Back to home
Nachrichten

Offizielle Erklärung zum CoinMetrics-Bericht

enEnglish (Englisch)

Die offizielle Meldung im Wortlaut

Am 23. Dezember 2018 veröffentlichte CoinMetrics einen Artikel, in dem es um eine aktuelle Entdeckung bezüglich der Bitcoin Private Fork ging.

Dem Bericht zufolge wurde festgestellt, dass während des Fork-Minings eine große Menge von Bitcoin Private Coins (etwa 2 Millionen BTCP) erzeugt wurden.

Btcp.de: Das Fork-Mining war ein einmaliger Vorgang zum Zeitpunkt der Fork, für den ein spezieller Software-Code verwendet wurde.

Btcp.de: Die Bitcoin Private Blockchain sieht -wie die Bitcoin Blockchain- maximal 21 Millionen Coins vor. Mit den illegalen Coins würde diese Grenze überschritten werden, was im krassen Konflikt mit dem Basiscode steht.

Nach der Veröffentlichung des Artikels haben unser Core-Team Entwickler sofort eine Untersuchung eingeleitet, um festzustellen, ob die angeblichen Erkenntnisse bezüglich einer zusätzlichen Menge von BTCP-Münzen zutreffen.

Es sei darauf hingewiesen, dass das BTCP-Beitragsteam keine Vorkenntnisse über diese Berichte hatte, bevor sie der Öffentlichkeit zugänglich gemacht wurden.

Nach der Durchführung unserer eigenen Sorgfaltspflicht kann Bitcoin Private offiziell mit Sicherheit sagen, dass diese Befunde mathematisch korrekt sind.

Btcp.de: Die 2 Millionen illegale Coins existieren tatsächlich. Sie liegen auf einer verschlüsselten Adresse.

Zu diesem Zeitpunkt ist die Quelle, der Zweck und der Empfänger dieses Exploits dem Beitragsteam von Bitcoin Private derzeit jedoch nicht bekannt.

Was ist wirklich passiert?

Nachfolgend ist ein genauer Zeitplan für die Ereignisse im Zusammenhang mit dem zugrunde liegenden Problem aufgeführt, der im Bericht von CoinMetrics dargelegt ist:

  1. Es wurde für eine bestimmte Programmier-Aufgabe eine Prämie ausgelobt und veröffentlicht, die hier zu sehen ist: https://github.com/BTCPrivate/BitcoinPrivate/issues/3
  2. Ein Entwickler akzeptierte die Prämie und wurde ein BTCP-Entwickler. Er wurde zum Mitwirkenden am GitHub befördert, so dass er Pull-Requests zusammenführen konnte.

    Btcp.de: Mit Pull-Requests kann man andere über Änderungen informieren, die man in ein GitHub-Repository verschoben hat. Sobald ein Pull-Request gesendet wurde, können interessierte Parteien den Änderungssatz überprüfen, mögliche Änderungen besprechen und bei Bedarf Folgeverpflichtungen vorantreiben.
  3. Der Entwickler erledigte die Sache, führte seinen eigenen Code zusammen und erhielt seine Prämie. Es fehlte aber eine Codezeile, die es ermöglicht, das Mining während der Fork auszunutzen, da die Knoten die gefälschten Fork-Blöcke nicht richtig überprüfen. Der Code ist hier zu finden und wurde am 5. Januar 2018 https://github.com/BTCPrivate/BitcoinPrivate/pull/27/files#diff-7ec3c68a81efff79b6ca22ac1f1eabbaR3363 zusammengeführt. Die fehlende Zeile des Codes ist wie folgt: | | | tx.vout.size () > 1. Das haben wir nach der Veröffentlichung des CoinMetrics-Berichts festgestellt.
  4. Nach Erhalt der Prämie hörte der betreffende Entwickler auf, am BTCP-Projekt zu arbeiten. Das Beitragsteam hat seit Januar nichts mehr von ihm gehört. Wir haben ihn zur Stellungnahme aufgefordert.
  5. Während der öffentlich angekündigten Fork hat ein böswilliger Akteur diesen Softwarefehler ausgenutzt und 2 Millionen illegale Münzen geschaffen. Es blieb dem Beitragsteam unbemerkt, bis es von CoinMetrics aufgedeckt wurde.
  6. Coinmetrics merkte, dass etwas mit dem umlaufenden Münzen nicht stimmt. Sie untersuchen und entlarven den Exploit.
  7. Das BTCP-Beitragsteam beginnt seine eigene Untersuchung, um den böswilligen Akteur aufzudecken und um den besten Weg zu finden, voranzukommen.
  8. Das BTCP-Beitragsteam beantragte, Einzahlungen und Auszahlungen auf Börsen zu schließen, die BTCP handeln.

