Áno, blockchain môže byť napadnutý

Vďaka kybernetickej bezpečnosti sa mi chce plakať

Hacker hacking Equifax

Živý zásah do hacku Equifaxu

Existujeme v čase pravidelného a závažného porušovania údajov a obáv o bezpečnosť a súkromie digitálnych informácií, ktoré je zaťažené starnúcou internetovou infraštruktúrou, ktorá zjavne nezvláda výzvu predchádzania sofistikovaným kybernetickým útokom. Od Equifaxu po WannaCry sa nám pred očami rozplýva ilúzia kybernetickej bezpečnosti.

Stále častejšie sa objavujú správy o nabúraní alebo odhalení osobných informácií. Stále viac sa ukazuje, že tí, ktorým sme zverili kľúče k našim údajom, tieto údaje zneužívajú a zrádzajú našu dôveru. Je čoraz jasnejšie, že centralizované systémy, ktoré nás dostali až sem, nebudú stačiť na to, aby nás chránili vpred.

Technológia Blockchain sľubuje riešenie týchto problémov odstránením dôvery v ukladanie a prístup k nášmu digitálnemu obsahu. Presunutím dát na okraj siete a nasadením silnej kryptografie na udržanie individuálnej kontroly nad týmito dátami majú blockchainy za cieľ vrátiť moc späť do rúk koncových používateľov a tvorcov dát, nie (zjavne neohrabaných) rúk platformy, ktoré používame na zdieľanie údajov.

Blockchainy nie sú neuskutočniteľné

Napriek tomu, že blockchainy môžu byť silné, nie sú imúnne voči útoku. Akákoľvek technológia má slabé miesta a útočné vektory a blockchain nie je výnimkou. Tu preskúmame rôzne vektory útoku (v poradí stúpajúcej hrozby) a pozrieme sa na niekoľko príkladov každého z krátkej, ale zatiaľ vzrušujúcej histórie kryptomeny..

Sybil Attack

Útok Sybil je útok, pri ktorom obrovské množstvo uzlov v jednej sieti vlastní rovnaká strana a snaží sa narušiť sieťovú aktivitu zaplavením siete zlými transakciami alebo manipuláciou s prenosom platných transakcií..

Tieto útoky sú zatiaľ teoretické a väčšinou sa na ne nikdy nemožno pozerať, pretože jedným zo základných rozhodnutí pri vývoji kryptomenového systému, ktoré sa robí pri vývoji systému kryptomeny, je spôsob, ako zabrániť útokom Sybil..

Bitcoin im v tom bráni prostredníctvom svojho algoritmu Proof-of-Work, ktorý vyžaduje, aby uzly míňali zdroje (vo forme energie) na príjem coinov, čo znamená, že vlastníctvo drvivej väčšiny uzlov je veľmi drahé. Rôzne projekty riešia rezistenciu na Sybil odlišne, ale takmer všetky ju riešia.

Smerovací útok

Smerovací útok je útok umožnený kompromisom alebo spoluprácou poskytovateľa internetových služieb (ISP). Aj keď je technicky možné prevádzkovať bitcoinový (alebo iný coin) uzol kdekoľvek na svete, súčasná realita je taká, že uzly sú práve teraz relatívne centralizované z hľadiska ISP, ktorí prenášajú internetový prenos do a z.

Podľa výskum uskutočnil ETHZurich, 13 ISP hostí 30% bitcoinovej siete, zatiaľ čo 3 ISP smerujú 60% všetkého transakčného prenosu pre sieť. Toto je hlavný bod zlyhania, ak by došlo k poškodeniu poskytovateľa internetových služieb.

Smerovací útok funguje tak, že zachytáva internetový prenos odosielaný medzi autonómnymi systémami, uzlami najvyššej úrovne v architektúre internetu, ktorých je tu pomerne málo na zachytenie. Toto je jav, ktorý sa bežne, dokonca aj každý deň, vyskytuje na internete vo voľnej prírode a určite ho možno použiť proti bitcoinu alebo inej kryptomene..

Pomocou tejto metódy je možné sieť s kryptomenami rozdeliť na dve alebo viac samostatných sietí, čím sa obe strany oddielu vystavia útokom s dvojitým míňaním, pretože nemôžu s overením transakcií komunikovať s celou sieťou. Akonáhle boli mince utratené na jednej strane siete a prijatý tovar alebo služby, mohla byť priečka odstránená a strana siete s kratším reťazcom by bola odmietnutá sieťou ako celkom a tieto transakcie by boli vymazané.

