Tak, Blockchain można zhakować

Cyberbezpieczeństwo sprawia, że ​​chcę płakać

Haker hakuje Equifax

Ujęcie na żywo z hackowania Equifax

Żyjemy w czasach regularnych głośnych naruszeń danych i obaw o bezpieczeństwo i prywatność informacji cyfrowych, obarczonych starzejącą się infrastrukturą internetową, która najwyraźniej nie jest w stanie sprostać wyzwaniu zapobiegania wyrafinowanym cyberatakom. Od Equifax do WannaCry, iluzja cyberbezpieczeństwa rozpuszcza się na naszych oczach.

Coraz częściej pojawiają się wiadomości o włamaniu lub ujawnieniu danych osobowych. Coraz więcej osób, którym powierzyliśmy klucze do naszych danych, okazuje się nadużywać tych danych i zdradzać nasze zaufanie. Staje się coraz jaśniejsze, że scentralizowane systemy, które doprowadziły nas tak daleko, nie wystarczą, aby ochronić nas w postępach.

Technologia Blockchain obiecuje rozwiązać te problemy, usuwając zaufanie związane z przechowywaniem i dostępem do naszych treści cyfrowych. Przenosząc dane na krańce sieci i wykorzystując silną kryptografię do utrzymania indywidualnej kontroli nad tymi danymi, łańcuchy bloków mają na celu oddanie władzy z powrotem w ręce użytkowników końcowych i twórców danych, a nie (wyraźnie niezdarne) ręce platformy, których używamy do udostępniania danych.

Łańcuchy bloków nie są niezhakowane

Jednak mimo dużej mocy łańcuchów bloków nie są one odporne na ataki. Każda technologia ma słabe punkty i wektory ataku, a łańcuch bloków nie jest wyjątkiem. Tutaj zbadamy różne wektory ataku (w kolejności rosnącego zagrożenia) i przyjrzymy się kilku przykładom każdego z nich z krótkiej, ale ekscytującej dotychczasowej historii kryptowalut.

Sybil Attack

Atak Sybil to atak, w którym ogromna liczba węzłów w jednej sieci jest własnością tej samej strony i próbuje zakłócić aktywność sieciową poprzez zalewanie sieci złymi transakcjami lub manipulowanie przekazywaniem ważnych transakcji.

Ataki te są jak dotąd teoretyczne iw większości przypadków mogą nigdy nie zostać zauważone, ponieważ jedną z podstawowych decyzji projektowych podejmowanych podczas opracowywania systemu kryptowalut jest sposób zapobiegania atakom Sybil.

Bitcoin zapobiega im poprzez algorytm Proof-of-Work, wymagając od węzłów wydawania zasobów (w postaci energii) w celu odbioru monet, przez co posiadanie większości węzłów jest bardzo kosztowne. Różne projekty inaczej radzą sobie z odpornością na Sybil, ale prawie wszystkie ją obsługują.

Rozgromiony atak

Atak routingowy to atak, który jest możliwy dzięki kompromitacji lub współpracy dostawcy usług internetowych (ISP). Chociaż technicznie możliwe jest uruchomienie węzła Bitcoin (lub innych monet) w dowolnym miejscu na świecie, obecna rzeczywistość jest taka, że ​​węzły są obecnie stosunkowo scentralizowane pod względem dostawców usług internetowych, którzy przenoszą ruch internetowy do iz.

Według Badania wykonane przez ETHZurich, 13 dostawców usług internetowych obsługuje 30% sieci Bitcoin, podczas gdy 3 dostawców usług internetowych kieruje 60% całego ruchu transakcyjnego w sieci. Jest to główny punkt awarii, jeśli dostawca usług internetowych miałby zostać narażony na uszkodzenie.

Atak routingowy polega na przechwyceniu ruchu internetowego przesyłanego między systemami autonomicznymi, węzłami najwyższego poziomu w architekturze Internetu, których jest wystarczająco niewiele, aby można je było przechwycić ze względną łatwością. Jest to zjawisko obserwowane powszechnie, nawet codziennie, w Internecie na wolności i z pewnością może być użyte przeciwko Bitcoin lub inny ruch kryptowalutowy.

