabei nicht um eine klassische Sicherheitslücke sondern eher um einen einfachen Flüchtigkeitsfehler im Code, was allerdings nichts an den verheerenden Folgen des Problems ändert. Entsprechende Quellcode-Änderungen müssten von mehreren Entwicklern geprüft werden, kommentieren Beobachter aus der Security-Community auf Twitter und anderen sozialen Netzwerken. Das sei hier offensichtlich nicht passiert. Außerdem war die Lücke mehrere Monate im Quellcode, ohne dass sie gefunden wurde.

Harte Zeiten für Ethereum-Millionäre

Einer der Opfer des virtuellen Bankraubs ist das Startup Swarm City. Die Firma hat nach eigenen Angaben ETH mit einem Gegenwert von über 7,8 Millionen Euro verloren. Und dabei handelt es sich bei dem Diebstahl nicht mal um den ersten ETH-Klau diese Woche. Am Montag stahlen Unbekannte umgerechnet rund 7,6 Millionen Euro beim Ethereum-Projekt Coindash, indem sie deren Webseite manipulierten. (fab)