Pokiaľ vieme, k tomuto druhu útoku nedošlo a existujú kroky, ktoré možno podniknúť, aby boli mince voči tomuto správaniu imunné..

Priame odmietnutie služby

Schéma priameho odmietnutia službyAj keď si môžete ľahko kúpiť doménu s výkonnými spätnými odkazmi z https://www.spamzilla.io, jednoduchý útok DDoS (Direct Denial of Service) by však váš server mohol ochromiť. DDoS je jednoducho pokus, ktorý je možné vykonať zaplavením servera veľkým objemom prenosu. Toto je určite jeden z najbežnejších útokov pozorovaných vo voľnej prírode, pretože je pomerne ľahké kúpiť si DDoS útok od ľubovoľného množstva pochybných „hackerov“ alebo firiem..

V prípade webových stránok to vyzerá ako obrovský objem požiadaviek na server, ktoré sa odosielajú nepretržite po určité časové obdobie, čo bráni legitímnym požiadavkám prijímať potrebné zdroje. V prípade bitcoinového uzla to vyzerá tak, že sa odosielajú obrovské objemy malých alebo neplatných transakcií v snahe zaplaviť sieť a zabrániť spracovaniu legitímnych transakcií..

Hlavné siete ako Bitcoin sú neustále pod útokom pokusov o DDoS, ale rozhodnutia týkajúce sa návrhu prijaté pri vývoji bitcoinovej siete slúžia na zníženie rizika pokusov o DDoS. Tvárou v tvár úspešnému útoku DDoS nehrozia ukradnuté prostriedky ani ohrozená bezpečnosť, iba zastavenie činnosti siete..

Bitcoinové backlogové blues

Aj keď to nie je bezpečnostné riziko, toto prerušenie služby je možné použiť v iných agendách. Pokiaľ ide o „spamové“ transakcie (sieť DDoSing s mnohými transakciami) a bitcoin, ktoré sa hrali od roku 2015 do roku 2017, je tu sága..

V júni 2015 uskutočnila spoločnosť Coinwallet.eu (dnes už zaniknutá spoločnosť zaoberajúca sa peňaženkami) „záťažový test„Siete bitcoinov zaslaním tisícov transakcií do siete v snahe ovplyvniť kontroverznú debatu o zmene veľkosti bloku, ktorá v tom čase zúrila, vo svojom oznamovacom príspevku uviedla, že„ sa snaží jasne dokázať zvýšenie veľkosť bloku demonštrovaním jednoduchosti rozsiahleho spamového útoku v sieti. “

O mesiac neskôr, v rámci takzvaného „povodňového útoku“, bolo do siete bitcoinov súčasne odoslaných 80 000 drobných transakcií, čo vytváralo masívne nevybavené položky, ktoré boli odstránené iba úsilím F2Pool, jedného z najväčších banských združení v tom čase, ktorý venoval celý blok kombinovaniu všetkých spamových transakcií a ich vyčisteniu.

V priebehu budúceho roka bolo podľa analýzy LaurentMT, tvorcu analytického nástroja pre bitcoiny OXT, zaslaných a upchaných mnoho tisíc alebo dokonca miliónov ďalších nevyžiadaných transakcií (väčšinou drobných, zbytočných transakcií, ktoré nemohli byť legitímne). nevybavené bitcoiny UTXO, ale tieto transakcie boli väčšinou ignorované hlavnými ťažobnými skupinami.

Bitcoin Mempool 2017

Náhle, v druhej polovici roku 2016 a takmer v rovnakom čase, začali vtedajšie hlavné banské združenia prijímať tieto spamové transakcie do blokov, čo znížilo priepustnosť legitímnych transakcií, práve keď sa opäť rozbehla debata o veľkosti blokov a veľa o bazénoch sa hovorilo, že sú na vedľajšej koľaji s „veľkými blokátormi“ cez malé blokátory.

Sieť bitcoinov medzičasom odstránila tento nedostatok a bzučí, zatiaľ čo fanúšikovia veľkých blokov upriamili svoju pozornosť na Bitcoin Cash, projekt, ktorý Jihan Wu (zakladateľ spoločnosti Bitmain, najväčší vlastník bitcoinovej hashpower sily) plne podporuje . Spravte si vlastný prieskum.

