­Der 0 Millionen Dollar Raub: Mr. White Hat gibt’s zurück

Kryptowährungen an sich sind riskante Investitionsobjekte – nicht nur aufgrund der Volatilität und der häufigen Scam-Versuche, sondern auch wegen spektakulärer Security Incidents, die hier nicht selten gleichbedeutend sind mit dem Verlust von vielen Millionen Euro bzw. Dollar.

Umso wilder geht es bei „#Defi“ zu: „Decentralized Finance“ ist die nächste Entwicklungsstufe der „Kryptos“ und verbindet mehrere Blockchains zu größeren Netzwerken.

Hier konnte ein unbekannter Angreifer – später durch das bestohlene Poly-Netzwerk „Mr. White Hat“ getauft – umgerechnet 610 Millionen US-Dollar auf eigene Adressen in verschiedenen Kryptowährungen abzweigen. Dabei nutzte er einige spannende Designfehler von Poly aus. Insbesondere wurden Hashes nicht exakt genug geprüft.

Nach anfänglichem Betteln um Rückgabe der Beute schwenkte Poly bald um und bot dem Angreifer den Job als Sicherheitsberater an. Zwar scheint das Jobangebot im engeren Sinn nicht angenommen worden zu sein, aber das Geld wurde doch Stück für Stück zurückgebracht, ohne die Identität von Mr. White Hat zu enthüllen.

Sollte es wirklich seine bzw. ihre Absicht gewesen sein, auf Sicherheitslücken in #Defi bzw. Poly hinzuweisen – es wäre spektakulär gelungen.

https://threatpost.com/poly-network-recoups-610m-stolen-from-defi-platform/168906/

Proof of Does Not Work? E-Voting unsicher – „trotz“ Blockchain

Bei demnächst anstehenden Wahlen zum Moskauer Stadtparlament soll ein neues System zum Einsatz kommen, welches eine Wahlbeteiligung via Privatrechner und Smartphone erlaubt. Die Software, welche als erste ihrer Art produktiv eine Blockchain(!) einsetzt, um die Integrität der Daten zu sichern, wurde nun von Wissenschaftlern des französischen nationalen Forschungsinstituts für digitale Wissenschaften INRIA auseinandergenommen. Eine kritische Schwachstelle in der eingesetzten Kryptographie erlaubt es jedem, der an eine Kopie der verschlüsselten Daten gelangt, die Wahlentscheidungen aller teilnehmenden Bürger mit einem handelsüblichen Rechner innerhalb von 20 Minuten zu entschlüsseln. Schuld ist eine schlechte Parameterwahl – zu kurze Schlüssel – bei der verwendeten Variante des El-Gamal-Verschlüsselungsschemas.

Noch ist nicht klar, wie leicht es ist, ausreichend Daten aus der in Teilen genutzten öffentlichen Ethereum-Blockchain zu gewinnen oder aber aus Komponenten des Systems selbst zu stehlen. Die Forschung wirft jedoch grundlegende Fragen auf, die sich alle E-Voting-Systeme, wie sie auch im Westen immer wieder diskutiert werden, stellen lassen müssen:

Selbst wenn „nur“ das Wahlgeheimnis in Gefahr ist, also keine direkte Manipulation des Wahlergebnisses über Schwachstellen möglich wäre – was angesichts des eklatanten handwerklichen Fehlers sowie grundsätzlicher Überlegungen der Grenzen der Security unwahrscheinlich erscheint: Wie hoch ist das Interesse politischer Akteure, über die gewonnenen Informationen mindestens ihren Wahlkampf zu perfektionieren – oder aber sogar politischen Druck auszuüben?

Und vor allem: Wie schwer wiegt der Effizienz- und Coolheits-Gewinn elektronischer Wahlen gegenüber den Risiken? Digitale Wahlen sind noch viel schwerer zu beobachten und zu auditieren als solche auf Papier. Die Wahlbeteiligung ließe sich auch mit anderen Mitteln steigern, wenn dies ernsthaft gewünscht ist.

In einem gewissen Sinn lässt Moskau ein großes Experiment laufen, wenn am 8. September für 12 Stunden das Blockchain-Online-E-Voting freigeschaltet wird. Wir sollten es sehr genau studieren.

https://www.zdnet.com/article/moscows-blockchain-voting-system-cracked-a-month-before-election/