Nach dem letzten Debakel um Verge (Artikel: Angriff auf Verge), geht es jetzt in die Verlängerung und ein weiteres mal berichtet der Nutzer “ocminer” im bitcointalk.org Forum über den Angriff.

Since nothing really was done about the previous attacks (only a band-aid), the attackers now simply use two algos to fork the chain for their own use and are gaining millions:

Both algos, scrypt and lyra2re can be rented easily for a few bucks at nicehash, they simply send one block scrypt, after that a block lyra2re and so on and all with manipulated timestamps thus lowering diff to lowest possible mining several blocks per minute like this

Ähnlich dem ersten Angriff kommen neue Blöcke rasend schnell zur Blockchain hinzu, dafür werden diese so einfach wie möglich erstellt (low difficulty) wodurch effektiv alle Blöcke nur vom Angreifer kommen und er die Prämie für das Schürfen eines Blocks einstreichen kann. Der Angriff lief bisweilen von Blockhöhe 2155850 (etwa 1 Uhr morgens) bis 2206271 (etwa 12 Uhr) und es konnten knapp 35 Mio. XVG (Verge) eingesackt werden, das entspricht etwa 1,5 Mio. €.

Der Angriff konnte erneut funktionieren weil die Entwickler nur ein “Pflaster” auf eine Fleischwunde gelegt haben, der eigentliche Angriff ist nämlich der selbe, nur werden jetzt zwei der fünf Algorithmen ausgenutzt anstatt nur einer der fünf. Der Witz daran ist das diese Lücke nicht unbekannt in der Basis-Implementation ist, jedoch die Entwickler von Verge diese Neuerungen aber nicht eingebunden haben und es eigentlich nur eine Frage der Zeit war bis jemand diese Lücke aufgefallen ist. Auch findet sich bislang kein einziger Code-Commit auf dem öffentlichen GitHub Repository von Verge bezüglich des Angriffs, demnach ist der Angriff weiterhin möglich.

Update 25.05.2018:
3 Tage nach dem Angriff gibt es endlich ein Update vom Haupt-Entwickler. Dieser ändert im Grunde die Block Drift Time von 2 Stunden auf 10 Minuten (ehemals 15 Minuten), das sollte technisch jedoch nicht den Angriff aufhalten können. Derzeit läuft es darauf hinaus das ein Angriff nur nicht stattfindet weil der Angreifer es einfach nicht macht.

Update 27.05.2018:
Wie es aussieht ist der “Fix” sogar von einer anderen Coin kopiert, während man die anderen beschuldigt den Code von Verge geklaut zu haben.

Disclaimer des Autors:
Ich habe sehr lange XVG gehalten bis ich es kurz vor dem ATH komplett verkauft habe.