Vor einigen Stunden kündigte ein Poster im Bitcointalk-Forum an, dass er eine unbestätigte Transaktion gegen die beliebte Bitcoin-Glücksspielplattform SatoshiDice erfolgreich rückgängig machen konnte. Die Strategie des Angreifers war einfach. Zuerst schickte er eine 0,25 BTC-Wette gegen SatoshiDice ohne Transaktionsgebühren, die er verloren hatte. Unmittelbar nach Erhalt der Benachrichtigung von SatoshiDice über seinen Verlust schickte er sich eine weitere 0,25 BTC-Transaktion – diesmal mit einer Transaktionsgebühr, die die Bergleute ermutigte, die zweite über die erste zu bestätigen. Allerdings ist diese Strategie, die sich als erfolglos herausstellt, und so war der Angreifer gezwungen, eine andere Taktik einzuführen: die Transaktion „spammy“ zu machen. Der Standard-Bitcoin-Client hat eine Reihe von Regeln für die Annahme von Transaktionen, die viel Speicherplatz beanspruchen, als eine seiner Maßnahmen, um zu verhindern, dass Menschen Bitcoin sabotieren, indem er die Blockchain mit Hunderten von Gigabyte an Transaktionen füllt, und ein allgemeiner Grundsatz ist, dass Transaktionen, die von dem Modell abweichen, nur eine geringe Anzahl an Standard-Ein- und -Ausgaben zu haben, viel weniger wahrscheinlich sind, dass sie schnell und in einigen wenigen Fällen sogar kostenlos akzeptiert werden. So unternahm der Angreifer absichtlich seinen zweiten Versuch einer 0,20 BTC-Transaktion, die die Gelder in zwanzig Eingaben von je 0,01 BTC aufteilte, und versuchte dann, die Transaktion mit einer 0,20 BTC-Transaktion für sich selbst mit einer großzügigen 0,004 BTC-Gebühr zu überschreiben. Diesmal funktionierte der Versuch. Der Minenpool BTC Guild bestätigte die zweite Transaktion über die erste, und der ursprüngliche Verlust des Angreifers verschwand für immer. Live Wetten Online sind cool.

Es ist sehr wichtig festzustellen, dass dies die Sicherheit von Bitcoin als Ganzes, außerhalb einer sehr begrenzten Anzahl von Anwendungen, nicht beeinträchtigt. Es gibt zwei Formen der „Bestätigung“ im Bitcoin-System. Die erste, die etwa zwei bis fünf Sekunden dauert, ist die einfache Netzwerkpropagierung; eine gültige Transaktion findet ihren Weg durch das Bitcoin-Netzwerk und gelangt zu dem vom Händler kontrollierten Knoten. Die zweite, die etwa zehn Minuten dauert, ist eine Blockbestätigung; hier stellen die Miner, die das Bitcoin-Netzwerk unterhalten, die Transaktion in einen Block und führen einen Nachweis der Arbeitsberechnung auf dem Block durch, der eine enorme Menge an Rechenleistung benötigt, um zu schmieden. Die meisten Bitcoin-akzeptierenden Unternehmen warten vor der Freigabe des Produkts auf eine Blockbestätigung, und dieser Angriff wirkt sich nicht gegen Transaktionen aus, die eine Blockbestätigung haben. Im Falle von Anbietern, die physische Waren und Online-Dienstleistungen verkaufen, kann das Produkt eines betrügerischen Kunden auch Stunden nach der ursprünglichen Zahlungsaufforderung problemlos storniert werden. Bei digitalen Verbrauchsgütern wie Geschenkgutscheinen und drahtlosen Nachfüllungen ist dies nicht der Fall, aber selbst dort dauert der Prozess des Versands des Codes an den Kunden in der Regel bis zu 30 Minuten, so dass Anbieter entweder bereits nach einer Bestätigung suchen oder leicht gepatcht werden können, um dies ohne großen Aufwand zu tun. Aus Gründen der Benutzerfreundlichkeit kann das aktuelle Paradigma der Sofortbestätigung aus Kundensicht sogar noch bestehen bleiben; die Sofortbestätigung erfüllt weiterhin ihre Funktion, dem Kunden zu versichern, dass die Transaktion den Händler erfolgreich erreicht hat. Das Warten auf zusätzliche zehn Minuten ist ein Prozess, der einfach hinter den Kulissen stattfinden kann.

Überraschenderweise sind auch digitale Download-Shops, die sofortige Downloads zur sofortigen Bestätigung anbieten, geschützt; Coindl muss sein Geschäftsmodell nicht ändern. Es ist zwar möglich, mit dieser Technik eine Rückerstattung von einem solchen Unternehmen zu erzwingen, aber sie sind immer noch davor geschützt, durch die wirtschaftliche Tätigkeit einen erheblichen finanziellen Verlust zu erleiden. Digitale Güter wie Bücher, Filme und Lieder haben im Wesentlichen keine Grenzkosten, was bedeutet, dass Apple beispielsweise weniger als einen Penny an zusätzlichen Strom- und Bandbreitenkosten zahlen muss, wenn man ein Album von ihnen für 11,99 $ herunterlädt. Die Verwendung dieser Technik, um eine digitale Download-Seite dazu zu bringen, Ihnen einen kostenlosen Song oder ein kostenloses Buch zu geben, ist somit im Wesentlichen gleichbedeutend mit dem Herunterladen über ein Torrent-Netzwerk; selbst wenn die Hälfte der Menschen auf der Welt damit beginnt, können die ehrlichen Kunden und Künstler ihr Geschäft mit dem Binance Betrug weiterhin in Frieden betreiben.

Was die Lösungen betrifft, die einfachste und garantiert ausreichend sind, so ist der Patch, einfach auf eine Bestätigung zu warten, bevor man etwas Unwiderrufliches tut. Natürlich gibt es einige Geschäftsmodelle, für die dies einfach nicht akzeptabel ist; die ganze Anziehungskraft von SatoshiDice war, dass man sofort sein Geld zurückbekommt, wenn man gewinnt. SatoshiDice selbst hat das Problem bereits gelöst; sie verlangen nun, dass alle eingehenden Wetten Transaktionsgebühren enthalten. Auch wenn die Seiten eine solche Komplikation nicht einführen wollen, gibt es jedoch noch andere Möglichkeiten. Vor etwa acht Monaten veröffentlichte eine inzwischen nicht mehr existierende Firma namens RingCoin ein Produkt namens ZipConf, mit der Absicht, Händler zu unterstützen, die sofortige Bestätigungen akzeptieren, indem sie es für Transaktionen, die noch nicht getätigt wurden, schwieriger machen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.