Letztes Wochenende sendete ein Unbekannter eine ganze Menge E-mails an einen Journalist von tangleblog, welcher diese dann auf Twitter veröffentlichte. Bei den E-mails handelt es sich um Korrespondenz zwischen IOTA-Programmierern und Wissenschaftlern des MIT-Ablegers ‘Digital Currency Initivative’ (DCI). Die E-mails stellen die monatelange Konversation zwischen David Sønstebø und Sergey Ivancheglo von IOTA sowie Ethan Heilman und Neha Narula vom DCI dar. In der E-mail-Kette ging es um eine angebliche Schwachstelle in IOTA’s System.
Um was handelt es sich bei der angeblichen Schwachstelle?
Wie wir alle wissen handelt es sich bei IOTA um einen öffentlichen Ledger ohne Chains, Blöcke oder Gebühren. IOTA steht für ‘Internet of Things Application’ und anstelle einer Blockchain nutzt es eine neue Technologie, die ‘Tangle’ genannt wird. IOTA’s Währung heißt MIOTA. In IOTA’s Github-Repositories fanden die Wissenschaftler eine ernstzunehmende Schwachstelle – Die IOTA Programmierer entwickelten ihre eigene Hash Funktion namens Curl, welche Kollisionen verursacht, wenn verschiendene Inputs zum gleichen Output hashen. Eine Hash Funktion ist ein mathematischer Algorithmus, welcher Daten von arbiträrer Größe mit einem Bit String mit einer festgelegten Größe (der Hash) verknüpft. Dies wurde als Einweg-Funktion entwickelt. Die Wissenschaftler waren in der Lage Kollisionen mit Alltags-Hardware in nur wenigen Minuten zu finden und die Authorisierungs-Unterschriften für Transaktionen dadurch zu fälschen. Darauffolgend informierten sie die IOTA Programmierer welche Ihr System umgehend patchten. Der Schwachstellen-Bericht von den Wissenschaftlern kann hier nachgelesen werden.
Der E-mail Leak
Der E-mail Leak zeigte die Antwort der IOTA Entwickler zu einem schwerliegenden Fehler in ihren Kryptographischen Blöcken. Die Konversation endete als Sergey Ivancheglo, Gründer von IOTA, einem Mitglied der Boston University security group mit rechtlichen Schritten drohte. Dadurch riefen viele Cyber-Security Experten und Kryptografen dazu auf das IOTA-Projekt zu denunzieren. Nach der Veröffentlichung des Leaks empfahlen einige Kryptografen und Cyber-Security-Forschern Investoren den Besitz von IOTA zu vermeiden. Sie sagten auch zu anderen Forschern, dass diese nicht zusammenarbeiten sollten um die Sicherheit des IOTA-Systems zu verbessern.
Es gibt viele in der Cyber-Security Community die denken, dass das IOTA-System, welches zurzeit auf einen zentralen ‘Coordinator’ beruht, nicht so dezentralisiert ist wie es sich darstellt. Rick Dudley, ein Blockchain Experte erklärt: “Was sie gemacht haben ist, dass sie ein paar technische Informationen zusammengefasst haben, welche allerdings nur einen Teil des Systems darstellen. Der Rest des Systems ist geheim. Dies wird in der Blockchain-Industrie als stark Anti-Ethisch gesehen.”
What complete nonsense. No one copied IOTA because it's trash, not because of an intentional weakness coded into the system. If someone copied the flaw, you exploited, they patched and kept going, then what? What kind of security is that?
— Rick Dudley (afdudley.eth) (@AFDudley0) January 15, 2018
IOTA’s Stellungsnahme zu den geleakten E-mails ist wie folgt:
“Wir bleiben zu 100% der Transparenz unserer Community verpflichtet und begrüßen eine konstruktive Diskussion von Problemen, die das DCI-Team fand. Während 9 von 10 Posts in Sozialen Medien diese Diskussion mit ausgefeilten Diskussions-Punkten führen, sind es die letzten 10% der Posts die ungehobelt ausfallen und am meisten publiziert werden. Wir hoffen, dass wir diese Diskussionen auf eine intelligente & ordentliche Weise führen können und dass diese nicht in hitzigen Internet-Diskussion ausarten.
Es scheint offensichtlich dass IOTA durch ihre Reaktion auf die hingewiesenen Schwachstellen die Unterstütung von Kryptografen und Cyber-Security Experten verloren haben.
Wenn du diesen Artikel nützlich fandest, dann schau dir doch auch mal an, wie man Bitcoins kauft .
Verpass keine wichtigen Nachrichten mehr!
Folge uns auf Twitter, Facebook, Steemit und tritt unserem Telegram News Kanal oder Newsletter bei.
Du würdest diesen Artikel gerne kommentieren? Dann tritt einfach unserer Telegram Diskussions-Gruppe bei.