Korzystając z tej metody, sieć kryptowalut może zostać podzielona na dwie lub więcej oddzielnych sieci, narażając obie strony partycji na ataki podwójnego wydatkowania, ponieważ nie mogą komunikować się z całą siecią w celu weryfikacji transakcji. Gdy monety zostaną wydane po jednej stronie sieci i otrzymane towary lub usługi, podział może zostać usunięty, a strona sieci z krótszym łańcuchem zostanie odrzucona przez sieć jako całość, a transakcje te zostaną usunięte.

O ile nam wiadomo, do tego rodzaju ataku nie doszło i są kroki, które można podjąć, aby monety były odporne na takie zachowanie.

Bezpośrednia odmowa usługi

Diagram bezpośredniego ataku typu „odmowa usługi”Chociaż możesz łatwo kupić domenę z potężnymi linkami zwrotnymi z https://www.spamzilla.io, ale prosty atak typu Direct Denial of Service (DDoS) może spowodować uszkodzenie serwera. DDoS to po prostu próba, którą można wykonać, zalewając serwer dużym natężeniem ruchu. Jest to zdecydowanie jeden z bardziej powszechnych ataków obserwowanych w środowisku naturalnym, ponieważ stosunkowo łatwo jest kupić atak DDoS od dowolnej liczby hakerów lub firm o złej reputacji.

W przypadku strony internetowej wygląda to na ogromną liczbę żądań wysyłanych do serwera w sposób ciągły przez pewien okres czasu, uniemożliwiając uprawnionym żądaniom otrzymanie potrzebnych im zasobów. W przypadku węzła Bitcoin wygląda to na ogromne ilości małych lub nieprawidłowych transakcji wysyłanych w celu zalania sieci i uniemożliwienia przetwarzania legalnych transakcji.

Główne sieci, takie jak Bitcoin, są nieustannie atakowane przez próby DDoS, ale decyzje projektowe podejmowane podczas rozwoju sieci Bitcoin mają na celu ograniczenie ryzyka prób DDoS. W obliczu udanego ataku DDoS nie ma zagrożenia kradzieżą środków lub naruszeniem bezpieczeństwa, a jedynie wstrzymanie aktywności sieciowej.

Bitcoin’s Backlog Blues

Jednak, chociaż nie stanowi zagrożenia dla bezpieczeństwa, to przerwanie usługi może być wykorzystane w innych programach. Jest coś w rodzaju sagi, jeśli chodzi o transakcje „spamowe” (DDoSing w sieci z dużą liczbą transakcji) i Bitcoin, który rozgrywał się w latach 2015-2017.

W czerwcu 2015 roku Coinwallet.eu (nieistniejąca już firma portfelowa) przeprowadziła „test warunków skrajnych”Sieci Bitcoin, wysyłając tysiące transakcji w sieci w celu wywarcia wpływu na kontrowersyjną debatę dotyczącą zmiany rozmiaru bloków, która szalała w tamtym czasie, stwierdzając w swoim poście z ogłoszeniem, że postanowili„ przedstawić wyraźny argument za zwiększonym rozmiaru bloku, demonstrując prostotę ataku spamowego na dużą skalę w sieci ”.

Miesiąc później, w tak zwanym „ataku powodziowym”, 80 000 drobnych transakcji zostało jednocześnie wysłanych do sieci Bitcoin, tworząc ogromne zaległości, które zostały usunięte jedynie dzięki wysiłkom F2Pool, jednej z największych pul wydobywczych w tamtym czasie, który przeznaczył cały blok na połączenie wszystkich transakcji spamowych i ich wyczyszczenie.

W ciągu następnego roku, według analizy LaurentMT, twórcy narzędzia analitycznego Bitcoin OXT, wiele tysięcy, a nawet milionów więcej transakcji spamowych (głównie drobnych, bezużytecznych transakcji, które prawdopodobnie nie mogły być legalne) zostało wysłanych, zapychając zaległości Bitcoin UTXO, ale te transakcje były w większości ignorowane przez główne pule wydobywcze.

Bitcoin Mempool 2017

Nagle, w drugiej połowie 2016 r., A właściwie w tym samym czasie, główne pule wydobywcze w tamtym czasie zaczęły akceptować te transakcje spamowe w blokach, zmniejszając przepustowość legalnych transakcji, tak jak ponownie narastała debata na temat rozmiaru bloku i wiele z nich Plotka głosiła, że ​​basenów stoi po stronie „dużych blokad” nad małymi blokadami.

