IOTA und der Kampf gegen DCI

Bereits im September 2017 wurde ein Report von DCI (Digital Currency Initiative) veröffentlicht, der Schwachstellen bei IOTA aufzeigen soll. Seitdem ist ein Streit entbrannt zwischen IOTA und dem DCI Team. Jetzt wurde der Emailverlauf dazu geleaked aus dem erkenntlich wird, wie es dazu kam.

Zum Hintergrund: Im Mai 2017 beauftrage das IOTA Team die Digital Currency Initiative (DCI) damit Schwachstellen in der IOTA Technologie zu finden. Bei DCI handelt es sich um eine Forschungsgruppe, die mit dem Massachusetts Institute of Technology assoziiert wird. Diese nahm die Aufgabe auch an. Wie es dann weiterging lässt sich aus den Emails zwischen IOTA und DCI rekonstruieren, die jetzt geleaked wurden.

Am 15. Juli kontaktierte Ethan Heilman, von DCI, dass IOTA Team und berichtet davon, mehrere Schwachstellen bei IOTA gefunden zu haben. Dazu zählt unter anderem das verwenden der Curl Funktionen zum Verschlüsseln von Signaturen. Das IOTA Team reagiert umgehend und versucht Klarheit darüber zu bekommen was von DCI konkret als Schwachstelle angesehen wird und was IOTA von sich aus als Feature eingefügt hat.

In Summe macht das DCI Team recht viele Anschuldigungen ohne, dass sie in den Folgeemails belegen können, wie genau dadurch IOTA angreifbar wird und Nutzer ihre Guthaben verlieren können. Trotz der fehlenden Belege entschließt sich IOTA dann im August dazu, die Curl Funktion nicht mehr zu verwenden und wechselt zu Keccak. Damit könnte die Geschichte eigentlich hier enden. Denn die Curl Funktion war der größte Kritikpunkt von DCI und IOTA hat umgehend darauf reagiert und diese ersetzt.

Damit endet der Vorfall allerdings noch nicht. Denn der Emailverlauf geht weiter und DCI entschließt sich die Schwachstelle mit Curl im September öffentlich zu machen. Das Problem dabei ist, das sie eine recht reißerische Überschrift verwenden:

“IOTA Vulnerability Report: Cryptanalysis of the Curl Hash Function Enabling Practical Signature Forgery Attacks on the IOTA Cryptocurrency “

Diese erweckt den Eindruck, dass IOTA nach wie vor angreifbar ist. Das ist allerdings nicht der Fall, denn IOTA hat das Problem mit Curl längst behoben indem sie seit August Keccak verwenden. Das IOTA Team stört sich dann daran, dass der Report so kurzfristig ohne Absprache veröffentlicht wird und dieser den falschen Eindruck von der Sicherheit IOTAs vermittelt. Darüber hinaus stört sich IOTA daran, dass Ethan, ein Mitglied von DCI, ein eigenes Projekt hat das mit IOTA im Wettbewerb steht. Daher hat er ein ganz eigenes Interesse daran IOTA schlecht aussehen zu lassen. Dies wird in den folgenden Emails von David Sonstebo, IOTA Mitgründer, klar:

Letter #76
Author: David Sønstebø Date: 7th of September Hey Neha, I was preparing a thorough response to your publication, then something almost incomprehensible occurred.
We are beyond baffled and frankly shocked at the moment. We were just reached out to by a CoinDesk journalist that Ethan contacted in an attempt to rush out this publication. This may be the biggest scandal I have ever heard of from what has been portrayed as a professional ‘responsible disclosure’. Ethan is clearly in complete conflict of interest
and pushing this for his own gain, this is no longer about academic merits, but a desperate attempt by Ethan to make money. We will use all resources to elucidate this as publicly as possible if Ethan does not effective immediately contact all the people he has been spreading this premature story to and retract all his statements.

DCI antwortet dann darauf:

Letter #77
Author: Neha Narula Date: 7th of September
Hi,
The responsible disclosure time period is over; you fixed the vulnerability we found and deployed the fix. Our original agreement specified that we were bound until August 12th. It is quite well past that! But it is very important to us to hear what you think might be mistakes in the report, so we can fix them.
I’m afraid I don’t agree with you on the topic of conflict of interests. At any rate, I’m the
one who first contacted a journalist on this topic, so you should direct your ire towards me, not Ethan.
Thanks, Neha

Worauf David eine Antwort schreibt, die mich zumindest zum Schmunzeln gebracht hat:

Letter #78
Author: David Sønstebø Date: 7th of September
Neha, are you sober?
The repeated bugs in your code lead to weeks of postponements, and you still have not answered even half of our questions. This is the most unprofessional behavior I have ever witnessed by an ‘academic’. Who is your supervisor?

Seitdem sind die Fronten jedenfalls verhärtet und IOTA wird immer wieder mit dem Report von DCI in Verbindung gebracht. Auch wenn viele Vorwürfe daraus nicht belegbar sind und IOTA sogar die kritisierte Curl Funktion ersetzt hat.

Ich bin bei weitem kein Fan von IOTA und sehe die Technologie nach wie vor kritisch. Denn noch immer ist nicht klar, ob IOTA langfristig als dezentralisierte Kryptowährung funktionieren kann (Stichwort Coordinator). Trotzdem kann man dem Team hier keine Vorwürfe machen. Denn sie haben anders als DCI auf alle Emails umgehend reagiert und sind auch allen Vorwürfen nachgegangen. DCI ließ sich auch nicht darauf ein, alles in einem Slack Channel zu klären anstatt einem wochenlangen Emailverkehr zu haben.

IOTA hat mittlerweile zu den geleakten Emails Stellung genommen.

Auch haben sie sich auf ihrem Medium Blog in 4 Teilen detailliert zu den DCI Vorwürfen geäußert.

Wer selber die Emails lesen möchte wird hier fündig:
IOTA DCI letters

Please follow and like us:

2 Trackbacks / Pingbacks

  1. Financial Times kritisiert IOTA - Kryptoszene.de
  2. IOTA und University College London beenden Partnerschaft - Kryptoszene.de

Leave a Reply

Your email address will not be published.


*