Letzte Woche wurde festgestellt, dass bestimmte Nutzer der unabhängigen Seite MyDashWallet durch einen Hacker kompromittiert wurden, wobei die Private Keys der Nutzer an einen externen Server versandt wurden. Nach Aufdeckung der Sicherheitslücke halfen Mitglieder der Dash Core Group den Entwicklern der Seite bei der Behebung des Problems.
[tweet https://twitter.com/Dashpay/status/1149800258399961088 align=’left’] Der Hack wurde dadurch ermöglicht, dass auf die neueste Version einer Codebasis verwiesen wurde, die selbst kompromittiert wurde. Aus Sicherheitsgründen sollte jeder, der eine Wallet über MyDashWallet zwischen dem 13. Mai 2019 und dem 12. Juli 2019 erstellt hat, seine Gelder sofort an eine sichere Adresse versenden:
„MyDashWallet wurde im April 2018 so angepasst, dass ein externes Skript von der Seite GreasyFork geladen wurde. Dies ist zwar kein ungewöhnliches Vorgehen, es gibt jedoch sicherere Methoden, um das selbe Ziel zu erreichen. Dieses Skript wurde am 13. Mai 2019 durch einen Hacker kompromittiert, der sich Zugang zu dem Account des Skriptautors Jixun Moe verschafft hatte. Durch diese Änderung des Skripts wurden die Private Keys mancher Nutzer an einen externen Server verschickt. Diese Tatsache wurde am 12. Juli 2019 festgestellt, nachdem der Hacker die Private Keys dazu verwendet hatte, Nutzergelder zu stehlen. MyDashWallet wird nicht von der Dash Core Group entwickelt und das Dash-Netzwerk selbst ist nicht von diesem Problem betroffen.“
Philipp Engelhorn und Leon White schrieben im Dash-Forum, dass die Lücke unentdeckt geblieben war, da der Code nicht genügend überprüft worden war. In Zukunft sollen alle Codes, die mit Private Keys umgehen, gründlicher überprüft werden, bevor diese zum Speichern von Benutzergelder verwendet werden. Außerdem sollten Nutzer sich zunehmend Hardware Wallets zuwenden, da dies den Sicherheitsstandards der Krypto-Industrie entspricht.
Dash Core Group warnt Nutzer und hilft dabei, die Situation zu entschärfen
Die Dash Core Group hilft Nutzern dabei, das Risiko, Opfer einer derartigen Schwachstelle zu werden, zu minimieren, indem der Code nicht nur Open Source veröffentlicht wird, sondern auch strengen Qualitätsprüfungen entspricht. Schwachstellen von Drittanbietern spielen bei Open Source Projekten eines der größten Risiken dar, da es einfach möglich ist den Code zu verändern und eigene Anwendungen zu implementieren. Open Source hat aus dem gleichen Grund aber auch den Vorteil, dass jeder den Code lesen kann, wodurch es leichter ist, Schwachstellen zu finden, die bei privatem Code nicht aufgedeckt würden.
Außerdem hilft die Dash Core Group dabei, eine Lösung für das Problem zu finden und Informationen zu sammeln, die Strafverfolgungsbehörden zur Verfügung gestellt werden können, wie dies auch Michael Seitz im Dash Forum betonte. In diesem Sinne ist es als positiv zu sehen, dass die Dash Entwickler auch anderen dabei helfen, Probleme zu lösen, die nicht direkt mit der Dash-Blockchain, aber dafür mit der weiteren Dash-Community, zusammenhängen.
Warum Verbraucherbildung für dezentrale Systeme essentiell ist
Kryptowährungen werden in den meisten Fällen Open Source und dezentralisiert entwickelt. Dies bedeutet zwar, dass unerwünschte Zugriffe stattfinden können, diese können aber auch schneller entdeckt oder sogar vorher unterbunden werden. Hierzu ist es auch notwendig, dass sich der Benutzer bildet und sich solider Software zuwendet, da er sonst fehlerhafter Software oder sogar regelrechten Betrügereien zum Opfer fallen kann.