Sieć Bitcoin od tego czasu wyczyściła ten zaległości i nuci dalej, podczas gdy fani dużych bloków przenieśli swoją uwagę na Bitcoin Cash, projekt, który Jihan Wu (założyciel Bitmain, największy właściciel Bitcoin hashpower) w pełni popiera . Przeprowadź własne badania.

51% lub Atak większości

Ponieważ bezpieczeństwo łańcucha bloków jest bezpośrednio powiązane z mocą komputera budującą łańcuch, istnieje zagrożenie, że atakujący uzyska kontrolę nad większością mocy obliczeniowej w sieci. Pozwoliłoby to atakującemu wydobywać bloki szybciej niż reszta sieci razem wziętych, otwierając drzwi do „podwójnego wydawania”.

Podwójne wydatki to metoda defraudacji kryptowaluty, która polega na przesłaniu transakcji do łańcucha, otrzymaniu towaru lub usługi, za którą transakcja płaci, a następnie wykorzystaniu większości hashpoweru do rozwidlenia łańcucha bloków w punkcie poprzedzającym transakcję. To skutecznie usuwa tę transakcję z historii łańcucha, umożliwiając atakującemu dokonanie transakcji z tymi samymi monetami po raz drugi.

Uzyskanie większości hashpoweru nie pozwoliłoby atakującemu na tworzenie monet, uzyskiwanie dostępu do adresów lub naruszanie sieci w jakikolwiek inny sposób, co ogranicza szkody, które umożliwia ta metoda. Największym skutkiem takiego ataku może być utrata zaufania do atakowanej sieci, a następnie spadek ceny aktywów dowolnego tokena w sieci.

Ten rodzaj ataku większościowego jest bardzo kosztowny do przeprowadzenia, w wyniku czego w rzeczywistości tylko stosunkowo małe monety o niskiej mocy hash są podatne na ten wektor ataku. Główne monety, takie jak Bitcoin, nie mają się czego obawiać przed atakiem 51%, ponieważ każdy atakujący z ogromną większością mocy mieszania miałby większą motywację do po prostu wydobycia wszystkich bloków i otrzymania Bitcoina niż do próby ataku, szczególnie biorąc pod uwagę cena ich skradzionego Bitcoina spadłaby, gdyby wiadomość o ataku wyszła na jaw.

51% na wolności

Jeden z bardziej interesujących przykładów 51% ataków na wolności pochodzi dzięki uprzejmości grupy hakerów, którzy nazywali siebie „Załogą 51”. W drugiej połowie 2016 roku załoga 51 zaczęła przetrzymywać małe klony Ethereum jako okup, wykorzystując ich niskie stawki haszowania i scentralizowana dystrybucja wydobycia, aby wynająć wystarczającą ilość sprzętu do połączenia sieci.

Twierdząc, że ich „intencją nie jest zrujnowanie projektu”, a robili to po prostu zarabiać pieniądze, zażądali Bitcoina w zamian za zamknięcie ich działalności i pozostawienie projektów w spokoju. Gdyby żądania nie zostały spełnione, rozwidliby łańcuch blokowy monety do punktu poprzedzającego dużą sprzedaż, którą załoga dokonała już na giełdach.

Projekty, o których mowa, Krypton (obecnie nieistniejący) i Shift (nadal sprzedawane na niewielką skalę), odmówiły zapłacenia okupu, a następnie ich łańcuchy bloków zostały rozwidlone. Zespoły projektowe starały się wzmocnić decentralizację sieci i wprowadzić zmiany w protokołach, aby zapobiegać takim nadużyciom, ale nie przed podjęciem sporego trafienia.

Luki kryptograficzne

Opisane do tej pory ataki dotyczą głównie podwójnych wydatków lub ograniczenia usług sieciowych. Ataki są drogie do przeprowadzenia i są szybko korygowane przez własne funkcje samonaprawy sieci. Chociaż mogą stanowić rzeczywiste zagrożenie dla zaufania do kryptowaluty i skutkować minimalną utratą środków, są to stosunkowo małe ziemniaki.

Jak w przypadku każdego systemu komputerowego lub sieci, największym wektorem ataku jest błąd ludzki. Poważne straty środków, jakie dotychczas odnotowano w kryptolandzie, są wynikiem błędów w oprogramowaniu samej monety. Błędy kryptograficzne w zabezpieczeniach kryptowalut pozostawiają luki w zabezpieczeniach, które mogą zostać wykryte i wykorzystane przez wyrafinowanych hakerów w celu podważenia projektu.

