Am Freitag haben wir über einen scheinbar schwerwiegenden Bug in der aufstrebenden Kryptowährung IOTA berichtet. Der Artikel wurde zurecht heftig kritisiert, da die Perspektive der IOTA-Entwickler selbst vollständig gefehlt hat. Dies holen wir nun nach – und gehen nochmal auf den allgemeinen Zustand von IOTA und der IOTA-Community ein.
Als die MIT-Forscherin Neha Narula am Freitag über einen angeblich schwerwiegenden Bug in IOTA berichtete, erklärte sie auch, dass die Praxis des „Signaling“ ein generelles Problem im Kryptowährungs-Investment sei: Investoren verlassen sich darauf, dass andere, bekannte Investoren und Firmen ein Projekt geprüft haben, bevor sie sich darauf einlassen. Dementsprechend folgen die Investoren den bekannten Namen, ohne sich selbst gründlich genug zu informieren.
Dasselbe gilt auch für die Wissenschaft und den Journalismus. Wenn Forscher einer namhaften Institution wie dem MIT etwas verlauten lassen, vertraut man darauf, dass es Hand und Fuß haben wird. Daher plappern Journalisten wie ich einfach mal nach, was MIT-Forscher sagen, ohne selbst ausreichend gründlich zu recherchieren. Dass ich dabei eine Seite der Wahrheit verschwiegen habe, wurde zu Recht heftig kritisiert – wie auch meine stellenweise etwas polemische Wortwahl.
Dafür kann ich mich nur bei allen IOTA-Entwicklern und -Fans entschuldigen.
Ein Bug, der gar nicht so dramatisch ist?
Neha Narula schrieb, dass die Hash-Kollision, die sie im selbstgebauten Kryptoalgorithmus von IOTA produziert haben, dazu genutzt werden kann, um IOTA-Token zu zerstören oder auch zu stehlen. Der Eindruck, den die Direktorin der Digital Currency Group des MIT dabei erweckt, ist, dass IOTA-Token unsicher waren, bevor die Forscher den Bug berichtet haben.
Darüber hinaus hat Narula der IT-Sicherheits-Legende Bruce Schneier die Lage geschildert und diesen um ein Statement gebeten. Schneiers Kommentar fiel vernichtend für das IOTA-Team aus, indem er ihnen gravierende Inkompetenz ausstellte.
Aus Sicht der IOTA-Entwickler ist diese Darstellung der Lage maßlos übertrieben. David Sønstebø erklärt, dass die IOTA-Entwickler gemeinsam mit den MIT-Forschern das Thema bereits ausgiebig über Monate hinweg diskutiert haben.
Die von Nerula beschworenen Angriffe beruhen darauf, dass es möglich ist, die Hash einer IOTA-Transaktion, die signiert wird, zu reproduzieren, ohne den ihr zugrunde liegenden Wert zu kennen. Man kann also eine gültige Signatur für eine Transaktion bilden, ohne dass dieser die Transaktion selbst zugrunde liegt.
Damit dies jedoch zu Verlusten führt, so Sønstebø, muss Eva in der Lage sein, Alice dazu zu bringen, eine Transaktion (Bundles) von Eva erst zu signieren, und dann eine weitere Transaktion mit derselben Signatur schneller bestätigen zu lassen. Also einen Double-Spend zu produzieren. Da die IOTA-Wallets es jedoch nicht erlauben, fremde Transaktionen (Bundles) zu signieren, müsste also das Opfer des Angriffs entweder selbst eine Wallet bauen, die angreifbar ist, oder der Angreifer müsste dem Opfer eine manipulierte Wallet unterjubeln. Wenn dies gelingt, könnte er sehr viel einfacher Geld stehlen, indem er private Schlüssel abgreift.
Darüber hinaus müsste der Angreifer, um eine solche Transaktion zu bilden, wissen, welche Adressen das Opfer in Zukunft verwendet. Es müsste dem Angriff also ein Leak der Seed vorausgehen, was, erneut, auf eine sehr viel einfachere Weise zum Diebstahl von Geld führen sollte. Schließlich ist es im Mesh Netzwerk von IOTA sehr schwierig, eine solche Transaktion bestätigt zu bekommen, da jeder Node nur eine gültige Transaktion haben kann.
Dementsprechend ist dieser Angriff extrem unwahrscheinlich und für die Praxis eher irrelevant. Doch man sei froh, meint Sønstebø, dass die MIT-Forscher den Code analysiert haben. Dies mache IOTA nur stärker.
Nur ein Kopierschutz?
