Атаки и уязвимости криптовалют.

Суть атаки 51%, Сибиллы, двойной траты. DDoS и их последствия. 

Летом 2018 атаке 51% подверглись две крупные криптовалюты ZenCash и Bitcoin Gold. Общие потери составили 550 тыс. и 18 млн дол. США соответственно. Еще месяцем ранее взломщики по такому же принципу атаковали стартап Verge, потерявший из-за этого около четверти стоимости. Анализ потенциальных возможностей нападений показывает, что и ВТС теоретически может подвергнуться атаке, в результате которой сеть перейдет под контроль злоумышленников. Это говорит о том, что криптовалюты пока еще не готовы занять место реальных платежных систем. О том, какие бывают виды атак и каковы их последствия, читайте в обзоре.

Атаки на криптовалюты: виды, суть и последствия

2 июня одна из популярных криптовалют (особенно у майнеров) ZenCash подверглась атаке 51%. Для столь крупного стартапа это может показаться невозможным, так как вычислительная мощность ZEN на момент атаки была относительно большой. Тем не менее нашлась группа инвесторов, владеющая более 50% вычислительной мощности, которая смогла воспользоваться своим положением. В результате атаки инвесторы смогли совершить операции двойной траты в сумме около 550 тыс. дол. США.

  • Справка: «Двойная трата» - ситуация, когда человек, владеющий условно 1 ВТС, отправляет его сразу нескольким покупателям, получая взамен эквивалент. Реальную криптовалюту получает только первый участник схемы.

Несколько ранее, но с куда большими потерями пережила атаку 51% Bitcoin Gold. 24 мая появилось официальное сообщение от разработчиков о том, что неизвестному майнеру удалось приобрести более 50% хеш-мощности и вывести на свой счет около 388 тыс. монет стоимостью 18,6 млн дол. США. Получив временный контроль над сетью, злоумышленник перечислил монету на криптовалютные биржи, попутно отправляя их же на свои кошельки (двойная трата). При условии отсутствия мошенничества повторная транзакция была бы отменена, но манипуляция сетью позволила злоумышленнику добавить в основную версию блокчейна интересующие его транзакции. Атака проводилась в течение 3-х дней, с 16 по 18 мая.

Вопрос в том, можно ли было избежать этих атак, и насколько уязвимы другие криптовалюты. О том, какие в принципе бывают атаки и каковыми могут быть их последствия, читайте дальше.

Уязвимости криптовалют

Безопасность криптовалют является одним из основных преимуществ технологии блокчейн, но нет ничего совершенного. У каждого алгоритма есть свои уязвимости, которые находят взломщики. Принцип безопасности основан на том, что информация о транзакциях подтверждается другими участниками сети, незнакомыми друг с другом, что и используют атакующие, перехватывая информацию о транзакциях.

1. Атака 51%

Здесь вполне уместно привести аналогию с контрольным пакетом акций: человек (группа людей по сговору), владеющий более 50% вычислительных мощностей криптовалюты, фактически имеет возможность делать с монетой все, что угодно. Упрощенного говоря, вычислительные мощности - это алгоритм математических операций (хешрейт), который позволяет майнить криптовалюту, то есть искать решения задачи, за которое дается вознаграждение. Чем больше хешрейт, тем выше шанс вычислить необходимое значение для генерации нового блока, что и приносит майнеру награду (суть алгоритма консенсуса PoW).

На начальном этапе, когда монета еще мало кому интересна, собрать все генерирующие мощности проблемы не составляет. С экономической точки зрения смысла это не имеет, но вот как вариант уничтожения конкурента - вполне рабочая идея. Потому атака 51% для новых стартапов - это своего рода проверка на выживание.

Но подвергаются ей и крупные стартапы. Например, в теории существует вероятность покорения ВТС путем скупки всей партии BFL ASIC (узконаправленное специализированное оборудование для майнинга). Вопрос только зачем? Да, это даст контроль над сетью, но при массовой продаже монет (а иначе зачем захватывать сеть?) их цена неизбежно упадет. И кто будет покупать монеты, зная об атаке? И если к этому добавить стоимость оборудования, то станет ясно, что атака 51% на ВТС - это только лишь теория. Проблема в том, что она не исключена, и решения проблемы потенциальной атаки на ВТС или LTC пока нет. Как показал пример с Verge (об этом чуть ниже), атакующие могут действовать и не в лоб, придумывая более простые способы реализации атаки.

