Ja, Blockchain kan hackes

Cybersecurity Makes me Wanna Cry

Hackerhacking Equifax

Live-action-skudd av Equifax-hacket

Vi eksisterer i en tid med regelmessige høyprofilerte datainnbrudd og bekymring over sikkerheten og personvernet til digital informasjon, satt på med en aldrende internettinfrastruktur som helt klart ikke er opp til utfordringen med å forhindre sofistikerte cyberangrep. Fra Equifax til WannaCry oppløses illusjonen om cybersikkerhet for øynene våre.

Oftere og oftere kommer nyheter om hacking eller eksponering av personlig informasjon fram. Mer og mer blir de som vi har betrodd nøklene til dataene våre avslørt for å misbruke disse dataene og forråde vår tillit. Det blir stadig tydeligere at de sentraliserte systemene som har fått oss så langt ikke vil være nok til å beskytte oss fremover.

Blockchain-teknologi lover å løse disse problemene ved å fjerne tilliten som er involvert i lagring og tilgang til vårt digitale innhold. Ved å flytte data til kantene av nettverket og bruke sterk kryptografi for å opprettholde individuell kontroll over disse dataene, har blokkeringer som mål å gi kraften tilbake i hendene på sluttbrukerne og skaperne av dataene, ikke de (tydelig klønete) hendene på plattformer som vi bruker for å dele dataene.

Blockchains er ikke unhackable

Imidlertid, så kraftige som blokkjeder kan være, er de ikke immun mot angrep. Enhver teknologi har svake punkter og angrepsvektorer, og blockchain er ikke noe unntak. Her vil vi utforske de forskjellige angrepsvektorene (i rekkefølge av økende trussel) og se på noen eksempler på hver fra den korte, men spennende historien om kryptovaluta så langt.

Sybil Attack

Et Sybil-angrep er et angrep der et stort antall noder på et enkelt nettverk eies av samme parti og prøver å forstyrre nettverksaktivitet gjennom å oversvømme nettverket med dårlige transaksjoner eller manipulere videreformidling av gyldige transaksjoner.

Disse angrepene er så langt teoretiske og kan for det meste aldri sees, ettersom en av de grunnleggende designbeslutningene som tas når du utvikler et kryptovaluta-system, er hvordan du kan forhindre Sybil-angrep..

Bitcoin forhindrer dem gjennom sin Proof-of-Work-algoritme, som krever at noder bruker ressurser (i form av energi) for å motta mynter, og dermed gjør det å eie det store flertallet av noder veldig dyrt. Ulike prosjekter håndterer Sybil-motstand forskjellig, men nesten alle håndterer det.

Routing Attack

Et ruteanfall er et angrep som er mulig gjennom kompromiss eller samarbeid fra en Internett-leverandør (ISP). Selv om det er teknisk mulig å kjøre en Bitcoin (eller andre mynter) -node hvor som helst i verden, er den nåværende realiteten at noder er relativt sentraliserte akkurat nå når det gjelder Internett-leverandører som fører internettrafikken til og fra.

I følge forskning gjort av ETHZurich, er 13 Internett-leverandører vert for 30% av Bitcoin-nettverket, mens 3 Internett-leverandører ruter 60% av all transaksjonstrafikk for nettverket. Dette er et stort feilpunkt hvis en ISP kompromitteres for å bli ødelagt.

Et ruteanfall fungerer ved å avlytte internettrafikk som sendes mellom autonome systemer, toppnivå noder i arkitekturen på internett, som det er få nok til å avskjære med relativt letthet. Dette er et fenomen som vi ofte ser, til og med daglig, på internett i naturen og kan absolutt brukes mot Bitcoin eller annen kryptokurrency-trafikk.

Ved hjelp av denne metoden kan et kryptovaluta-nettverk deles inn i to eller flere separate nettverk, og utsette hver side av partisjonen for dobbeltbruk-angrep fordi de ikke kan kommunisere med hele nettverket for å validere transaksjoner. Når mynter ble brukt på den ene siden av nettverket og varer eller tjenester mottatt, kunne partisjonen fjernes og siden av nettverket med den kortere kjeden ville bli avvist av nettverket som helhet og disse transaksjonene ville bli utslettet..