Laut dem Entwickler Sergey Ivancheglo, bekannt als Come from Beyond, war die „Verletzlichkeit“ nicht nur harmlos, sondern auch intendiert. Es war eine Art Kopierschutz, der Schaden anrichten kann, wenn jemand den IOTA-Code kopiert und selbst eine Wallet baut. Die Details über die Argumentation von Ivancheglo kann ich nicht nachvollziehen, da mir dazu die kryptographische Kompetenz fehlt.
Ivancheglo meint, dass es keine Verletzlichkeit gegeben habe, sondern dass man, nachdem die MIT-Forscher den Kopierschutz entdeckt haben, diesen einfach nur entfernt habe, da er danach keinen Nutzen mehr habe. Dies geschah zusammen mit anderen Verbesserungen des Protokolls. Es sei den Forschern nicht gelungen, einen praktisch ausführbaren Angriff auf den angeblichen Bug zu finden – außer, wie er spitzfindig anmerkt, einer „Public Relations attack“.
Warum macht das MIT das? Gibt es Interessenskonflikte?
Wenn wahr ist, was die IOTA-Entwickler sagen – und es gibt bis jetzt noch kein Indiz dafür, dass dem nicht so ist –, wirft die Veröffentlichung von Neha Narula Fragen auf.
Warum gibt die Direktorin einer MIT-Forschungsgruppe ein Ergebnis der Forschung so maßlos überdramatisiert bekannt? Man könnte sogar sagen, das Blogpost von Narula ist an der Grenze zur absichtlichen Misinformation und Marktmanipulation. Die Wissenschaftlerin wirft das Renommee des MIT in die Waagschale, um einer Kryptowährung Schwächen zu unterstellen, die in der dargestellten Schwere nicht wirklich existieren. Warum macht sie das?
Bis jetzt gibt es noch kein Statement von Narula oder anderen Forschern der Digital Currency Group. Daher kann man nur spekulieren. Ein von manchen Beobachtern nahegelegter Grund ist ein stiller Interessenkonflikt der Forscher. Die vier Forscher, die an der Untersuchung von IOTA beteiligt waren, waren neben Neha Narula Madars Virza, Ethan Heilman und Thaddeus Dryja. Jeder von ihnen ist in andere Krypto-Projekte involiert.
Madars Virza arbeitet mit einer Paragon Foundation zusammen, welche, so Ivancheglo, an einer Technologie arbeitet, die mit IOTA konkurrieren soll. Ethan Heilmann schließlich forscht zum Teil an offchain-Lösungen zu Bitcoin und ist Berater der Kryptowährung Zcash. Thaddeus Dryvja schließlich ist Ko-Autor des Lightning-Netzwerks, welches, wie IOTA, Mikro-und Nanotransaktionen prozessieren soll.
All dies sind mögliche Interessenkonflikte, die für die beteiligten Forscher zumindest einen Anreiz darstellen, IOTA in ein schlechtes Licht zu rücken. Dies hätte Narula zumindest etwas deutlicher offenlegen sollen.
Ist damit nun alles gut?
Neha Narula scheint die von den MIT-Forschern gefundene Schwäche deutlich übertrieben dargestellt zu haben. Dies relativiert jedoch nicht einige weitere Kritikpunkte, die das Blogpost zurecht an IOTA äußert.
Dass IOTA einen „trusted coordinator“ braucht, um Forks zu verhindern – zumindest verstehe ich das so – ist eigentlich ein No-Go. Denn es war genau der Punkt von Satoshis Erfindung, dass man keine vertrauenswürdige Partei braucht, um Double Spends und Forks zu verhindern. IOTA ist demnach nicht dezentral.
Dass der Code für diesen Trusted Coordinator zudem Closed Source ist, macht es nur noch schlimmer.
Narula hat zudem kritisiert, dass IOTA-Transaktionen 10kb groß sind. Verglichen mit Bitcoin-Transaktionen, die nur 220 byte brauchen, ist das gigantisch. Sønstebø korrigiert sie und erklärt, dass Transaktionen „nur 1,6kb“ groß sind, „at rest“, was auch immer das bedeutet. Ivancheglo hingegen schreibt in seiner Antwort an die Forscher, dass eine „typische Transaktion 6,4 kb braucht, wenn eine Technik, die ich erklärt habe, nicht angewandt wird. Ansonsten sind es 3,7kb.“ Eine IOTA-Transaktion ist also 7, 16 oder 29 Mal so groß wie eine Bitcoin-Transaktion. In 1 MB Bitcoin-Daten passen theoretisch 4.500 Transaktionen, in 1 MB IOTA-Daten dagegen nur 156, 270 oder 588 Transaktionen.
Der Grund ist, dass IOTA-Transaktionen einen Algorithmus benutzen, der quantensicher ist. Ob dies schon heute notwendig ist, ist schwer zu sagen. Klar ist aber, dass diese Sperrigkeit der Transaktionen IOTA prinzipiell eher ungeeignet fürs Mikropayment macht.
