NEO-Bug: „Kein Diebstahl von Token möglich“

[Ferki]

Am Wochenende machte eine Nachricht von einem Bug bei NEO-Nodes die Runde. Der vom chinesischen Software-Giganten Tencent entdeckte NEO-Bug soll es Angreifern potenziell möglich machen, Kryptowährungen aus Wallets von NEO-Node-Betreibern abzuziehen. NEO-Mitgründer Erik Zhang gab nun – zumindest teilweise – Entwarnung.

Am 1. Dezember verkündete Tencent Security auf der chinesischen Social-Media-Plattform Weibo die Entdeckung eines Bugs in der NEO-Blockchain. Demnach setzen sich die Betreiber von NEO-Nodes der Krypto-Piraterie aus, wenn sie die Standardkonfiguration verwenden. So heißt es in der Mitteilung von Tencent:

    „Das Monitoring des berühmten Blockchain-Projektes NEO […] förderte das Risiko von Remote-Piraterie zutage. Wenn ein Benutzer die NEO-Node mit der Standardkonfiguration startet und die Wallet öffnet, kann die digitale Währung aus der Ferne gestohlen werden.“

Tencent empfiehlt den Node-Betreibern dreierlei:
1. Update des NEO-Clients auf die aktuellste Version

2. Verzicht auf die Verwendung der RPC-Funktion und das Ändern der BindAdress in der Konfigurationsdatei auf 127.0.0.1

3. Falls nicht: RPC-Port ändern, HTTPS-basierte JSON-RPC-Schnittstelle aktivieren und die Firewall-Richtlinien entsprechend anpassen

So weit, so FUD. Was im Gegensatz zur Tencent-Warnung nicht so schnell die Runde machte, war die Antwort von NEO-Mitgründer Erik Zhang, die nur wenige Stunden auf sich warten ließ.
Erik Zhang: „Normale“ Nutzer nicht betroffen

Zhang versucht, den gemeinen NEO-Hodler zu beruhigen. „Normale User“ müssten sich demnach keine Gedanken machen, da die RPC-Funktion standardmäßig deaktiviert sei. Der Zugriff auf RPC kann zudem nur über den NEO-CLI Client erfolgen. Da es sich bei diesem um ein Kommandozeilenprogramm handelt, laufen technisch nicht versierte Benutzer auch nicht Gefahr, durch nachlässige Konfigurationsanpassungen Hackern Tür und Tor zu öffnen. Zhang schließt:

    „Zusammenfassend besteht für den herkömmlichen NEO-Benutzer keine Gefahr durch Remote-Piraterie“

Da Zhang die Sicherheitslücke nicht dementiert, kann man davon ausgehen, dass für Betreiber von NEO-Nodes durchaus die Gefahr besteht bzw. bestand, bestohlen zu werden. Vermutlich weist Zhang auch aus diesem Grund auf das Bounty-Programm hin, dass NEO dieses Jahr unter dem Namen „NEO Vulnerability Bounty Program“ lanciert hat. Wer einen relevanten und vor allem unbekannten NEO-Bug findet, darf Anspruch auf eine Belohnung von NEO erheben.

In den Richtlinien des Bounty-Programms heißt es:

    „Wenn Verwundbarkeiten veröffentlicht werden, bevor NEO sie repariert oder veröffentlicht hat, entfällt die Belohnung.“

Tencent wird für die Entdeckung des NEO-Bugs also keine Belohnung für sich beanspruchen können.

Source:  https://www.btc-echo.de/neo-bug-kein-diebstahl-von-token-moeglich/