Bug bei Tether kann zum Double Spending genutzt werden

Eine chinesische Sicherheitsfirma hat einen Bug bei Tether aufgezeigt, mit denen es ihnen gelingt Guthaben mehrfach auszugeben.

Bei Tether handelt es sich um einen Stable Coin. Da für jeden ausgegebenen Tether Token ein US Dollar hinterlegt wird, liegt der Wert eines Tethers etwa immer genau bei 1 US Dollar. Viele Exchanges nutzen Tether da sie selbst keinen Fiat Zugang haben. Die Kryptowährungen auf der Exchange können dann einfach gegen Tether (USDT) gehandelt werden anstatt gegen US Dollar.

In der Vergangenheit gab es immer mal wieder Zweifel daran, ob Tether wirklich für jeden ausgegebenen Tether 1 US Dollar hinterlegt. Die Zweifel werden unter anderem davon befeuert, dass Tether es nicht schafft einen Audit über die hinterlegten Dollar Reserven von einem der 4 großen Wirtschaftsprüfern (PWC, Deloitte, KPMG, Ernst & Young) vorzulegen.

Die chinesische Sicherheitsfirma SlowMist hat jetzt in einem Tweet aufgezeigt wie es ihnen gelungen ist Tether mehrfach auszugeben.

Anscheinend ist es ihnen gelungen Tether zu einer Exchange zu schicken (es wird nicht gesagt welche) und dabei nicht alle Werte richtig anzugeben. Dadurch hat die Exchange die Tether zwar akzeptiert, die Tether Guthaben blieben aber laut Tether bei SlowMist. Wenn das Unternehmen den Vorgang wiederholt, könnten sie sich die gleichen Tether beliebig häufig neu von der Exchange gutschreiben lassen.

SlowMist hat sich zuvor schon einen Namen gemacht indem sie engagiert wurden um die Sicherheit bei den Kryptowährungen VeChain und Ontology zu erhöhen.

Ob SlowMist die ersten waren, denen der Fehler aufgefallen ist oder ob es zuvor schon Hacker gab, die Exchanges so um Guthaben erleichtert haben ist bisher nicht bekannt. Auch ist noch nicht klar, ob das Problem jetzt im Tether Code gefixt werden muss oder ob es sich um ein Problem bei den Exchanges bzw. einer einzelnen Exchange handelt.

Update 29.06.2018 8:00 Uhr: In den Kommentaren erklärt ein Omni Layer Entwickler wie es zu dem Problem kommt und das es ein Problem auf Seiten der Exchange ist.

Please follow and like us:

2 Kommentare

  1. Hi guys, I’m maintainer and developer of Omni Core, the reference client for the Omni Layer.

    When retrieving information about Omni Layer transactions, the valid field indicates, whether the transaction is considered valid. An invalid transaction can have multiple causes and it is the case, when the sender crafts a transaction to transfer tokens, even though he or she doesn’t have enough balance.

    This is in no protocol vulnerability, but rather poor handling of incoming token payments, if this was indeed exploited in the wild.

    As far as we know, there was an integrator, which hasn’t checked the valid flag at all, and simply credited the tokens, without ensuring and checking, whether they were actually transferred.

    We published a wiki entry to make other integrators aware of potential pitfalls, when accepting token payments:

    https://github.com/OmniLayer/omnicore/wiki/Integrate-Omni-Core-to-receive-payments

Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht.


*