Stargate-Upgrade: Cosmos ruft Bug Bounty bis Ende des Jahres aus

Überblick: 

  • Cosmos (ATOM) ruft langfristige Bug Bounty bis Ende des Jahres aus
  • Belohnung für Bugs wurde verdoppelt, für kritische Bugs gibt es keine Obergrenze
  • Bug Bounty soll die kritischen Fehler aus der Vergangenheit bereits im Vorfeld vermeiden

Sicherheitslücken sind das Worst Case eines jeden Krypto-Protokolls. Sollten Hacker eine solche Lücke in dem Code eines Protokolls entdecken, könnten sie diese ausnutzen, um sich Zugriff auf die Adressen der Benutzer verschaffen. Selbst große Blockchains, wie Bitcoin (BTC) oder Ethereum (ETH), waren in der Vergangenheit mit derartigen Problemen konfrontiert. Um es gar nicht erst so weit kommen zu lassen, rufen Entwickler sogenannte Bug Bountys aus. Diesen Weg geht auch Cosmos (ATOM) bei dem bevorstehenden Stargate Upgrade. Entwickler und Sicherheitsforscher erhalten die Möglichkeit, das Coding auf kritische Fehler zu untersuchen. Sollten sie einen solchen Bug entdecken, könnten sie dafür mit einer ansehnlichen Belohnung entlohnt werden.

Comsos: Stargate Testnet ist bereit – vorab Untersuchung auf kritische Fehler

Für das Cosmos-Netzwerk ist ein großes Upgrade geplant, welches einen Meilenstein in der Roadmap des Projekts darstellt. Unter anderem bringt es ein IBC-Protokoll mit sich, welches die Interoperabilität mit anderen Blockchains ermöglicht. Aus infrastruktureller Sicht ist das Stargate-Testnet bereits startklar. Doch das Team hinter dem Projekt möchte zunächst eine ausgedehnte Bug Bounty durchlaufen. Ein Zeitraum bis zum Jahresende ist dafür eingeplant. Diese lange Testphase kommt nicht von ungefähr. In der jüngeren Vergangenheit wurden zwei kritische Sicherheitslücken im Konsensalgorithmus von Cosmos entdeckt. Diese blieben zum Glück ohne weitere Folgen. Im Juli 2019 entdeckten die Experten des dezentralen Datennetzwerks Bluzelle (BLZ) einen Bug im Konsensalgorithmus Tendermint. Anschließend stoppte man die Blockchain komplett und beseitigte den Fehler.

Im Oktober entdecken dann die Entwickler von Cosmo selbst eine weitere Sicherheitslücke. Auch diese wurde als äußerst kritisch eingestuft und befand sich in der Kernkomponente von Tendermint. Nun soll also ein Bug Bounty potenzielle Fehler bereits im Vorfeld kenntlich machen. Diese Art der Fehlererkennung wird von vielen Software-Herstellern verwendet und ist eine etablierte Art der Fehlererkennung. Unternehmen offerieren Sicherheitsexperten und Entwicklern die Möglichkeit der Fehlersuche gegen eine gewisse Belohnung. Bekannte Unternehmen und Organisationen, wie DJI, Microsoft und Zerodium, aber auch Behörden, wie das Pentagon oder EU-FOSSA, lassen ihre Dienste und Anwendungen regelmäßig in Form eines Bug Bountys prüfen.

Bug Bounty läuft bis Ende des Jahres – Verdopplung der bisherigen Belohnung

Von nun an kann man bis zum Ende des Jahres Fehler in dem neuen Upgrade suchen. Cosmos legt im Falle eines kritischen Fehlers keine Obergrenze fest. Das bedeutet, dass sich Finder von besonders schwerwiegenden Bugs mit einem entsprechend hohen Betrag entlohnen lassen können. Die übrigen Fehler kategorisiert Cosmos als gering, mittel und hoch risikoreich ein. Für den Fund eines Bugs hebt Cosmos die Belohnungen gegenüber vergangenen Bountys erheblich an. Ein Fehler mit geringem Risiko bringt demnach 200 US-Dollar (vorher 100 US-Dollar), mittleres bringt 1.000 US-Dollar (vorher 500 US-Dollar) und hohes Risiko verdoppelt sich auf 3.000 US-Dollar. Jeder kritische Bug garantiert mindestens 5.000 US-Dollar, jedoch ist die Grenze hier nach oben offen.

Der Vice President of Engineering der Cosmos-Entwicklungsfirma Interchain, Tess Rinearson, hob die Bedeutung des Bug Bountys hervor. Laut ihrer Aussage ist das proaktive Auffinden und Beheben von Fehlern ein wesentlicher Bestandteil beim Aufbau starker, belastbarer Blockchain-Protokolle. Die Fehlersuche im Coding des Upgrades erstreckt sich über die Codebasen der Cosmos SDK, dem Tendermint Core, Gaia und der neuen Inter Blockchain Communication (IBC). Cosmos hofft bis zum 31.12.2020 Fehler in mehr als einem Dutzend Kategorien zu finden. Dazu könnten Speicherzuordnungsfehler, fehlerhafte Informationsübertragung, eine manipulierbare Authentifizierung und Denial-of-Service-Vektoren gehören.

Trail of Bits, ein auf die Sicherheit von Blockchains spezialisiertes Unternehmen, überwacht den Test und hilft Cosmos bei der Einschätzung von gefundenen Fehlern. Das Unternehmen evaluiert die eingereichten Berichte und prüft mögliche Auswirkungen. Cosmos hat bereits angekündigt, besonders ausführliche und hochwertige Berichte auch im Falle eines niedrigen Risikos in einer höheren Klasse zu vergüten. Oftmals lassen sich dadurch weitere Erkenntnisse gewinnen, die sich für andere Bereiche nutzen lassen. Trail of Bits besitzt eine langjährige Erfahrung bei der Fehlerfindung und untersuchte bereits eine Vielzahl von DeFi-Anwendungen auf Schwachstellen, Oracle-Manipulationen und Smart Contract Hacks.

Zusammenfassung: Bug Bounty soll Sicherheit des Stargate-Upgrades verbessern

Grundsätzlich wäre Cosmos bereits heute so weit und könnte sein neues Upgrade in einem Testnet prüfen. Da jedoch in der jüngeren Vergangenheit zwei kritische Fehler im Kern des Konsensalgorithmus gefunden wurden, wollen die Entwickler nun mehr Zeit für die Fehlersuche einplanen. Dafür hat Cosmos ein Bug Bounty ausgerufen, welches gefundene Sicherheitslücken mit einer Belohnung vergütet. In diesem Zusammenhang erhöhte Cosmos die Mindestbelohnung zu vergangenen Bountys um das Doppelte. Bis Ende des Jahres kann man noch Fehler suchen, welche sich direkt in Form eines Berichts an Cosmos weiterleiten lassen.

Das könnte dich ebenfalls interessieren:

Schreibe einen Kommentar

Autor
Jens begleiteten Kryptowährungen und Blockchain bereits im Studium sowie jetzt im Berufsleben, u. a. als Autor für Ratgeberartikel aus dem Krypto-Space.


Melden Sie sich zu unserem Newsletter an:
Melden Sie sich jetzt zu unserem Newsletter an und erhalten Sie alle brandneuen Informationen rund um das Thema Kryptowährungen bequem per Mail in Ihr Email Postfach. Garantiert kostenlos und ohne Spam!