“Verschwörungstheoretiker” hatten wieder Recht!
Das Pilotprojekt der digitalen Währung Real Digital der brasilianischen Zentralbank ermöglicht das Einfrieren von Nutzer-Wallets und die Reduzierung von Guthaben, wie von “Verschwörungstheoretikern” schon immer vermutet wurde!
Die Real Digital
Der Präsident der Zentralbank, Roberto Campos Neto, stellte im November 2022 die digitale Agenda Brasiliens vor und präsentierte eine Vorschau auf die Real Digital App. Laut Campos “scheint Real Digital, die digitale Währung der brasilianischen Zentralbank (CBDC), das Bankensystem zu tokenisieren”, und er erklärte, dass “CBDC nichts anderes als ein Token ist, das von der Bank bei der Einzahlung ausgegeben wird”
(Quelle)
Es ist jedoch eindeutig mehr als das, wie ein Bericht des Journalisten Vini Barbosa auf der Website Portal do Bitcoin zeigt.
Die öffentliche Prüfung
Am Montag, den 3. Juli, veröffentlichte die brasilianische Zentralbank (Bacen) Informationen über das Pilotprojekt der Zentralbank für digitale Währungen, bei dem die Öffentlichkeit an der Prüfung teilnehmen konnte. Im Ergebnis stellten die Entwickler fest, dass die digitale Währung das Einfrieren und die Manipulation der Geldbörsen der Nutzer ermöglicht.
Laut Barbosa erlaubte die brasilianische Zentralbank nach der Veröffentlichung der Dokumentation des brasilianischen CBDC-Pilotprojekts auf GitHub auch den Beginn einer öffentlichen Prüfung des Quellcodes des Systems.
Die öffentliche und kollaborative Prüfung ihres CBDC-Pilotprojekts auf der offenen Plattform “Kit Onboarding” enthält Dokumentationen und Konfigurationsdateien, auf die jeder zugreifen kann, da einer der Zwecke der Veröffentlichung des Pilotprojekts (wie im so genannten “Onboarding Kit” des Projekts beschrieben) darin besteht, Feedback zu erhalten – wobei die gesamte Dokumentation der Weiterentwicklung oder Änderungen unterliegt.
Entwickler
Wie nicht anders zu erwarten, erregte die Prüfung die Aufmerksamkeit und das Feedback einer Reihe von Entwicklern, die daraufhin den Code analysierten und dabei einige unbekannte Codefunktionen (Befehle) entdeckten. Diese Funktionen ermöglichen es den Kontrolleuren im Wesentlichen, mehrere relevante Änderungen an den Daten des CBDC-Ledgers vorzunehmen, die sich direkt auf die Benutzer auswirken.
Reverse Engineering (umgekehrte Technik)
Ein Full-Stack-Entwickler, Pedro Magalhães, der sich auf Blockchain und DeFI sowie die Programmiersprache Solidity spezialisiert hat, gab auf LinkedIn bekannt, dass er “den Solidity-Quellcode des CBDC durch die ABI (Schnittstelle) von Real Digital mittels Reverse Engineering entdeckt hat”.
Magalhães schrieb: “Kürzlich bin ich in die Welt der ABIs (Schnittstellen) von Real Digital, einer Initiative der Zentralbank, eingetaucht, mit der Absicht, mögliche Schwachstellen aus rein didaktischen Gründen zu erforschen.”
In einem Gespräch mit Portal do Bitcoin erklärte Magalhães: “Reverse Engineering ist eine Technik, um zu verstehen, wie ein System funktioniert, indem man sein Verhalten beobachtet” und dass ein Application Binary Interface (ABI) “im Grunde eine Möglichkeit ist, mit Smart Contracts auf Ethereum zu interagieren”.
Es ist wie ein Handbuch, das erklärt, wie der Vertrag gelesen und geschrieben werden kann”. Er erklärt weiter: “Ich analysierte die ABI, um die Funktionalitäten von Real Digital zu verstehen und entdeckte die verschiedenen von ihnen implementierten Funktionen.”