Så vidt vi vet har denne typen angrep ikke skjedd, og det er tiltak som kan tas for å gjøre mynter immun mot denne oppførselen.

Direkte tjenestenekt

Diagram over direkte denial of service attackMens du enkelt kunne kjøpe et domene med kraftige tilbakekoblinger fra https://www.spamzilla.io, men et enkelt Direct Denial of Service (DDoS) -angrep kan forringe serveren din. DDoS er ganske enkelt et forsøk kan gjøres ved å oversvømme en server med store trafikkmengder. Dette er definitivt et av de vanligste angrepene man ser i naturen, da det er relativt enkelt å kjøpe et DDoS-angrep fra et hvilket som helst antall respektløse “hackere” eller firmaer der ute..

Når det gjelder et nettsted, ser dette ut som et stort volum av forespørsler til serveren som sendes kontinuerlig over en periode, og forhindrer legitime forespørsler fra å motta de ressursene de trenger. Når det gjelder en Bitcoin-node, ser dette ut som store mengder små eller ugyldige transaksjoner som sendes for å oversvømme nettverket og forhindre at legitime transaksjoner blir behandlet..

Store nettverk som Bitcoin er konstant under angrep fra DDoS-forsøk, men designbeslutninger som tas i utviklingen av Bitcoin-nettverket, virker for å redusere risikoen for DDoS-forsøk. I møte med et vellykket DDoS-angrep er det ingen fare for stjålne midler eller kompromittert sikkerhet, bare et stopp av nettverksaktivitet.

Bitcoin’s Backlog Blues

Selv om det ikke er en sikkerhetsrisiko, kan dette avbruddet i tjenesten brukes til andre agendaer. Det er noe av en saga når det gjelder “spam” -transaksjoner (DDoSing nettverket med mange transaksjoner) og Bitcoin som spilte fra 2015 til 2017.

I juni 2015 gjennomførte Coinwallet.eu (et nå utgått lommebokfirma) en “stresstest“Av Bitcoin-nettverket ved å sende tusenvis av transaksjoner på nettverket i et forsøk på å påvirke den kontroversielle forandringsdebatten om blokkstørrelse som raste på den tiden, og sa i deres kunngjøringsinnlegg at de la ut” for å gjøre en klar sak for den økte blokkstørrelse ved å demonstrere enkelheten til et omfattende spam-angrep på nettverket. ”

En måned senere, i det som kalles “flomangrepet”, ble 80 000 små transaksjoner sendt samtidig på Bitcoin-nettverket, og skapt et enormt etterslep som bare ble ryddet av innsatsen til F2Pool, en av de største gruvebassengene på den tiden, som dedikert en hel blokk til å kombinere alle spam-transaksjoner og tømme dem.

I løpet av det neste året, ifølge analyse av LaurentMT, skaperen av Bitcoin-analyseverktøyet OXT, ble mange tusen eller til og med millioner av flere spam-transaksjoner (for det meste små, ubrukelige transaksjoner som umulig kunne ha vært legitime) sendt ut, tilstoppet Bitcoin UTXO-etterslaget, men disse transaksjonene ble for det meste ignorert av de store gruvebassengene.

Bitcoin Mempool 2017

Plutselig, i andre halvdel av 2016 og greit rundt samme tid, begynte de store gruvebassengene på den tiden å akseptere disse søppelposttransaksjonene i blokker, og reduserte gjennomstrømningen av legitime transaksjoner akkurat som debatten om blokkstørrelse økte igjen og mange av bassengene var ryktet å være på kant med de “store blokkere” over de små blokkere.

