Як індустрія криптовалют продовжує розширюватися і стає все більш привабливою мішенню для хакерів, Пентагон замовив дослідження, яке виявило деякі вразливості, детально описані в супровідному звіті.
Справді, звіт, опублікований 21 червня під назвою «Чи блокчейни децентралізовані? Ненавмисне центральне значення в розподілених книгах», виявив, що «підмножина учасників може отримати надмірний централізований контроль над усією системою».
Дослідження, яке зосереджено на біткойнах (БТД) та Ethereum (ETH), було здійснено дослідницькою фірмою безпеки Trail of Bits під керівництвом Агентства перспективних дослідницьких проектів Пентагону (DARPA).
Згідно з повідомленням:
«Кількість об’єктів, достатніх для порушення роботи блокчейну, відносно невелика: чотири для біткойн, два для Ethereum і менше десятка для більшості мереж PoS».
60% трафіку біткойн проходить лише через 3 провайдерів
Крім того, у звіті йдеться, що «60% всього трафіку біткойн проходить лише через трьох провайдерів», маючи на увазі постачальників інтернет-послуг. Крім того, «переважна більшість вузлів біткойн, схоже, не беруть участь у майнінгу, а операторам вузлів не загрожує чітке покарання за нечесність».
Як попереджають аналітики, «для розгортання нового вузла потрібен лише один недорогий екземпляр хмарного сервера – не потрібно спеціалізоване обладнання для майнінгу». Це дає можливість заповнювати консенсусну мережу блокчейну новими шкідливими вузлами, які контролюються однією стороною в рамках так званої атаки Sybil.
Подальші проблеми включають застарілі та незашифровані протоколи та програмне забезпечення, які піддають мережу атак. Як пояснює звіт:
«Безпека блокчейну залежить від безпеки програмного забезпечення та протоколів його позачейнового управління або механізмів консенсусу».
Недбалі пули для майнінгу
У звіті також було виявлено, що всі пули майнінгу його аналітики перевірили «або призначили жорстко запрограмований пароль для всіх облікових записів, або просто не перевіряли пароль, наданий під час аутентифікації».
Як приклад, у звіті використано практику глобального пулу майнінгу криптовалют ViaBTC, який, здавалося б, призначав пароль «123» всім своїм акаунтам. Інша майнинг-компанія, Poolin, «здається, взагалі не перевіряє облікові дані для аутентифікації», тоді як Slushpool «явно вказує своїм користувачам ігнорувати поле пароля».
Згідно з наявними даними, на ці три майнінг-пули припадає близько 25% хешрейту біткойн.
Кібербезпека дослідники часто попереджають про потенційні слабкі сторони, пов’язані з криптовалютою, які можуть призвести до таких інцидентів, як цей Фінболд повідомила в середині квітня, в якій ан зловмиснику вдалося викрасти всю колекцію людини криптовалют і незмінних маркерів (NFT) вартістю понад 650,000 XNUMX доларів від їхньої MetaMask криптовалют.
Джерело: https://finbold.com/pentagon-paper-warns-of-major-vulnerabilities-in-the-bitcoin-blockchain/