51% alebo väčšinový útok

Pretože bezpečnosť blockchainu je priamo spojená s počítačovou silou, ktorá buduje reťazec, hrozí, že útočník získa kontrolu nad väčšinou hashovacej sily v sieti. To by útočníkovi umožnilo ťažiť bloky rýchlejšie ako zvyšok siete dohromady, čo by otvorilo dvere „dvojitému míňaniu“.

Dvojité míňanie je metóda podvádzania kryptomeny, ktorá spočíva v odosielaní transakcií do reťazca, prijímaní tovaru alebo služieb, za ktoré transakcia platí, a následnom použití väčšinovej hash sily na rozvetvenie blockchainu v bode pred transakciou. Toto efektívne vymaže túto transakciu z histórie reťazca a umožní útočníkovi obchodovať s tými istými mincami druhýkrát.

Získanie väčšiny hashpower by neumožnilo útočníkovi vytvárať coiny, získať prístup k adresám alebo inak narušiť sieť, čo obmedzuje škody, ktoré táto metóda umožňuje. Najväčším účinkom takéhoto útoku môže byť strata dôvery v sieť, ktorá je napadnutá, a následný pokles ceny aktív ľubovoľného tokenu v sieti..

Tento typ väčšinového útoku je veľmi nákladný a výsledkom je, že v skutočnosti sú k tomuto vektoru útoku náchylné iba relatívne malé a nízkoenergetické mince. Hlavné mince ako bitcoin sa nemusia 51% útoku báť, pretože každý útočník s drvivou väčšinou hashpoweru by mal väčšiu motiváciu jednoducho vyťažiť všetky bloky a získať bitcoin, ako sa pokúsiť o útok, najmä vzhľadom na cena ich ukradnutých bitcoinov by sa zrútila, keby sa dostali správy o útoku.

51% vo voľnej prírode

Jedným zo zaujímavejších príkladov 51% útokov vo voľnej prírode je zdvorilosť skupiny hackerov, ktorí si hovorili „Posádka 51“. V druhej polovici roku 2016 začala Posádka 51 držať výkupné za účelom získania malých klonov Ethereum. nízke hash sadzby a centralizovaná ťažobná distribúcia na prenájom dostatočného množstva hardvéru na pripojenie k sieti.

Tvrdia, že ich „zámerom nie je vrak projektu“, a robili to len preto, aby zarobili peniaze, požadovali bitcoin výmenou za zastavenie ich prevádzky a ponechanie projektov v pokoji. Ak by požiadavky neboli splnené, rozvetvili by blockchain mince až do bodu pred veľkým predajom, ktorý už posádka uskutočnila na burzách.

Predmetné projekty, Krypton (dnes už neexistujúce) a Shift (stále obchodované v malom objeme), obaja odmietli zaplatiť výkupné a následne dostali vidlicové blockchainy. Projektové tímy sa usilovali podporiť decentralizáciu siete a vykonať zmeny v protokoloch, aby sa zabránilo takémuto zneužitiu, ale až potom, čo urobia poriadny zásah.

Kryptografické chyby zabezpečenia

Doteraz načrtnuté útoky sa väčšinou zameriavajú na oblasť buď dvojnásobného míňania, alebo zníženia sieťových služieb. Útoky sú nákladné a sú rýchlo napravené vlastnými opravnými vlastnosťami siete. Aj keď by to mohli byť skutočné hrozby pre dôveru v kryptomenu a mať za následok minimálnu stratu finančných prostriedkov, sú to relatívne malé zemiaky.

Rovnako ako v prípade každého počítačového systému alebo siete je najväčším vektorom útoku ľudská chyba. Hlavné straty finančných prostriedkov, ktoré sa doteraz v kryptolande vyskytli, sú dôsledkom chýb v softvéri samotnej mince. Kryptografické chyby v bezpečnosti kryptomien zanechávajú bezpečnostné diery, ktoré môžu sofistikovaní hackeri odhaliť a využiť na podkopanie projektu.

DAO

Snáď najviditeľnejším príkladom hackingu povoleného prostredníctvom chatrného kódu je neslávne známy hacker Ethereum DAO, ktorý je taký zlý, že priniesol úplne novú kryptomenu a v projekte Ethereum straší dodnes..

