KI-Sicherheitsagenten entdeckten Bug, der jeden Ethereum-Node mit einer Nachricht zum Absturz bringen konnte

Was die Schwachstelle bewirkt
Die Lücke steckt im Gossipsub-Layer von libp2p, dem P2P-Nachrichtenprotokoll, auf das alle Ethereum-Consensus-Clients angewiesen sind, um Blöcke und Attestierungen im Netzwerk zu verbreiten. Konkret liegt das Problem im PRUNE-Backoff-Expiry-Handler: Schickt ein Peer eine manipulierte PRUNE-Kontrollnachricht mit einem nahezu maximalen Backoff-Wert, führt die Implementierung beim nächsten Heartbeat-Tick eine unkontrollierte arithmetische Operation mit Instant + Duration durch. Diese Berechnung läuft über, löst einen Panic aus und bringt den Node zum Absturz.
Das National Vulnerability Database-Eintrag bewertet die Schwachstelle mit einem CVSS-v3.1-Basisscore von 8,2 (HIGH). Der Angriffsvektor ist netzwerkbasiert, erfordert keine Privilegien und keine Benutzerinteraktion. Besonders gefährlich: Ein Angreifer kann nach jedem Absturz erneut eine Verbindung aufbauen und die Nachricht wiederholen, was einen Dauerbetrieb des Denial-of-Service zu vernachlässigbaren Kosten ermöglicht. Betroffen sind alle Validatoren, Indexer und Sidecar-Tools, die Rust libp2p-gossipsub in einer Version unterhalb von v0.49.4 betreiben. Die Schwachstelle ist dabei nicht auf Ethereum beschränkt, sondern betrifft jede Anwendung, die das verwundbare Crate in der Produktion einsetzt.
Wie KI-Agenten die Lücke fanden
Nikos Baxevanis vom Protocol Security Team der Ethereum Foundation beschrieb die eingesetzte Methodik. Das Team ließ zahlreiche KI-Agenten parallel gegen Ethereums Systemsoftware, kryptografischen Code und Smart Contracts laufen. Die Koordination erfolgte über ein gemeinsames Git-Repository ohne zentralen Dispatcher, ein Ansatz, der an Anthropics Fleet-basierter Compiler-Arbeit orientiert ist. Rollen entstanden dabei dynamisch: Recon übersetzte Angriffsoberflächen in testbare Hypothesen, Hunting verfolgte Codepfade und erstellte Reproducer, Gap-filling überwachte die Testabdeckung, und Validation überprüfte jeden Kandidaten unabhängig.
Das entscheidende Qualitätskriterium war eine strikte Reproduzierbarkeitsanforderung. Wie das EF-Team formulierte: „Ein Kandidat ist erst dann ein Fund, wenn es ein eigenständiges Artefakt gibt, das den Fehler im echten Code reproduziert und das für jemanden funktioniert, der es nicht selbst geschrieben hat.“ Diese Regel filterte die häufigsten False-Positive-Fallen heraus. Baxevanis hob hervor, dass der eigentliche Aufwand nicht im Auffinden der Fehler lag, sondern in der Triage: „Die echten Bugs von jenen zu unterscheiden, die nur wie echte aussahen.“
Einordnung und Handlungsempfehlung
CVE-2026-34219 ist kein Einzelfall im Backoff-Handling von libp2p. Eine vorherige Schwachstelle, CVE-2026-33040, betraf offenbar ein ähnliches PRUNE/Backoff-Overflow-Problem, wurde in v0.49.3 behoben und erhielt einen CVSS-Score von 8,7. Zwei schwerwiegende Lücken im selben Subsystem aufeinanderfolgender Minor-Releases deuten auf einen systematischen Härtungsprozess hin und legen nahe, dass die Gossipsub-Kontrollnachrichtenoberfläche weiter beobachtet werden sollte.
Der Patch in libp2p-gossipsub v0.49.4 fügt eine Bereichsprüfung für Backoff-Durationswerte in PRUNE-Nachrichten hinzu, bevor diese in die Heartbeat-Arithmetik einfließen, und schließt den Overflow-Pfad vollständig. Alle Betreiber von Consensus-Clients oder auf Rust libp2p basierenden Tools sollten ihre Gossipsub-Version umgehend prüfen und auf v0.49.4 oder höher aktualisieren. Das EF-Team selbst zieht ein strukturelles Fazit: „Der Engpass ist nicht verschwunden. Er hat sich verschoben, vom Auffinden von Bugs hin zum Vertrauen in die Ergebnisse, und das ist ein besserer Ort dafür, weil dort menschliches Urteilsvermögen tatsächlich zählt.“