DAO

Być może najbardziej widocznym przykładem włamania za pomocą tandetnego kodu jest niesławny hack Ethereum DAO, tak zły, że zrodził zupełnie nową kryptowalutę i nawiedza projekt Ethereum do dziś.

DAO (Decentralized Autonomous Organization) była organizacją bez lidera zbudowaną na bazie Ethereum przy użyciu inteligentnych kontraktów. Pomysł polegał na umożliwieniu każdemu inwestowania w firmę i głosowania nad projektami, które chcieliby sfinansować, a wszystko to było zarządzane bezpiecznie i automatycznie za pomocą kodu inteligentnego kontraktu DAO.

Jeśli zainwestowałeś w DAO (kupując tokeny DAO), a później zdecydowałeś się wycofać, istniał mechanizm, dzięki któremu możesz zwrócić Ethereum w zamian za tokeny DAO. Jest to mechanizm zwany „Split Return”, który został wykorzystany przez pionierskiego DAOist 17 czerwca 2016 r.

Split Return to proces dwuetapowy: zwróć odpowiednią ilość Ethereum posiadaczowi tokenu, który wyzwala zwrot, a następnie weź tokeny i zarejestruj transakcję w łańcuchu bloków, aby zaktualizować saldo tokena DAO. Nieznany haker zdał sobie sprawę, że może oszukać system, aby powtórzył pierwszy krok bez przechodzenia do drugiego, co umożliwiło mu wyprowadzenie Ethereum o wartości 50 milionów dolarów z DAO do oddzielnego DAO kontrolowanego tylko przez atakującego..

To oczywiście rozpaliło społeczność Ethereum i powstał plan soft-fork i odzyskania funduszy. Miękki widelec byłby minimalnie inwazyjny, wstecznie kompatybilny i po prostu „wymazał” hack DAO z łańcucha bloków. Kiedy jednak powstał plan, zdano sobie sprawę, że nie poleci i będzie potrzebny twardy widelec. Było to kontrowersyjne i zaowocowało stworzeniem Ethereum Classic (ETC), kontynuacji oryginalnego łańcucha Ethereum z hackowaniem DAO, oraz Ethereum (ETH), nowo powstałego projektu hard fork, który kontynuował DAO kolejny dzień.

Prawdziwym zagrożeniem są użytkownicy, a nie hakerzy

Technologia Blockchain jest solidna i obiecująca, a nawet przy tych wszystkich możliwych podejściach do ataku bardzo niewiele udanych ataków przeszło do historii. Nie zapobiegło to jednak kradzieży ogromnych ilości pieniędzy użytkownikom.

Podczas gdy bezpieczeństwo większości kryptowalut pozostaje nienaruszone, bezpieczeństwo portfeli, giełd i kont usług stron trzecich wokół tych kryptowalut pozostaje niemal śmiesznie złe. Bitcoin i inne kryptowaluty warte miliony dolarów zostały skradzione z zainfekowanych kont osób fizycznych i giełd na przestrzeni lat.

Podczas gdy opisane powyżej ataki są głównie teoretyczne i są aktywnie chronione, rażącą dziurą w bezpieczeństwie Bitcoina i każdej innej kryptowaluty jest fakt, że ludzie nie są tak dobrzy w zwracaniu uwagi i czujności. Ponowne używanie haseł, padanie ofiarą oszustw typu phishing, nieostrożni operatorzy witryn internetowych i niedbali pracownicy giełdy nadal są najbardziej niebezpiecznymi punktami niepowodzenia, jeśli chodzi o stan gospodarki kryptograficznej.

W miarę postępów mogą wystąpić pewne ataki na poziomie łańcucha bloków. Mogą one pochodzić od wielkich mocarstw, takich jak rządy lub korporacje, które chcą kontrolować lub podważać te obiecujące nowe sposoby przechowywania i transferu bogactwa i wartości. Jednak na dłuższą metę takie ataki będą działać tylko na rzecz wzmocnienia i ewolucji technologii, aby była bardziej odporna i solidna.

Ale o wiele więcej, trzeba będzie dokonać wielkich skoków i ograniczeń w łatwości użytkowania i bezpieczeństwie produktów kryptograficznych dla konsumentów, zanim nastąpi rzeczywista adopcja. O ile przypadkowe udostępnienie hasła lub pozostawienie otwartego laptopa może oznaczać utratę oszczędności życia, nie możemy wejść do świata opartego na kryptowalutach.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map