Что может злоумышленник:

  • временно заморозить транзакции в сети, включая собственные блоки;

  • произвольно отправлять и изменять собственные транзакции, включая «двойную трату». К чужим кошелькам злоумышленник доступа не имеет;

  • не подтверждать (всячески препятствовать) другие транзакции;

  • исключать из поиска правильные блоки других майнеров.

С ZenCash ситуация сложилась довольно неоднозначная. По мнению аналитиков, есть вероятность, что у атакующей группы было достаточно своих мощностей или часть их была арендована. Причем стоимость атаки была сравнительно низкой, что означает прежде всего потенциальную проблему для небольших криптовалют, использующих алгоритм доказательства PoW. Ниже приведены результаты исследования, проведенные сайтом crypto51.app в отношении стоимости часовой атаки на разные монеты.

Для сравнения, стоимость нападения на ZenCash составляет около 6,07 дол. США. И несмотря на затратность атаки, похищенные деньги ее окупают.

Защита от атаки 51% пока не является совершенной. Один из вариантов решения проблемы - увеличение количества подтверждений и блокировка оборудования (учетных записей) тех, кто подозревается в атаке. Например, после атаки на монету Feathercoin у ВТС это требование было увеличено с 6 блоков до 100. Разработчики Bitcoin Gold посоветовали биржам расширить количество подтверждаемых для зачисления блоков до 50. Правда, это только лишь усложняет атаку, не устраняя ее вероятность. Злоумышленникам достаточно иметь большую вычислительную мощность.

На курс ZenCash атака не повлияла, чего нельзя сказать о другой криптовалюте. 5 апреля в СМИ появилась информация об атаке на стартап Verge. Причем хакеры захватили более половины хешрейта не по всей вычислительной мощности, а использовали только лишь один алгоритм (примеры алгоритмов вы можете увидеть в соответствующей колонке на скрине выше). С помощью подмены временных меток (интересный баг) им удалось сделать так, что из нескольких алгоритмов использовался только Scrypt, где у них было большинство вычислительных мощностей. В результате было похищено около 250 тыс. монет за чуть более чем 3 часа.

Чтобы ликвидировать последствия атаки, разработчики пообещали провести хардфорк, который откатит блокчейн на состояние до атаки. Нечто похожее уже проходил ЕТН после взлома DAO, после чего появился Ethereum Classic. Ситуацию это исправит, но на криптовалютах поставит крест: смысл доверять стартапам, которые по решению разработчиков могут быть изменены в любой момент? На фоне отрицательных новостей курс просел почти на четверть.

Другие известные случаи атаки 51%:

  • В июле 2014 года пул для майнинга Ghash.io стал контролировать 55% мощности ВТС. Тогда популярность криптовалют была в разы меньше, потому оказалось достаточно, чтобы один из крупных пулов, пусть и ненадолго, получил доступ к возможностям сети. Пул почти сразу добровольно снизил это значение до 40%, но курс уже успел обвалиться почти на четверть.

  • В августе 2016 года около 22 тыс. монет из обоих стартапов путем «двойной траты» удалось организовать группе атакующих, называющих себя «51 Crew». Целью атаки были монеты Krypton и Shift, созданных на основе децентрализованной сети Ethereum.

Тот факт, что хакеры теперь засматриваются и на крупные монеты, говорит о нарастающей потенциальной угрозе.

«Двойную трату», являющуюся наиболее частым следствием атаки 51%, выделяют в отдельное направление атак и даже разделяют ее на такие виды, как «Атака типа гонки» и «Атака Финни». Их суть аналогична: воспользоваться двойной отправкой монеты и любой ценой получить подтверждение только нужной своей транзакции. Атаки носят теоретический характер, так как на практике хакерам они не интересны.

2. Атака Сивиллы

Вторая по популярности атака, которая предусматривает, что злоумышленник наполняет сеть подконтрольными ему узлами, а остальные пользователи подключаются к блокам, созданным для мошеннических действий. Атакующий старается «окружить» узел жертвы так, чтобы иметь контроль над всеми транзакциями в обе стороны. В крупных стартапах наподобие ВТС и его аналогов это сделать сложно, так как узел пользователя для подтверждения транзакции выбирает узел сети практически случайно. Вероятность быть полностью окруженным в этом случае небольшая, но она есть. Чаще атаке Сивиллы подвергаются молодые криптовалюты из второго эшелона.

Проблема уязвимости в том, что в момент подключения к сети узел пользователя не знает IP доверенных узлов и вынужден их запрашивать. И если запрос попадает на узел атакующего, пользователь фактически получает искаженные недостоверные данные. Проблема усугубляется тем, что невозможно создать постоянный список доверенных узлов, так как это будет противоречить принципу децентрализации. Потому пользователю каждый раз приходится искать новые доверенные узлы. Несмотря на то, что процесс соединения носит случайный характер, взломщик может сделать так, что журнал пользователя будет содержать только адреса заинтересованного лица.