Bitcoin-nettverket har siden fjernet dette etterslepet og nynner, mens fansen av storblokker har flyttet oppmerksomheten mot Bitcoin Cash, et prosjekt som Jihan Wu (grunnlegger av Bitmain den største eieren av Bitcoin hashpower) er fullt støttende av . Gjør din egen undersøkelse.

51% eller Majority Attack

Siden sikkerheten til en blockchain er direkte knyttet til datamaskinkraften som bygger kjeden, er det trusselen om at en angriper får kontroll over et flertall av hashkraften i nettverket. Dette vil gjøre det mulig for angriperen å bryte blokker raskere enn resten av nettverket til sammen, og åpne for “dobbeltbruk.”

Dobbeltbruk er en metode for å svindle en kryptovaluta som innebærer å sende transaksjoner til kjeden, motta varen eller tjenesten som transaksjonen betaler for, og deretter bruke flertallets hashpower til å forkaste blockchain på et tidspunkt før transaksjonen. Dette sletter effektivt den transaksjonen fra kjedehistorien, slik at angriperen kan gjøre transaksjoner med de samme myntene en gang til.

Å skaffe et flertall av hashpower vil ikke tillate en angriper å lage mynter, få tilgang til adresser eller kompromittere nettverket på noen annen måte, noe som begrenser skaden denne metoden muliggjør. Den største effekten av et slikt angrep kan godt være tap av tillit til nettverket som blir angrepet, og en påfølgende stup i aktiva-prisen på et hvilket som helst token i nettverket.

Denne typen flertallsangrep er veldig dyrt å trekke i gang, og som et resultat er det i virkeligheten bare relativt små og lavhastighetsmynter som er utsatt for denne angrepsvektoren. Store mynter som Bitcoin har lite å frykte for et 51% -angrep på grunn av det faktum at enhver angriper med det store flertallet av hashpower vil ha mer insentiv til å bare utvinne alle blokkene og motta Bitcoin enn å prøve å angripe, spesielt med tanke på prisen på deres stjålne Bitcoin ville kollapse hvis nyheten om et angrep kom ut.

51% i naturen

Et av de mer interessante eksemplene på 51% angrep i naturen kommer med tillatelse fra en gruppe hackere som kalte seg ’51-mannskapet. ‘I andre halvdel av 2016 begynte 51-mannskapet å holde små Ethereum-kloner for løsepenger, og utnyttet deres lave hash-priser og sentralisert gruvedistribusjon for å leie nok maskinvare til å svinge nettverket.

De hevdet at “hensikten er ikke å ødelegge et prosjekt”, og de gjorde dette bare tjene penger, krevde de Bitcoin i bytte for å legge ned driften og la prosjektene være i fred. Hvis kravene ikke ble oppfylt, ville de forkaste myntens blokkjede til et punkt før stort salg mannskapet allerede hadde gjort på børser.

De aktuelle prosjektene, Krypton (nå avviklet) og Shift (fremdeles handlet med lite volum), nektet begge å betale løsepenger og fikk deretter blokkerte kjedene sine. Prosjektlagene klatret for å støtte desentralisering av nettverket og gjøre endringer i protokollene for å forhindre slike overgrep, men ikke før de slo ganske hit.

Kryptografiske sikkerhetsproblemer

Angrepene som hittil er skissert, handler hovedsakelig om dobbeltbruk eller reduksjon i nettverkstjeneste. Angrepene er dyre å trekke i gang og blir raskt korrigert av nettverkets egne selvreparerende funksjoner. Selv om de kan være reelle trusler mot tilliten til en kryptovaluta og resultere i et minimalt tap av midler, er de relativt små poteter.

Som med ethvert datasystem eller nettverk, er den største angrepsvektoren menneskelig feil. De største tapene av midler hittil sett i kryptoland er et resultat av feil i programvaren til selve mynten. Kryptografiske feil i sikkerheten til kryptovalutaer etterlater sikkerhetshull som kan oppdages og utnyttes av sofistikerte hackere for å undergrave et prosjekt.