DAO (Decentralized Autonomous Organization) bola organizácia bez vodcov postavená na vrchole Etherea pomocou inteligentných zmlúv. Cieľom bolo dať komukoľvek možnosť investovať do spoločnosti a hlasovať o projektoch, ktoré chcú byť financované, a to všetko bezpečne a automaticky riadené kódom inteligentnej zmluvy DAO..

Ak ste investovali do DAO (zakúpením tokenov DAO) a neskôr ste sa rozhodli vytiahnuť, existoval pre to mechanizmus, pomocou ktorého vám bolo možné vrátiť vaše Ethereum výmenou za vaše tokeny DAO. Toto je mechanizmus nazývaný „Split Return“, ktorý využil priekopnícky DAOist 17. júna 2016.

Split Return je proces pozostávajúci z dvoch krokov: vrátenie správneho množstva éteru držiteľovi tokenu, ktorý spustí návrat, potom vezmite tokeny a zaregistrujte transakciu na blockchaine, aby ste aktualizovali zostatok tokenu DAO. Neznámy hacker si uvedomil, že dokáže oklamať systém tak, aby opakoval prvý krok bez toho, aby prešiel na druhý, čo im umožnilo vysať z DAO Ethereum v hodnote 50 miliónov dolárov a do samostatného DAO ovládaného iba útočníkom.

To očividne zasiahlo komunitu Ethereum a bol vypracovaný plán soft-fork a získanie finančných prostriedkov. Mäkká vidlica by bola minimálne invazívna, spätne kompatibilná a jednoducho by „vymazala“ hack DAO z blockchainu. Po vypracovaní plánu sa však uvedomilo, že nebude lietať a bude nevyhnutná tvrdá vidlica. To bolo kontroverzné a vyústilo to do vytvorenia Ethereum Classic (ETC), pokračovania pôvodného reťazca Ethereum s nasadeným DAO hackerom, a Ethereum (ETH), nový hard forked projekt, ktorý pokračoval DAO ďalší deň.

Skutočnou hrozbou sú používatelia, nie hackeri

Technológia blockchain je robustná a sľubná a aj pri všetkých týchto možných útočných prístupoch sa do histórie zapísalo len veľmi málo úspešných útokov. To však nezabránilo tomu, aby používateľom boli ukradnuté obrovské množstvá peňazí.

Aj keď bezpečnosť väčšiny kryptomien zostáva nedotknutá, bezpečnosť peňaženiek, búrz a účtov služieb tretích strán okolo týchto kryptomien zostáva takmer smiešne zlá. V priebehu rokov boli z napadnutých účtov jednotlivcov a búrz ukradnuté bitcoiny a ďalšie kryptomeny v hodnote miliónov dolárov.

Zatiaľ čo vyššie uvedené útoky sú väčšinou teoretické a je proti nim bránené aktívne, do očí bijúcou dierou v bezpečnosti bitcoinu a akejkoľvek inej kryptomeny je skutočnosť, že ľudia nie sú takí skvelí na to, aby venovali pozornosť a boli ostražití. Opätovné používanie hesiel, obeť phishingových podvodov, neopatrní prevádzkovatelia webových stránok a zamestnanci z nedbalej výmeny sú naďalej jediným najnebezpečnejším bodom zlyhania, pokiaľ ide o zdravie kryptomeny..

Ako postupujeme vpred, môžu byť páchané určité útoky na úrovni blockchainu. Môžu pochádzať od obrovských mocností, ako sú vlády alebo korporácie, ktoré sa rozhodli kontrolovať alebo podkopávať tieto sľubné nové prostriedky na ukladanie a prevod bohatstva a hodnoty. Z dlhodobého hľadiska však útoky ako tieto budú slúžiť iba na posilnenie a vývoj technológie, aby bola odolnejšia a robustnejšia.

Ale oveľa viac než toto, bude potrebné urobiť veľké skoky v ľahkom používaní a bezpečnosti spotrebiteľských kryptoproduktov, aby mohlo dôjsť k ich skutočnému prijatiu. Pokiaľ niekto omylom zdieľa heslo alebo necháva otvorený notebook, môže znamenať stratu životných úspor, nemôžeme vstúpiť do sveta kryptomeny.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map