IOTA veröffentlicht Audit-Ergebnisse: So sicher ist die Trinity Wallet

Die IOTA Foundation hat in einem am 21. Juni veröffentlichten Bericht die Ergebnisse eines von Sixgen durchgeführten Sicherheitsaudits von IOTAs Trinity Wallet dargestellt.

Sixgen, ein von Veteranen des US-Militärs geführtes Unternehmen für Cybersicherheit, hat in einer Analyse alle Desktop- und mobilen Versionen der Trinity Wallet von IOTA genau unter die Lupe genommen.

Insgesamt attestieren die Testergebnisse den diversen Trinity Wallet-Versionen einen hohen Sicherheitsstandard und damit verbunden eine geringe Gefahr für Exploits und Attacken. Bei dem Audit wurden automatische Analysen und Angriffsversuche durchgeführt, mit denen sieben unkritische Schwachstellen gefunden, die dann in Zusammenarbeit mit IOTA teilweise geschlossen wurden.

In einem zweiten Durchlauf wurde die Trinity Wallet dann erneut getestet, um ein abschließendes Sicherheitsprofil zu ermitteln.

IOTAs Trinity Wallet hält laut Aussage der Tester alle Sicherheitsstandards ein und stellt damit einen sicheren Aufbewahrungsort für IOTA-Token dar. Folgende Stärken und Schwächen (vor den teilweisen Verbesserungen) wurden durch Sixgen gefunden.

Stärken:

1. Trinity verwendet moderne Kryptographie (z.B. Argon2i, AES-GCM), um Geheimnisse vor Brute-Force-Angriffen zu schützen.

2. Trinity ist "memory conscious" und löscht sensible Daten aus dem Speicher, sobald diese nicht mehr benötigt werden, um Operationen durchzuführen.

3. Trinity informiert Anwender bei der Aktivierung von Komfortfunktionen, die Risiken darstellen können.

4. Für das Trinity-Entwicklungsteam liegt der Schwerpunkt auf der Sicherheit, wenn es darum geht, neue Funktionen in die Wallet einzubauen.

Schwächen:

1. Wie alle komplexen Softwareprojekte setzt auch das Trinity Wallet auf Softwarepakete von Quellen außerhalb der IOTA-Stiftung. Aufgrund der Beschaffenheit des node.js-Software-Ökosystems wären alle Trinity Wallets betroffen, sollte eines dieser Quellenpakete kompromittiert werden.

2. Die Verwendung von Electron birgt bei einigen Betriebssystemen Risiken für die Anwendungsintegrität.

3. Die Verwendung von Komfortfunktionen wie Deep Links (z.B. Links, die mit iota:// beginnen) setzt einen Trinity-Nutzer potenziell zusätzlichen Phishing-Angriffen aus.

4. Der Betrieb einer Kryptowährungs-Wallet auf einem möglicherweise gefährdeten Computers oder Geräts ist eine Risiko, das von den Nutzern verstanden werden muss.

Da Wallets als Aufbewahrungsort für Krypto-Token ein Hauptangriffsziel für Hacker darstellen, kommt den Testergebnissen der Trinity Wallet eine hohe Bedeutung zu. Wallet-Hacks gibt es immer wieder, wie etwa bei einem Fall im Dezember 2018, als Angreifer mit einer Phishing-Attacke der Electron-Wallet umgerechnet 800.000 Euro an Token stehlen konnten. Jüngst hackte sich der Krypto-Wallet-Anbieter Komodo sogar selbst, um Kundengelder vor dem Zugriff durch Angreifer zu schützen.