Bitcoin, Ethereum - Kryptowährungen stehen immer wieder im Fokus von Cyberangriffen. Wachsende Investitionen in Kryptowährungen treiben ihren wirtschaftlichen Wert rasant in die Höhe und machen sie so zu einem attraktiven und lukrativen Angriffsziel. Schließlich ist digitales Geld nichts anderes als Datensätze, die manipuliert werden können – gäbe es da nicht vertrauenswürdige Schutzmaßnahmen. Forscher*innen der Ruhr-Universität Bochum haben nun eine Schwachstelle aufgedeckt, die das Vertrauen in die Verwendung bestimmter Technologien infrage stellt.
Ein Team des Lehrstuhls für Informationssicherheit an der Bochumer Fakultät für Informatik deckte in ihrem Paper „The Forking-Way: When TEEs meet Consensus“ eine kritische Sicherheitslücke in TEE-basierten Blockchains auf. Dazu untersuchten sie die Auswirkungen sogenannter Forking-Angriffe auf insgesamt 29 Systeme. Ihre Arbeit wurde im Februar 2025 bei der renommierten Konferenz „Network and Distributed System Security (NDSS) Symposium" in San Diego, Kalifornien vorgestellt.
Blockchain sichert Kryptowährungen
Das Aufkommen der Blockchain-Technologie hat den Weg für den bemerkenswerten Erfolg von Kryptowährungen geebnet. Dabei handelt es sich um digitale Währungen, die dezentralisiert funktionieren und unabhängig von zentralen Institutionen sind. Sie nutzen verschiedene Mechanismen, um maximale Sicherheit zu gewährleisten. „Blockchain ermöglicht es mehreren Parteien, sich über die Gültigkeit und die Reihenfolge von Zahlungen zu einigen, ohne auf einen vertrauenswürdigen Vermittler wie eine Bank angewiesen zu sein. Das fördert Transparenz und erhöhte Sicherheit“, erklärt CASA PI und HGI-Sprecher Ghassan Karame. Jedoch erfordern Blockchains auch den Austausch sämtlicher Daten zwischen den Prüfenden – ein Merkmal, das Herausforderungen in Bezug auf Datenschutz und Privatsphäre mit sich bringen kann.
Eine Lösung für dieses Problem ist die Integration spezieller, vertrauenswürdiger Hardware: Sogenannte Trusted Execution Enviroments (TEE) wirken wie digitale Tresore. Sie schaffen eine sichere Umgebung für Berechnungen, indem sie Daten vertraulich behandeln und Abweichungen vom vorgeschriebenen Ausführungsablauf verhindern. In Kombination mit Blockchains ermöglichen TEEs die Verarbeitung von Daten, ohne dass jemals direkt auf sie zugegriffen wird. Neben dem Schutz der Daten garantieren TEEs auch die Ausführungsintegrität – es wird also darauf vertraut, dass der Code die Daten korrekt verarbeitet. So muss nicht mehr jede einzelne Ausgabe überprüft werden.
Studie zu Schwachstellen in TEE-basierten Blockchains
Die Forschungsgruppe – bestehend aus Annika Wilde, Tim Niklas Gruel, Claudio Soriente (NEC Laboratories Europe) und Ghassan Karame – kritisiert den fehlenden Konsens über die Kombination von Blockchain und TEEs. Das Problem ist, dass „die Arbeit mit TEEs und dezentralen Plattformen spezielle Fähigkeiten und Kenntnisse erfordert, über die ein typischer Softwareentwickler möglicherweise nicht verfügt“, warnt Ghassan Karame. In einer sicheren Testumgebung und mithilfe von Fallstudien untersuchten sie, welche Auswirkungen Forking-Angriffe auf TEE-basierte Blockchains haben, die in der Praxis genutzt werden.
In diesem Kontext bezieht sich der Begriff „Forking“ auf die Erzeugung von widersprüchlichen Ansichten des (Blockchain-)Zustands in unterschiedlichen TEE-Instanzen. Ein solcher Angriff untergräbt die Vertrauenswürdigkeit der Ausgabe. Bei TEE-basierten Blockchains kann das gravierende Folgen haben – etwa die Missachtung zuvor akzeptierter Zahlungen oder in einigen Szenarien auch die Schaffung eines unfairen Vorteils für die Beteiligten.
Auf Grundlage ihrer Analyse identifizierte das Forschungsteam die wichtigsten Schwachstellen und simulierte erfolgreich Angriffe auf die drei Systeme Phala, das Secret Network und Ten.
„Responsible Disclosure“ mit Effekt
Gemäß dem wissenschaftlichen Kodex der Cybersicherheit - dem Prinzip des „Responsible Disclosure“ - wurden die betroffenen Instanzen nicht nur auf die Bedrohung hingewiesen, es wurden ihnen auch wirksame Gegenmaßnahmen vorgeschlagen. Während eine Einrichtung die Sicherheitslücke bereits auf Grundlage der vorgeschlagenen Empfehlungen geschlossen hat, arbeiten die beiden übrigen weiterhinunter Beratung der Forschenden an einer Lösung.
Originale Publikation
Annika Wilde, Tim Niklas Gruel, Claudio Soriente, Ghassan Karame: The Forking Way: When TEEs meet Consensus, NDSS 2025, USA, Download
Pressekontakt
Ghassan Karame, ghassan.karame(at)rub.de
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.
