Ontwikkelaars ethereum dichten ernstig lek

Na de bitcoin is ethereum de tweede grootste virtuele valuta. De ontwikkelaars van ethereum hebben een belangrijk veiligheidslek gedicht. Dat stond vrijwel iedereen met een internetverbinding toe om de toegang van een individu tot het publiekelijk beschikbare register te manipuleren.

Dat meldt de site Ars Technica. De aanvallen waren volgens onderzoekers (PDF) relatief eenvoudig om uit te voeren. Mensen met een gemiddelde kennis van computernetwerken zouden ze kunnen opzetten. De onderzoekers die het lek afgelopen donderdag bekendmaakten, hebben met de ontwikkelaars van ethereum samengewerkt aan een manier om het gat te dichten.

Eclipse attack

Onderdeel van het probleem is de manier waarop het netwerk rond ethereum is opgebouwd. Voor informatie vertrouwt het netwerk op verbindingen met de peers, waarmee een compleet overzicht van het netwerk ontstaat. Aanvallers kunnen middels een zogenaamde ‘eclipse attack’ voorkomen dat een slachtoffer verbinding maakt met de daadwerkelijk bedoelde peers.

In plaats daarvan wordt gebruik gemaakt van schaduwnetwerken, waardoor het apparaat van het slachtoffer op een neppagina terecht komt. Daar kunnen dan gewoon betalingen uitgevoerd worden, zonder dat de gebruiker door heeft op een vals netwerk te zitten. Het gevolg is dat er zo makkelijk veel geld afhandig gemaakt kan worden.

Derde keer

Dit is de derde keer dat onderzoekers een manier hebben gevonden om dit soort cryptonetwerken te manipuleren. In 2015 bleek het redelijk eenvoudig om middels een botnet de netwerken te manipuleren. Ook in 2016 werd er een manier gevonden, maar die vereiste een hack van de gateway protocols. Nu is er dus een derde manier gevonden om het mechanisme te misbruiken.

De onderzoekers raden mensen die de netwerken aansturen aan om hun software te updaten. “Gezien het toenemende belang van ethereum in het wereldwijde blockchain ecosysteem, denken we dat het van cruciaal belang is om zo snel mogelijk tegenmaatregelen in te voeren. Node operators moeten zo snel mogelijk upgraden naar v1.8.”