Nicht von den MIT-Forschern erwähnt wurde, dass IOTA noch in keinster Weise bereit für den Einsatz in kleinen Geräten ist. Jeder Knoten muss jede Transaktion speichern, was aufgrund der extremen Größe der Transaktionen noch viel schlechter skaliert als Bitcoin. Es sind zwar Light-Knoten geplant, die dies nicht müssen, wie auch „Snapshots“ geplant sind, die den State speichern, womit Knoten historische Transaktionen wegwerfen können. Beides existiert bereits für Bitcoin.
Bisher ist der Stand von IOTA also suboptimal. Man könnte sagen, IOTA ist wie Bitcoin, aber halt nicht dezentral, nicht vollständig Open Source, mit Transaktionen, die viel mehr Speicher brauchen, aber ohne Light-Wallets, ohne Pruning und ohne Mining, Gebühren oder einen anderen Anreiz für Knoten, Transaktionen zu verifizieren und den Konsens zu halten. Das hinkt selbst ohne einen kryptographischen Bug anderen Kryptowährungen wie Bitcoin, Ethereum oder auch Dogecoin hinterher.
Nicht ganz erschließt sich dabei, was genau der Vorteil von IOTA sein wird, wenn all diese Baustellen wie versprochen einmal gelöst werden. Hier wäre ich über Aufklärung sehr dankbar und fordere jeden, der mehr weiß, auf, es mir mitzuteilen.
Die IOTA-Community in Rage
Abschließend möchte ich noch über die Reaktion der IOTA-Community auf die Veröffentlichung des MIT und auf meine News dazu schreiben. Es sind das ganze Wochenende über Beleidigungen gegen mich hier eingetrudelt. Die meisten, die einen erbosten Kommentar hinterlassen haben, fühlen sich offenbar berufen, über meine journalistische Kompetenz zu urteilen, halten sich aber aus jeder inhaltlichen Argumentation raus.
Wer die Kommentare liest, ist keinen Zentimeter schlauer, was die Sache betrifft, weiß aber, dass Christoph Bergmann ein irrsinnig inkompetenter Journalist ist, der wahnsinnig schlecht recherchiert und genüßlich gegen IOTA hetzt. Was schon etwas lustig ist, da der vermutlich wichtigste, fundierteste, wohmeinendste und meistgelesene deutschsprachige Artikel über IOTA von mir selbst stammt.
Die Krönung dieses Exzesses war der „Sonntags-Plausch“ des Tangleblog.com, in dem Steffen ab etwa Minute 30:00 gut eine Minute lang über mein Blog und mich schimpft („scheisse“, „schwach mein Freund“, „der allerletzte Müll“, „zu dämlich zum Lesen und schreiben“), und mir zudem jegliche Kompetenz abspricht.
Für Steffen sind die möglichen Interessenskonflikte der Forscher nicht genug. Er geht so weit, Narula selbst einen Interessenskonflikt zu unterstellen, weil sie ja Direktorin der Digital Currency Group ist und als solche Bitcoin hat. Und da IOTA die Zukunft, und Bitcoin der Dinosaurier ist, hat jeder, der Bitcoins besitzt, einen Grund, über IOTA herzuziehen. Angst, Neid, weiß der Geier was. Dieses Argumentationsmuster weckt Erinnerungen an die endlosen Diskussionen mit den in Onlinekursen geschulten OneCoin-Jüngern.
Bei dieser Perspektive wundert es einen nicht, wenn Steffen seine Zusammenfassung der Affäre mit etwa dem Spruch abschließt, dass diese Kritik nur zeige, dass IOTA die Zukunft ist. Seine Webseite Tangleblog.com passt ganz gut in dieses Schema. In einem Artikel, der behauptet, zu erklären, was IOTA ist, schimpft er über die Schwächen von Bitcoin, preist IOTA ins Unendliche – aber erklärt in keinster Weise, was IOTA genau macht und kann – und was es nicht kann. Ich vermisse hier etwa, dass IOTA nicht dezentral ist und dass es derzeit viel schlechter skaliert als Bitcoin. Aber egal.
Um es abzukürzen: Ich habe am Freitag eine Chance verpasst, gründlich zu recherchieren. Die IOTA-Community hat hingegen eine Chance verpasst, sich als souveräne Krypto-Community zu zeigen, die konstruktiv mit Kritik umgeht. Was sie hierzu demonstriert hat, erinnert eher an die OneCoin-Szene denn an reife Krypto-Communities wie von Bitcoin und Ethereum. Aber was nicht ist, kann noch werden.