Як галіны криптовалют працягвае пашырацца і становіцца ўсё больш прывабнай мішэнню для хакераў, Пентагон замовіў даследаванне, якое выявіла некаторыя ўразлівасці, падрабязна апісаныя ў суправаджальнай справаздачы.
Сапраўды, справаздача, апублікаваная 21 чэрвеня пад назвай «Ці дэцэнтралізаваны блокчейны? Ненаўмыснае цэнтральнае месца ў размеркаваных кнігах”, выявіў, што “падгрупа ўдзельнікаў можа атрымаць празмерны цэнтралізаваны кантроль над усёй сістэмай”.
Даследаванне, якое прысвечана біткойнам (BTC) і Эфірыум (ETH), была праведзена даследчай кампаніяй бяспекі Trail of Bits пад кіраўніцтвам Агенцтва перспектыўных абаронных даследаванняў Пентагона (DARPA).
Паводле справаздачы:
«Колькасць аб'ектаў, дастатковых для зрыву блокчейна, адносна невялікая: чатыры для Bitcoin, два для Ethereum і менш за дзясятак для большасці сетак PoS».
60% біткойн-трафіку праходзіць толькі праз 3 правайдэра
Больш за тое, у справаздачы гаворыцца, што «з усяго біткойн-трафіку 60% праходзіць толькі праз трох інтэрнэт-правайдэраў», маючы на ўвазе інтэрнэт-правайдэраў. У дадатак да ўсяго, «пераважная большасць біткойн-вузлоў, здаецца, не ўдзельнічаюць у майнинге, а аператары вузлоў не пагражаюць відавочным пакараннем за несумленнасць».
Як папярэджваюць аналітыкі, «для разгортвання новага вузла спатрэбіцца толькі адзін недарагі асобнік хмарнага сервера - спецыялізаванае абсталяванне для майнинга не патрабуецца». Гэта прадугледжвае магчымасць запаўнення кансенсуснай сеткі блокчейна новымі шкоднаснымі вузламі, якія кантралююцца адным бокам у так званай атацы Sybil.
Дадатковыя праблемы ўключаюць у сябе састарэлыя і незашыфраваныя пратаколы і праграмнае забеспячэнне, усе яны падвяргаюць сетку атакам. Як тлумачыцца ў справаздачы:
«Бяспека блокчейна залежыць ад бяспекі праграмнага забеспячэння і пратаколаў яго пазаланцужнага кіравання або механізмаў кансенсусу».
Нядбайныя пулы для майнинга
Справаздача таксама выявіла, што ўсе майнинг-пулы, якія пратэставалі яго аналітыкі, «альбо прызначаюць жорсткі пароль для ўсіх уліковых запісаў, альбо проста не правяраюць пароль, прадстаўлены падчас аўтэнтыфікацыі».
У якасці прыкладу ў справаздачы была выкарыстана практыка глабальнага пула для здабычы крыптавалют ViaBTC, які нібыта прысвойвае ўсім сваім акаўнтам пароль «123». Іншая майнинговая кампанія Poolin «здаецца, наогул не правярае ўліковыя дадзеныя для аўтэнтыфікацыі», у той час як Slushpool «відавочна інструктуе сваіх карыстальнікаў ігнараваць поле пароля».
Па наяўных дадзеных, на долю гэтых трох майнинг-пулаў прыпадае каля 25% хешрейта биткойна.
кібербяспека даследчыкі часта папярэджваюць аб патэнцыйных слабых месцах, звязаных з крыпта, якія могуць прывесці да такіх інцыдэнтаў, як той, які Фінбольд паведаміў у сярэдзіне красавіка, у якім ан зламысніку ўдалося выкрасці ўсю калекцыю чалавека крыпта і незаменных токенаў (NFT) на суму больш за 650,000 XNUMX долараў ад іх MetaMask крыпта-кашалёк.
Крыніца: https://finbold.com/pentagon-paper-warns-of-major-vulnerabilities-in-the-bitcoin-blockchain/