Der grundlegende Vorteil der Open-Source-Entwicklung besteht darin, dass die Mitwirkenden der Community in der Lage sind, den Code zu sehen und zu beheben. Dies funktionierte zu Gunsten von Bitcoin Private, als ein bestimmter Entwickler einen Exploit in unserem Code entdeckte, der es jedem erlaubt hätte, die SegWit-Münzen zu minen, die wir innerhalb von 24 Stunden patchen konnten. Leider hat die Entwicklung von Open Source aber auch negative Eigenschaften: Die Person, die die Verwundbarkeit des Fork-Minings entdeckt hat, hat in böser Absicht gehandelt und sich absichtlich entschieden, den Fehler nicht zu melden. Da der Code Open Source war und das Fork-Mining auf Twitter bekanntgegeben wurde, hätte jeder, der über genügend Blockchain-Entwicklungswissen verfügt, ihn ausnutzen können.

Softwarefehler sind etwas, mit dem wir uns im Laufe des Monats Februar vor der Fork intensiv befasst haben. Ein Großteil der im Januar durchgeführten Codearbeit wurde von Open-Source-Entwicklern durchgeführt, die ihren Code schrieben, ihre Prämie kassierten und anschließend das Bitcoin Private Development Team verließen. Nachdem Ende Januar in Vorbereitung auf die BTCP-Fork eine umfangreiche Codeüberprüfung durchgeführt wurde, wurden eine Reihe von Fehlern aufgedeckt und behoben, bevor die Fork im besten Interesse des Schutzes von Community-Mitgliedern und dem Projekt selbst auftrat. Ein solcher Fehler, der behoben wurde, war ein ernstes Problem, das innerhalb des ursprünglichen 2-Wege-Wiedergabeschutzcodes gefunden wurde, der Wochen brauchte, um ihn zu beheben. Während wir bedauern, dass alle Fehler in Bitcoin privaten Quellcode nicht vor der Fork entdeckt wurden, sind technologische Instanzen wie diese in diesem Space üblich, und es ist bedauerlich, dass der Fehler nicht rechtzeitig behoben wurde, trotz der sorgfältigen Bemühungen, die von der gesamten Bitcoin Private Entwicklungsgemeinde angestrengt wurden.

Das Schlechte

Unwissend von Bitcoin Private wurden etwa zwei (2) Millionen BTCP-Münzen geschaffen, die auf der Blockchain nie existieren sollten, und diese wurden auf eine abgeschirmte Adresse verschoben. Laut CoinMetrics wurden bis zu 300.000 illegitime BTCP von dieser Adresse abgezogen, obwohl es zu diesem Zeitpunkt unklar ist, ob diese Münzen an eine Handelsplattform geschickt oder an anderer Stelle gespeichert wurden.

Das Gute

Obwohl es für einen solchen Fehler nicht vorteilhaft ist, konnte dieser besondere Exploit im Fall von Bitcoin Private nur während dem Fork-Mining genutzt werden, die bereits Anfang dieses Jahres aufgetreten ist. Daher ist es unmöglich, dass diese spezielle Ausnutzung des Fehlers wieder auftaucht, und er kann auch nicht weiter ausgenutzt werden.

Wer hat es getan?

Da das Fork-Mining öffentlich war, hätte jeder, der ein ausgeklügeltes Wissen über die Blockchain-Entwicklung hat, den Code-Bug ausnutzen können. An dieser Stelle können wir nur sicher sein, dass das BTCP-Beitragsteam erst über den Exploit wusste, als dieser von CoinMetrics aufgedeckt wurde.

Wir haben HitBTC über die Situation kontaktiert und hoffen, dass der böswillige Akteur entlarvt wird. Das CoinMetrics-Team wurde in diese E-Mail aufgenommen, um die volle Transparenz zu gewährleisten. Wir hoffen, dass wir mit ihrer forensischen Expertise in der Blockchain in der Lage sein werden, den böswilligen Akteur zu finden, sie zu entlarven und den zuständigen Behörden zu melden. Wenn von CoinMetrics für sachdienlich gehalten, sind wir bereit, uns mit allen Börsen in Verbindung zu setzen, um in dieser Sache schnell alle Antworten zu finden.

Was können wir sonst tun?

