IOTA: Grober Fehler in Firefly Shimmer Wallet entdeckt – Kritik an Entwicklern

Bei der Firefly Shimmer Wallet ist ein sicherheitsrelevanter Fehler identifiziert worden. Was besonders Kritik hervorruft: Der Bug ist seit dem Debüt von SMR bekannt, doch das IOTA Seitenprojekt hat ihn noch nicht gefixt.

Gerade erst hat man beim IOTA Seitenprojekt Shimmer (SMR) über einen insgesamt gelungenen Start gefreut – da wird die Stimmung bereits durch einen sicherheitsrelevanten Fehler in der zugehörigen Firefly Shimmer Wallet gestört. Denn schon kurz nach dem Launch von Shimmer hatte ein Nutzer den Fehler detailliert im entsprechenden IOTA Forum bei Github gemeldet, doch die Entwickler fanden bisher keine Zeit oder keinen Weg, das dringende Problem zu lösen. Jetzt hat die bekannte IOTA-Kritikerin “Buffy” die Angelegenheit per Twitter öffentlich gemacht.

Konkret geht es darum, dass die speziell für Shimmer herausgegebene Version der IOTA Firefly Wallet unter Umständen bei Transaktionen den Betrag von SMR falsch darstellt. So würde man beispielsweise glauben, 1,04 SMR zu verschicken – doch transferiert werden in Wirklichkeit 104 Shimmer. Das Problem trat auf im Zusammenspiel mit einer Ledger Hardware Wallet und der IOTA Handelsplattform Soonaverse auf. “Buffy” sieht den reproduzierbaren Fehler als Einfallstor für Diebstahl und wirft den Entwicklern grobe Fahrlässigkeit beim Programmieren des Moduls vor.

Nun ist “Buffy” in der IOTA Community mit ihrer Kritik längst zu einer Reizfigur geworden. Doch inhaltlich ist ihr auch diesmal gelungen, den Finger in eine Wunde zu legen. Denn ein Fehler bei neuer Software wie der Firefly Shimmer App kann natürlich auftreten, doch er sollte dann schnell beseitigt und transparent kommuniziert werden. Dies ist im jetzigen Fall nicht passiert. Erst durch ihren Tweet aufgeschreckt haben die Entwickler das Problem in der Priorität hochgestuft. Von Shimmer, der IOTA Stiftung oder Soonaverse war zunächst kein Kommentar zu hören.

Fazit: Erster Rückschlag für Shimmer – war der Launch von SMR verfrüht?

Aus Sicht von Anlegern und Nutzern der Firefly Shimmer App ist das Sicherheitsproblem real, auch wenn es teilweise nur die deutschsprachige Version der Wallet zu betreffen scheint. Immerhin bietet es Angreifern tatsächlich die Möglichkeit, einen SMR Betrag anzufordern und über den Link dafür eine bis zu 100-mal höhere Summe von SMR zu erhalten als der Nutzer zu versenden glaubt. IOTA Wallets sind seit dem Vorgänger von Firefly, Trinity, unter besonderer Beobachtung. Ein schwerwiegendes Sicherheitsproblem bei Trinity erlaubte es Hackern im Februar 2020, Millionenbeute zu machen und eine Notabschaltung des Tanglenets für fast einen Monat zu provozieren. Mit dieser Erfahrung im Rücken ist es doppelt unverständlich, warum die Shimmer Firely Wallet offenbar nicht gründlich genug getestet wurde vor dem Launch und dass die Entwickler den jetzt bekannt gewordenen Fehler nicht sofort zu reparieren versuchten.


16 Kommentare

  1. Aber ich schreibe es gerne nochmal: Ein Anzeigefehler soll Einfallstor für Diebstahl sein? LOL Lächerlich!
    Und der Hack damals lag niemals an Trinity sondern an einem Leak bei Moonpay!!! Ihr solltet mal besser nachforschen bevor ihr dumme Unwahrheiten verbreitet!

  2. Der Fehler war/ist genau anders rum, wenn 0,1 Shimmer verschickt werden, wird einem u. U. 1,0 Shimmer angezeigt, sodass man im Zweifelsfall nur weniger verschicken könnte, aber auf keinen Fall mehr… Daher ist da auch kein Use Case für Betrug.

  3. Hauptsache Fud über IOTA verbreiten.
    0,1 Smr sind ca 0,009€ schrecklicher Verlust.
    Das mal wieder Solana 100000000$ durch einen Hack verloren hat ist
    hier natürlich keine Meldung wert LOL.

  4. bei Solana kommt gefühlt jede Woche was negatives dazu! Aber anscheinend wird über Solana nur gutes berichtet … bei Iota muss nur ein Komma falsch gesetzt werden und gleich wird ein mega negativer Bericht geschrieben.

  5. Was für ein fataler Fehler gleich mal alles verkaufen da bei mir die Kommas richtig angezeigt werden jede Transaktion zu 100% Korrekt ausgeführt wird. So etwas is inakzeptabel da hat Herr Fiedler und Buffy recht. Eigentlich fehlt in dem Bericht auch noch der Hack von 2018 wo man auf einer ohne ssl zertifizierten Seite sich seinen Seed erstellen konnte. Warum wird dieser Hack hier nicht auch erwähnt der steht ja normalerweise auch immer drinnen. Und zu guter letzt when Shimmer, when Shimmer Börsen listening

    • Bullshit!
      Shimmer schon erhältlich bei bitfinex und bitforex, sowie swapbar über iotabee.com mit usdt auf binance. Der Seedgenerator war eine nicht offizielle Seite. Der moonpayhack von 2,3 Millionen der durch die von moonpay(nicht iota) bereitgestellten Erweiterung ermöglicht wurde, wurde von David sonstebo sogar teilweise ausgeglichen. Bei 8 Millionen Hack bei Solana ist mir so ein Entgegenkommen unbekannt.

  6. Das eigentliche Projekt aus den Augen verloren. Halbherzige Seitenprojekte,
    Ergebnis 90% Kursverfall und kein Ende in Sicht.
    Dafür muss man kein Experte sein, um dass zu erkennen.

    • So ein Unfug! Shimmer ist doch nur der Vorbote.
      Das “Seitenprojekt” hat aus dem Stand eine Marktkapitalisierung von 200.000.000 $ geschafft.

      Das ist doch eine Hausnummer !

    • Mal ein kleines Update für Dich:

      Das “Seitenprojekt” hatte aus dem Stand eine Marktkapitalisierung von 200.000.000 $ geschafft.

      IOTA hat eine Partnerschaft im 80 Milliarden Dollar Markt mit EDAG.

      • Nein der Wert ist nicht 80Mrd, ich selbst habe eine sehr große Position an Edag Aktien im Portfolio, aber dennoch das nicht überbewerten, dies bedeutet nur das es angestrebt wird mit diesem Projekt einen Wert von 80Mrd zu erzielen.

  7. Toshiba:

    „…Das vorgeschlagene System bietet im Vergleich zu herkömmlichen Systemen die entscheidenden Vorteile niedrigerer Kosten, geringerer Transaktionszeiten und hoher Skalierbarkeit…“

    Wie wärs mit einem Beitrag? Einen sachlichen.

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*