Dies führte zu zahlreichen Erkenntnissen, darunter Vorgänge wie das “Prägen” von Real Digital-Tokens und das Aktivieren/Deaktivieren von Zielkonten. Durch die Anwendung der Reverse-Engineering-Technik konnte er außerdem Funktionen finden, die von jeder Einrichtung ausgeführt werden können, die von der Kontrollinstanz des neuen Systems – also der Zentralbank – die entsprechenden Berechtigungen erhält.
Auf der Grundlage dieser Analyse war es laut Pedro möglich, den im Pilotprojekt verwendeten intelligenten Vertrag in Solidity (der Computersprache) neu zu erstellen. Dieser Vertrag ermöglicht die Ausführung der folgenden Funktionen:
disableAccount: Deaktiviert ein Konto, das zur Übertragung von Token berechtigt ist.
enableAccount: Aktiviert ein Konto, das zuvor für Token-Übertragungen gesperrt war.
increaseFrozenBalance: Erhöht den eingefrorenen Saldo einer Wallet-Adresse.
decreaseFrozenBalance: Verringert den eingefrorenen Saldo einer Wallet-Adresse.
transfer: Überschreibt die ERC20-Übertragungsfunktion, um Kontostatusprüfungen und eingefrorene Guthaben zu berücksichtigen.
transferFrom: Überschreibt die ERC20-Funktion transferFrom, um Kontostandsprüfungen und eingefrorene Guthaben zu berücksichtigen.
mint: Erstellt neue Real Digital Token für eine bestimmte Adresse.
brennen: Verbrennt (vernichtet) eine bestimmte Anzahl von Real-Digital-Token.
pausieren: Unterbricht die Übertragung von Token.
Pause aufheben: Setzt die Token-Übertragung fort.
frozenBalanceOf: Ruft den eingefrorenen Saldo einer Wallet-Adresse ab.
authorizedAccount: Prüft, ob ein Konto für Token-Transfers autorisiert ist.
verschieben: Überträgt Token von einer Wallet zu einer anderen.
moveAndBurn: Überträgt und verbrennt Token aus einer Wallet.
burnFrom: Verbrennt Token von einem bestimmten Konto.
Diese Funktionen können von jeder von der Zentralbank autorisierten Stelle über eine weitere Funktion (ebenfalls im Quellcode vorhanden) namens Access Control ausgeführt werden. Portal do Bitcoin hat auch die Existenz dieser Funktionen im Quellcode von Real Digital überprüft und mit anderen Entwicklern bestätigt.
Für eine Testumgebung gedacht?
Laut Barbosa hatte die brasilianische Zentralbank ursprünglich erklärt, dass “das Real-Digital-Pilotprojekt nur für den Einsatz in einer Testumgebung gedacht ist und nicht für den realen Betrieb reproduziert werden sollte”. Auf Nachfrage des Berichts räumte die Zentralbank jedoch die Möglichkeit ein, die von Magalhães entdeckten Funktionen auszuführen.
Allerdings “verfügen die BC und die Institutionen bereits über ähnliche Funktionen in der aktuellen Umgebung von Systemen wie SPB und Pix, deren Nutzung durch Gesetze und Vorschriften geregelt ist”, teilte die Währungsbehörde des Landes mit.
Die Bank bestätigte, dass sie die Funktionen beibehalten wird
Die Zentralbank bestätigte ihre Pläne, die Funktionen beizubehalten, die es der Währungsbehörde und den autorisierten Stellen ermöglichen, Benutzerkonten einzufrieren, die Guthaben der Zieladressen zu verringern, Verhaftungen vorzunehmen und neue Einheiten der digitalen Währung (CBDC) zu prägen.
Barbosa twitterte: “Bis heute wurde in der Bevölkerung nur darüber spekuliert, ob sie nach dem offiziellen Start von Real Digital beibehalten werden oder ob sie nur für das Testnetzwerk gemacht wurden.
*Vollständiger Bericht (in pt-br): https://portaldobitcoin.uol.com.br/bc-podera-cong
Diese Möglichkeit des “Einfrierens oder Festhaltens von Beträgen”, die in diesem System gehalten werden, ist nach Angaben der Zentralbank durch die geltenden brasilianischen Rechtsvorschriften geschützt. Haben wir wirklich etwas anderes erwartet? Warum sollten sie diese Funktionen aufgeben, die es ihnen leichter machen, die Massen zu kontrollieren?