DAO

Kanskje det mest synlige eksemplet på et hack som er aktivert gjennom sjuskig kode, er det beryktede Ethereum DAO-hacket, så ille at det skapte en helt ny kryptovaluta og hjemsøker Ethereum-prosjektet til i dag.

DAO (Decentralized Autonomous Organization) var en lederløs organisasjon bygget på toppen av Ethereum ved hjelp av smarte kontrakter. Tanken var å gi hvem som helst muligheten til å investere i selskapet og stemme på prosjekter de ønsket å bli finansiert, alt administrert sikkert og automatisk av DAOs smarte kontraktskode.

Hvis du investerte i DAO (ved å kjøpe DAO-tokens) og senere bestemte deg for å trekke ut, var det en mekanisme for dette som du kunne få Ethereum tilbake til deg i bytte for DAO-tokens. Dette er mekanismen kalt ‘Split Return’ som ble utnyttet av en banebrytende DAOist 17. juni 2016.

Split Return er en to-trinns prosess: returner riktig mengde Ethereum til tokenholderen som utløser retur, og ta deretter tokens og registrer transaksjonen på blockchain for å oppdatere DAO-token-saldoen. Den ukjente hackeren innså at han kunne lure systemet til å gjenta det første trinnet uten å gå videre til det andre, noe som gjorde det mulig for dem å suge Ethereum til en verdi av $ 50 millioner ut av DAO og inn i en egen DAO som bare ble kontrollert av angriperen..

Dette oppløste åpenbart Ethereum-samfunnet, og det ble laget en plan om å myke og gjenvinne midlene. En myk gaffel ville ha vært minimalt invasiv, bakoverkompatibel og ganske enkelt ‘slettet’ DAO-hacket fra blockchain. Når planen ble laget, ble det imidlertid innsett at den ikke ville fly, og en hard gaffel ville være nødvendig. Dette var kontroversielt og resulterte i etableringen av Ethereum Classic (ETC), en fortsettelse av den opprinnelige Ethereum-kjeden med DAO-hacket på plass, og Ethereum (ETH), det nylig hardgafflede prosjektet som fortsatte å DAO en annen dag.

Den virkelige trusselen er brukere, ikke hackere

Blockchain-teknologi er robust og lovende, og selv med alle disse muligens angrepstilnærminger har svært få vellykkede angrep gått inn i historien. Dette har imidlertid ikke forhindret at store mengder penger blir stjålet fra brukerne.

Mens sikkerheten til de fleste kryptokurver forblir intakt, forblir sikkerheten til lommebøkene, børsene og kontoene til tredjeparts tjenester rundt disse kryptokurvene nesten latterlig dårlig. Millioner på millioner dollar i verdi av Bitcoin og andre kryptovalutaer er stjålet fra kompromitterte kontoer til enkeltpersoner og børser gjennom årene.

Mens angrepene skissert ovenfor for det meste er teoretiske og forsvares mot aktivt, er det skarpe hullet i sikkerheten til Bitcoin og annen kryptovaluta det faktum at mennesker ikke er så gode til å være oppmerksomme og være årvåkne. Å gjenbruke passord, bli offer for phishing-svindel, uforsiktig nettstedoperatører og uaktsomme utvekslingsansatte er fortsatt det eneste farligste feilpunktet når det gjelder helsen til kryptoøkonomien.

Når vi går videre, kan det godt være noen angrep på blockchain-nivå. Disse kan komme fra enorme makter som regjeringer eller selskaper som er opptatt av å kontrollere eller undergrave disse lovende nye måtene å lagre og overføre rikdom og verdi på. I det lange løp vil imidlertid angrep som disse bare fungere for å styrke og utvikle teknologien til å bli mer motstandsdyktig og robust.

Men mye mer enn dette, det vil være behov for store sprang i brukervennligheten og sikkerheten til forbrukerkryptoprodukter før ekte adopsjon kan forekomme. Så lenge en ved et uhell delte passord eller venstre åpen bærbar PC kan bety tapet av livssparingen, kan vi ikke delta i en verdensomspennende krypto.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map