Bugs bei Bitcoin

Bitcoin, als dezentrale digitale Währung, basiert auf einer komplexen Open-Source-Software und der Blockchain-Technologie. So innovativ und sicher dieses System auch ist – wie bei jeder Software gibt es auch hier Schwachstellen.

Metapher: Man stelle sich Bitcoin wie ein digitales Uhrwerk vor, das aus tausenden Zahnrädern besteht. Ein winziger Fehler in einem einzigen Zahnrad kann unter Umständen die ganze Maschine zum Stocken bringen – oder im schlimmsten Fall, sie rückwärts laufen lassen.

Obwohl das Bitcoin-Netzwerk als extrem stabil gilt, hat seine Geschichte gezeigt: Bugs können auftreten – mal klein wie Sand im Getriebe, mal katastrophal wie ein gebrochenes Hauptlager. Hier die bedeutendsten Vorfälle:

1. Value Overflow Incident (2010)

Am 15. August 2010 geschah der erste wirklich kritische Bug in der Geschichte von Bitcoin. Der sogenannte Value Overflow Bug ermöglichte es einem Angreifer, aus dem Nichts über 184 Milliarden Bitcoin zu erzeugen – das entsprach mehr als dem 8.700-fachen der eigentlich maximal existierenden 21 Millionen Bitcoin!

Beispiel: Stell dir vor, jemand findet einen Tippfehler in der Software deiner Bank und kann plötzlich 184 Milliarden Euro von einem Cent erzeugen. Genau so passierte es hier – nur eben in Bitcoin.

Der Fehler entstand durch eine unzureichende Prüfung der Summenbildung bei Transaktionen. Die Community reagierte blitzschnell: Innerhalb weniger Stunden wurde ein Soft Fork durchgeführt und die fehlerhafte Transaktion rückabgewickelt.

Denkanstoß: Was bedeutet es für ein dezentrales System, wenn Fehlerbehebungen kurzfristig durch eine handvoll Entwickler vorgenommen werden? Wie viel Verantwortung trägt hier die Community?

2. CVE-2013-3220 (Chain Fork Bug)

Im März 2013 führte ein Upgrade auf Version 0.8 des Bitcoin-Clients zu einem Fork – einer Aufspaltung der Blockchain in zwei parallele Ketten. Grund war ein technischer Unterschied in der Datenbankbehandlung zwischen Version 0.7 und 0.8. Die Knoten mit der neuen Version begannen, Blöcke zu erzeugen, die die älteren nicht akzeptieren konnten.

Metapher: Stell dir eine Straße vor, die plötzlich zu einem Y wird – mit einem Navi, das sagt: „Beide Wege sind richtig.“ Die Miner mussten sich entscheiden, auf welcher Spur sie bleiben wollen.

Die Lösung: Die Mehrheit der Miner kehrte vorübergehend zur älteren Version zurück – ein bemerkenswerter Moment des gemeinsamen Handelns, um den Konsens zu sichern.

3. Inflations-Bug (CVE-2018-17144)

Der Inflations-Bug war eine der gravierendsten bekannten Schwachstellen im Bitcoin-Protokoll. Er wurde 2018 entdeckt und hätte es ermöglicht, durch fehlerhafte Transaktionen neue Bitcoin aus dem Nichts zu erschaffen – ein massiver Vertrauensbruch gegenüber der garantierten Knappheit.

Glücklicherweise wurde dieser Bug in Bitcoin Core 0.14 rechtzeitig gefunden und in späteren Versionen stillschweigend behoben, bevor er missbraucht werden konnte.

Beispiel: Stell dir vor, jemand hätte eine versteckte Druckmaschine in der EZB entdeckt, mit der man heimlich Geld drucken kann – das Vertrauen in die Währung wäre zerstört.

4. Transaction Malleability Bug

Dieser Bug ermöglichte es, die ID einer Transaktion zu verändern, noch bevor sie in einem Block bestätigt wurde. Dadurch konnte z. B. ein Nutzer behaupten, eine Transaktion sei nicht erfolgt, obwohl sie korrekt ausgeführt wurde – was etwa bei Börsen oder Wallet-Diensten zu Missverständnissen führen konnte.

Behoben wurde dieser Fehler durch das SegWit-Update (Segregated Witness), das 2017 eingeführt wurde.

Metapher: Es ist, als ob du einen Brief verschickst – aber jemand kann nachträglich den Umschlag so manipulieren, dass die Trackingnummer nicht mehr stimmt. Der Brief kommt an – aber niemand weiß, woher er eigentlich kam.