Solange es diese Münzen gibt, haben wir Optionen, das Problem zu beheben. Wir haben zwei mögliche Pläne vorgelegt und möchten gerne ein Feedback der Community zu den Optionen hören:

  1. CoinMetrics hat erklärt, dass sie glauben, dass weniger als 20k legitime BTCP-Münzen in abgeschirmten Adressen existieren, zusammen mit 1,7 – 1,8 Millionen illegitime Münzen. Unser Team favorisiert die Option, die Fork zu straffen und alle abgeschirmten Münzen aus der Existenz zu entfernen. Dies würde zwar dazu führen, dass die 20k legitimen Münzen verschwinden, aber wir sind der Meinung, dass dies der Alternative vorzuziehen ist, die 1,7 – 1,8 Millionen illegitime Münzen im Umlauf zu lassen. Damit würde auch das Problem der Überversorgung behoben.
  2. Wir könnten eine Hard-Fork durchführen, um alle unbewegten Münzen zu entfernen, die wir für zahlenmäßig größer als 12 Millionen BTCP halten. Damit würde das Problem der umlaufenden Münzenmenge behoben, aber die unrechtmäßigen Münzen nicht beseitigt.

WIR BEABSICHTIGEN, MIT DEM CODING DER OPTION #1 SOFORT ZU BEGINNEN. Wenn wir von der Community einen Konsens darüber sehen, mit dieser Option voranzukommen, dann wird die Hard-Fork so schnell wie möglich koordiniert und eingeleitet. Es ist möglich, dass der böswillige Akteur damit beginnen könnte, diese Münzen aus dem abgeschirmten Pool zu bewegen, um ihre Zerstörung zu vermeiden. Im schlimmsten Fall könnten wir kurz vor dem Absetzen der 1,7 Millionen Münzen eine Momentaufnahme der Kette verwenden und die Kette in die Vergangenheit zurückrollen. Wir hoffen, dass wir das nicht tun müssen, aber werden die Kette weiter überwachen. In der Zwischenzeit bitten wir darum, dass alle Börsen Einzahlungen und Auszahlungen von BTCP schließen, um Schäden zu mildern, die dem Netzwerk zugefügt werden könnten. WIR EMPFEHLEN AUCH, DASS ALLE BENUTZER JETZT MIT VORSICHT VORGEHEN, WENN SIE MÜNZEN BEWEGEN.

Bitcoin Private möchte sich offiziell beim CoinMetrics-Team für die Aufdeckung der Nutzung bedanken. Wir haben eine Kommunikationsleitung mit CoinMetrics eröffnet, mit der Absicht, gemeinsam zu arbeiten, um mehr darüber zu erfahren, was passiert ist und wie wir so etwas in Zukunft verhindern können. Nicht nur für Bitcoin Private, sondern für die Kryptowährung als Ganzes.

Prämien auf Aufdeckungen von Softwarefehlern

Wir möchten die Community daran erinnern, dass das BTCP-Beitragsteam die Benutzer dafür belohnt, Fehler im Code zu finden und sie zu melden, wobei die Belohnung die Schwere des Exploits reflektiert. Wir ermuntern die Blockchain-Community und die breite Öffentlichkeit, mögliche Fehler oder Exploits security@btcprivate.orgoder über unser GitHub-Repo: https://github.com/BTCPrivate zu melden.

Btcp.de: Bei diesem Vorfall handelt es sich um einen sogenannten „Inflation-Hack“ bei dem ein Angreifer falsche Coins erzeugt. Das ist in der Vergangenheit auch bei Bitcoin geschehen. Mit bereinigenden Hard-Forks und Löschungen können diese Coins wieder aus der Welt geschaffen werden.

Von Team BTCP.de, 27. Dezember 2018 info@btcp.de

Team BTCP.de

info@btcp.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter

Über mich
Dr. Michael Plevan
Der Erfolg der Blockchain und Bitcoin Private steht und fällt mit der Gemeinschaft. Um in die Mitte der Gesellschaft vorzudringen brauchen wir Investoren, Miner und Menschen, die sich offen und öffentlich für diese Technologie stark machen. Ich möchte hierfür als Informationsquelle und Anlaufstelle für Fragen dienen.
Signature
Aktuelle Marktpreise
Kategorien
Wieviel Geld soll ich in Krypto investieren?
Wie funktioniert die Blockchain?
Wann kommt der Bitcoin ETF?
Was ist Bitcoin Private?
Neue Hoodies im Shop!