🔴 UNTERSUCHUNG 30. April 2026 · 8 Min. Lesezeit

CVE-2026-31431: Die Linux-Sicherheitslucke, die Krypto-Borsen bedroht

Offentliche Bekanntgabe am 29. April 2026. Ein 732-Byte-Exploit ermoglicht Container-Escape auf Kubernetes. Viele Borsen haben das Patchen noch nicht abgeschlossen.

CVE-2026-31431 Copy Fail Linux Schwachstelle

🔴 Breaking — 29. April 2026 — Offentliche Bekanntgabe erfolgte gestern. Viele Linux-Distributionen noch ohne offiziellen Patch. Laufend aktualisiert.

Es heisst "Copy Fail". Eine Linux-Kernel-Schwachstelle, die von einem koreanischen Forscher mit Hilfe kunstlicher Intelligenz entdeckt wurde. Sie betrifft jeden Linux-Server seit 2017. Ein 732-Byte-Python-Skript genugt, um zu beweisen, dass jeder mit Zugang zu einem Container auf einem gemeinsam genutzten Server Root auf der gesamten Maschine werden kann — in Sekunden, ohne Spuren auf der Festplatte zu hinterlassen.

Offentliche Bekanntgabe: 29. April 2026. Sechzehn Stunden spater war es bereits auf Dread, dem Reddit des Darknets. Krypto-Borsen — die Ihre Gelder auf Kubernetes-Clustern aus Hunderten von Containern betreiben — haben den Patch noch nicht vollstandig ausgerollt.

Die Frage ist einfach: Ist Ihre Borse sicher? Die Antwort lautet derzeit: Es hangt davon ab, wie schnell sie ihren Kernel aktualisiert haben.

Was ist CVE-2026-31431 "Copy Fail" — Ohne Fachjargon erklart

Das Problem liegt in einem Kernel-Modul namens authencesn. Durch eine Abfolge von Operationen (AF_ALG -> splice()) kann ein gewohnlicher Benutzer ohne Privilegien 4 Bytes in einen Speicherbereich schreiben, den er nicht beruhren sollte: den Page Cache — die im Speicher befindliche Version jeder Datei auf dem System. Das Ausrichten dieses Schreibvorgangs auf die su-Binary ergibt eine Root-Shell — ohne jemals die Datei auf der Festplatte zu beruhren.

Was diese Schwachstelle von fast allen anderen unterscheidet:

🎯 100% zuverlassig — keine Race Condition, funktioniert immer
👣 Keine Festplattenspuren — die Datei wird nie beruhrt, Forensik findet alles sauber
📦 732 Bytes reines Python — Standardbibliothek, keine externen Abhangigkeiten
🖥 Portabel — dasselbe Skript auf Ubuntu, Amazon Linux, RHEL, SUSE
📅 Seit 2017 vorhanden — fast ein Jahrzehnt im Kernel, unbemerkt

copy.fail CVE-2026-31431 official site screenshot — Die copy.fail Website — offizielle Disclosure-Seite für CVE-2026-31431.

Entdeckt von Taeyang Lee (Xint Code/Theori) mittels KI-gestutzter Analyse in etwa einer Stunde. PoC auf GitHub. Offizielle Website: copy.fail.

Wie es Krypto-Borsen trifft — Kubernetes und Container-Escape

Alle grossen Krypto-Borsen laufen auf Kubernetes. Der Page Cache wird auf Host-Ebene geteilt — von innerhalb eines Containers bedeutet das Ausnutzen dieser Schwachstelle das Entkommen zu Root auf dem gesamten Host, mit Zugang zu allen anderen Containern auf dem Knoten, einschliesslich derer, die private Wallet-Schlussel halten.

Realistisches Angriffsszenario auf eine Borse:

Angreifer erlangt Container-Zugang (Web-RCE, Insider-Bedrohung, Supply-Chain-Angriff)
Fuhrt das 732-Byte-Skript aus — dauert Sekunden
Wird Root auf dem Kubernetes-Host
Greift auf alle Secrets, Container und kryptografischen Schlussel auf dem Knoten zu
Leert die Wallets

Sind Borsen verwundbar? Stand der Patches

Patch in Linux-Mainline integriert: 1. April 2026 (Commit a664bf3d603d). Sichere Kernel-Versionen: 6.18.22+, 6.19.12+, 7.0+.

Bestatigt verwundbar: Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1, SUSE 16. Borsen aktualisieren Kernel typischerweise alle 4-8 Wochen. Viele Produktionsserver laufen heute noch auf verwundbaren Versionen.

Die erste grosse Linux-Schwachstelle, die von KI entdeckt wurde

CVE-2026-31431 wurde von Taeyang Lee (Xint Code/Theori) mit einem KI-Analysesystem in etwa einer Stunde identifiziert.

"Ich hasse KI-Muell, aber das ist zu 100% eine echte und schwere Schwachstelle. Das ist effektiv der Beweis, dass KI-Schwachstellenerkennung zu einer echten Bedrohung wird. Wir konnten eine dritte Welle von Schwachstellen sehen, wenn Leute anfangen, den Kernel mit KI zu analysieren." — Dread-Benutzer, 18k Punkte, 8 Jahre

Theori bestatigt, dass derselbe KI-Scan weitere hochschwere Kernel-Bugs gefunden hat, die sich derzeit in koordinierter Offenlegung befinden. Dies ist der Beginn einer neuen Ara in der Sicherheitsforschung.

Was jetzt zu tun ist — Wie Sie Ihr Geld schutzen

Borsenbenutzer:

✅ Diversifizieren: Halten Sie nicht alle Gelder auf einer Borse
✅ Self-Custody: Fur bedeutende Betrage verwenden Sie eine Hardware-Wallet (Ledger, Trezor, Coldcard)
✅ Kommunikation uberwachen von Ihrer Borse in den kommenden Stunden/Tagen
✅ Starke 2FA: Verwenden Sie einen Hardware-Schlussel (YubiKey) oder TOTP-App, niemals SMS

Borsenbetreiber:

🚨 Sofort aktualisieren auf Kernel >= 6.18.22, 6.19.12 oder 7.0
🚨 Uberprufen Sie mit uname -r auf allen Cluster-Knoten
🚨 Prufen Sie lsmod | grep authencesn

Haufig gestellte Fragen

Kann CVE-2026-31431 aus der Ferne ausgenutzt werden?

Nein. Es erfordert lokale Code-Ausfuhrung als Ausgangspunkt. In Kubernetes-Umgebungen umfasst "lokal" jeden Container auf demselben physischen Host.

Sind meine Borsen-Guthaben unmittelbar gefahrdet?

Kein bestatigter laufender Angriff. Das Risiko ist potenziell: Ein Angreifer mit bereits vorhandenem Container-Zugang auf einer verwundbaren Borse konnte mit dieser Technik Privilegien eskalieren.

Wie erfahre ich, ob meine Borse gepatcht hat?

Es gibt noch keine offentliche Liste. Kontaktieren Sie Ihre Borse direkt und uberwachen Sie deren Sicherheitsblog fur CVE-2026-31431-Mitteilungen.

Veroffentlicht: 30. April 2026 | Autor: Segugio

Segugio Investigativer Krypto-Journalist. Verfolgt Dark-Web-Informationen, Börsen-Sicherheit und On-Chain-Forensik. Quellen werden nie offengelegt.

⚠️ Haftungsausschluss: Dieser Artikel dient nur zu Informationszwecken und stellt keine Finanz- oder Rechtsberatung dar. Machen Sie immer Ihre eigenen Recherchen (DYOR), bevor Sie Anlageentscheidungen treffen.