5. CVE-2021-31876 (P2P-Netzwerk-Fehler)

Im Jahr 2021 wurde eine Schwachstelle im Peer-to-Peer-Netzwerk von Bitcoin entdeckt. Der Bug hätte es Angreifern ermöglicht, Knoten durch bösartige Nachrichten zu destabilisieren. Auch hier wurde der Fehler gepatcht, bevor er großflächig ausgenutzt werden konnte.

Beispiel: Es ist wie bei einem Netz von Telefonleitungen – ein einziger Teilnehmer mit „Störgeräusch“ im Hörer könnte dafür sorgen, dass viele andere das Netz nicht mehr nutzen können.

Weitere mögliche Bug-Typen (Ergänzung)

• Dust Bugs: Winzige Mengen Bitcoin, die absichtlich versendet werden, um Wallets zu „verfolgen“ – sie sind technisch gesehen keine Bugs, können aber als Angriffsmethode fungieren.
• Replay-Angriffe: Nach einem Fork können Transaktionen auf beiden Chains gleichzeitig gültig sein – ein potenzieller Fehler, wenn nicht verhindert.
• Zero-Day-Exploits: Noch unbekannte Sicherheitslücken, die von Angreifern im Geheimen ausgenutzt werden könnten.

Wissenswertes

• Die meisten Bugs wurden durch die aktive Community und verantwortungsbewusste Entwickler entdeckt und gemeldet.
• Viele Fehler wurden lange vor ihrer potenziellen Ausnutzung behoben – ein Beweis für die Stärke von Open-Source-Überwachung.
• Andere Blockchain-Systeme haben ähnliche oder sogar noch gravierendere Bugs erlebt, insbesondere bei neueren Altcoins.
• Eine Liste aller bekannten CVEs findest du hier: → Mitre CVE Datenbank

Wissen – kurz & kompakt

• Bugs sind unvermeidbar – selbst in ausgereifter Software wie Bitcoin Core.
• Früherkennung und schnelle Patch-Bereitstellung sind entscheidend.
• Dezentrale Systeme sind auf verantwortungsvolle Mitwirkung der Community angewiesen.
• Viele Bugs betrafen kritische Systembereiche wie Transaktionen, Inflation und das P2P-Netzwerk.

Glossar

• Inflations-Bug: Eine Schwachstelle im Bitcoin-System, durch die mehr Bitcoin erschaffen werden könnten als erlaubt.
• Transaction Malleability: Fehlerhafte Möglichkeit, Transaktions-IDs nachträglich zu verändern.
• Fork: Eine Abspaltung der Blockchain, oft verursacht durch inkompatible Software-Versionen.
• SegWit: Upgrade des Protokolls zur Behebung von Transaction Malleability und zur Erhöhung der Blockeffizienz.
• Bitcoin Core: Die offizielle Referenzsoftware für das Bitcoin-Protokoll.
• CVE: Kürzel für „Common Vulnerabilities and Exposures“, ein Standard zur Kennzeichnung von Sicherheitslücken.
• Peer-to-Peer-Netzwerk: Direktes Kommunikationsnetzwerk zwischen Nodes ohne zentrale Serverstruktur.
• Dusting Attack: Angriff mit extrem kleinen Bitcoin-Beträgen, um Nutzeridentitäten zu analysieren.
• Replay-Angriff: Wiederverwendung gültiger Transaktionen auf mehreren Blockchains nach einem Fork.
• Zero-Day-Exploit: Ein bisher unbekannter Fehler, der noch nicht gepatcht wurde.

Denkanstöße und weiterführende Fragen

• Wie viele Zero-Day-Bugs könnten heute noch im Bitcoin-Code schlummern – unentdeckt?
• Sollte es eine offizielle „Notfallgruppe“ für Bitcoin geben – oder widerspricht das der Dezentralisierung?
• Was unterscheidet einen Bug von einem „Feature“, wenn beides zu unerwartetem Verhalten führt?
• Welche Verantwortung tragen Node-Betreiber und Miner im Umgang mit kritischen Sicherheitslücken?
• Ist die Idee eines fehlerfreien Codes in einer offenen, dynamischen Umgebung wie Bitcoin überhaupt realistisch?
• Wie sehr hängt dein Vertrauen in Bitcoin eigentlich von der Annahme ab, dass der Code fehlerfrei ist? Und was bedeutet das für deine persönliche Sicherheitsstrategie?