Jak przemysł kryptowalut wciąż się rozwija i staje się coraz bardziej atrakcyjnym celem dla hakerów, Pentagon zlecił badanie, w ramach którego wykryto niektóre luki w zabezpieczeniach, szczegółowo opisane w załączonym raporcie.
Rzeczywiście, raport opublikowany 21 czerwca i zatytułowany „Czy łańcuchy bloków są zdecentralizowane? Niezamierzone centralne miejsca w księgach rozproszonych”, odkrył, że „podzbiór uczestników może uzyskać nadmierną, scentralizowaną kontrolę nad całym systemem”.
Badanie, które koncentruje się na Bitcoin (BTC) i Ethereum (ETH.), została przeprowadzona przez firmę badawczą Trail of Bits pod kierownictwem Pentagonu's Defense Advanced Research Projects Agency (DARPA).
Według raportu:
„Liczba podmiotów wystarczająca do zakłócenia łańcucha bloków jest stosunkowo niska: cztery w przypadku Bitcoina, dwa w przypadku Ethereum i mniej niż tuzin w przypadku większości sieci PoS”.
60% ruchu Bitcoin przechodzi przez zaledwie 3 dostawców usług internetowych
Co więcej, w raporcie stwierdzono, że „z całego ruchu Bitcoin, 60% przechodzi tylko przez trzech dostawców usług internetowych”, odnosząc się do dostawców usług internetowych. Co więcej, „ogromna większość węzłów Bitcoin wydaje się nie uczestniczyć w wydobywaniu, a operatorzy węzłów nie otrzymują wyraźnej kary za nieuczciwość”.
Jak ostrzegają analitycy, „wdrożenie nowego węzła wymaga tylko jednej niedrogiej instancji serwera w chmurze – nie jest potrzebny specjalistyczny sprzęt do kopania”. Pozwala to na zalanie sieci konsensusu blockchaina nowymi, złośliwymi węzłami kontrolowanymi przez jedną stronę w ramach tzw. ataku Sybil.
Inne problemy obejmują nieaktualne i nieszyfrowane protokoły i oprogramowanie, które narażają sieć na ataki. Jak wyjaśnia raport:
„Bezpieczeństwo łańcucha bloków zależy od bezpieczeństwa oprogramowania i protokołów zarządzania poza łańcuchem lub mechanizmów konsensusu”.
Nieostrożne baseny górnicze
Raport wykrył również, że wszystkie pule wydobywcze przetestowane przez analityków „albo przypisują zakodowane na stałe hasło do wszystkich kont, albo po prostu nie weryfikują hasła podanego podczas uwierzytelniania”.
Jako przykład w raporcie wykorzystano praktykę globalnej puli kopalń kryptowalut ViaBTC polegającą na pozornym przypisywaniu hasła „123” do wszystkich swoich kont. Inna firma wydobywcza, Poolin, „wydaje się w ogóle nie weryfikować poświadczeń uwierzytelniających”, podczas gdy Slushpool „wyraźnie instruuje swoich użytkowników, aby zignorowali pole hasła”.
Według dostępnych danych te trzy pule wydobywcze stanowią około 25% hashrate Bitcoina.
Bezpieczeństwo cybernetyczne badacze często ostrzegają przed potencjalnymi słabościami związanymi z kryptowalutami, które mogą prowadzić do incydentów, takich jak ten, który: finbold zgłoszony w połowie kwietnia, w którym an napastnikowi udało się ukraść całą kolekcję osoby krypt i niezamiennych tokenów (NFT) o wartości ponad 650,000 XNUMX $ z ich MetaMask krypto portfel.
Źródło: https://finbold.com/pentagon-paper-warns-of-major-vulnerabilities-in-the-bitcoin-blockchain/