This post is also available in: enEnglish

Auf Twitter wies ein Nutzer auf einen Fehler im Litecoin-Code hin, den er vor fast einem Jahr entdeckt hatte und der seitdem noch nicht behoben wurde. Dieser Umstand weist darauf hin, wie wichtig es ist, ein Entwicklerteam zu haben, das seiner Arbeit in Vollzeit nachgehen kann.

Der Nutzer @oasace wies darauf hin, dass er einen Stack Trace Disclosure Bug in der „Litecoin Litecore Implementation (insight-lite-api)“ entdeckt hätte, welche von den Litecoin-Entwicklern unterhalten wird. Doch bisher wurde der Fehler noch nicht behoben und könnte noch ausgenutzt werden:

„Durch das Senden von Post-Anfragen an verschiedene API-Endstellen kann es dazu kommen, dass der Stack-Trace gesendet wird, wodurch ein Angreifer Informationen erhalten könnte, die er dazu Nutzen könnte einen gezielteren Angriff auf das Zielsystem durchzuführen.“

Dieser Bug ist nicht sonderlich schwer, da durch ihn nur Informationen geleakt werden, die Guthaben der Benutzer aber nicht in direkter Weise betroffen sind. Hierdurch war der Bug wohl von den Entwicklern vernachlässigt und nicht gefixt worden.

Anreize zur Fehlersuche schaffen

Kryptowährungen leiden, wie jede andere Art von Software, unter Bugs, doch das gute an Open-Source ist, dass sich jeder an der Suche danach beteiligen kann und die Community auch dabei mithilft den Fehler zu beheben. Manche dieser Entwickler sehen dies als freiwillige Hilfe zur Förderung des Netzwerks an, die besonders durch das eigene Investment als sinnvoll erscheint. Eine Kryptowährung, die hierüber noch einen Schritt hinausgehen möchte, kann auch in eine Bug-Bounty investieren, durch die Programmierer von Außerhalb ein finanzielles Interesse daran entwickeln können, sich ein Projekt genauer anzusehen. Dies zieht Programmierer an, die einen unabhängigen Blick mit sich bringen, wodurch schlechter Code schneller gefunden und dadurch auch schneller geändert werden kann.

Dash finanziert durch die Dash DAO Treasury ein Bug-Bounty-Programm über Bugcrowd, bei dem bisher 11 Fehler gefunden werden konnten. Dies spart den eigentlichen Dash-Entwicklern sehr viel Arbeit, die sie in das Entwickeln neuer Technologien stecken können. Bei der Dash Copay Wallet wurden z.B. Lücken gefunden, durch die Nutzer-Informationen nach Außen leaken konnten, wobei hierdurch ebenfalls keine Nutzerguthaben in Gefahr geraten wären. Der Fehler wurden zudem bereits auf dem Testnetz entdeckt. Der Fehler findet sich auch in der Bitcoin-Version der Wallet. Ein Fehler, der schon Jahre zurückliegt ist am Beginn der Kryptowährung Dash zu finden, als sehr viele Blöcke schnell hintereinander veröffentlicht wurden. Hierbei handelt es sich um einen Fehler, der aus dem Litecoin-Code übernommen worden war.

Dash setzt Anreize für das korrekte Management des Codes

Dash möchte digitales Bargeld sein, das im Alltag verwendet werden kann. Darum möchte es den Bedürfnissen der Kunden und Händler gerecht werden. Hierfür ist auch eine ständige Überprüfung der Codebase notwendig. Diese Herausforderung, vor der alle Kryptowährungen stehen, kann Dash deswegen besonders gut meistern, da außenstehende Entwickler und Bug-Jäger durch das Treasury-Budget bezahlt werden können. Freiwillige und unentgeltliche Hilfe ist zwar etwas sehr gutes, doch bezahlte Entwickler können sich besser auf ihre Aufgabe konzentrieren, da sie sich nicht extern um die Beschaffung des Lebensunterhalts kümmern müssen. Auch die Finanzierung durch Dritte kann Risiken mit sich bringen, da ein Projekt hiermit an bestimmte Investoreninteressen gebunden ist, die anderen Mitgliedern der Community unter Umständen nicht entgegenkommen. Dash vermeidet diese Interessenskonflikte dadurch, dass es seine Entwickler selbst finanzieren kann.