Последствия атаки Сивиллы:

  • атакующий блокирует транзакции пользователя, фактически отсоединив его от общей сети;

  • атакующий сам решает, к какому блоку подсоединить пользователя. И чаще всего это отдельно созданные им блоки, где реализуется «двойная трата»;

  • атакующий отслеживает все транзакции пользователя, применяя для этого скрипты и ПО.

3. DDoS-атаки и замедление времени

Атака проводится не для экономической выгоды, а с целью навредить стартапу или вообще отключить сеть. Отправка частых множественных «мусорных» данных на узел, который обрабатывает транзакции, усложняет его работу и замедляет передачу данных, обновление сети и формирование новых блоков. Каждый проект имеет на этот счет свою защиту. Например, у ВТС есть встроенная защита от подобного типа атак, некоторые криптовалюты вводят символические комиссии, которые отсеивают пустые транзакции, сгенерированные роботами. Большой поток «мусорных» транзакций приводит к росту комиссий. В ноябре 2017 года крупной DDoS-атаке подверглась IOTA.

Среди других проблем криптовалют стоит отметить их отдельно взятые уязвимости. Проблемы - в коде криптовалюты, ошибки в ключах и методах шифрования и т.д. Они носят индивидуальный характер и хакеры ищут подобные лазейки. И часто у них это получается. Например, у инвесторов IOTA в январе 2018 года было похищено 4 млн дол. США. Причина: для генерации seed-фразы (часть процесса шифрования) пользователи воспользовались сторонним ресурсом, оказавшимся мошенническим. Последующая DDoS атака перегрузила сеть и не позволила жертвам восстановить свои деньги, которые были быстро конвертированы.

Есть и другие возможные атаки, которые пока что носят гипотетический характер: каннибализм пулов (эгоистическое уничтожение пула для нарушения сети), атака Р+Eplsilon (по версии Виталика Бутерина, одна из самых неприятных проблем в алгоритме PoW, которая предусматривает своего рода дачу злоумышленником взятки другим участникам сети за поддержку изменений в сети), таймджекинг (попытка манипуляции меткой времени транзакции). Но они пока атакующим не интересны.

Вывод. Атаки на криптовалюты совершаются постоянно и с переменным успехом. Хакеры находят уязвимости в коде, используют недостатки самой технологии блокчейн и даже атакуют криптовалютные биржи. И выводы из всего этого неутешительные:

  • Безопасность - одна из сильных сторон криптовалют. По крайней мере, так преподносятся криптовалюты обществу, но практика показывает, что это скорее маркетинговый ход. Если говорить о платежных системах, то ВТС и биржи страдают от атак чаще, чем Visa (Mastercard) и банки. Причем чем сложнее алгоритмы защиты криптовалют, тем более изощренные появляются атаки. И вторая сильная сторона, анонимность, как раз играет против криптовалют - личности злоумышленников остаются нераскрытыми, тем самым подталкивая новых хакеров совершать новые попытки. Значит ли это, что блокчейн сам себе выкопал яму и его преимущества оказываются недостатками? Вполне возможно.

  • Ethereum и Vergo - пример того, что любые транзакции могут быть отменены с помощью отката назад. Это ставит под угрозу принцип надежного хранения информации.

  • Взломы способны сильно обвалить рынок. И не из-за недоверия инвесторов, а из-за того, что краденые деньги попадают на рынок (еще одна проблема анонимности) и соответственно обваливают курс. И достаточно одной серьезной атаки, чтобы криптовалюты подешевели. Яркий пример - Mt.Gox, чьи деньги обваливают рынок с января этого года.

Многие потенциальные атаки являются только лишь гипотетическими, так как не интересны взломщикам. Но их потенциальная возможность и те атаки, которые уже осуществляются, говорят о несовершенстве криптовалют. Чаша весов может склониться как в одну, так и в другую сторону.   Однако шаткость курса можно использовать в Форексе, где можно открывать короткие позиции, быстро разворачивать сделки и хеджировать риски. А как вы считаете: какие основные проблемы криптовалют, и какие у рынка перспективы?


P.S. Понравилась моя статья? Поделись ей в соцсетях, это лучшее спасибо :)

Задавайте мне вопросы и комментируйте материал ниже. С удовольствием отвечу и дам необходимые пояснения.

Полезные ссылки:

  • Торговлю с проверенным брокером рекомендую попробовать тут. Система позволяет торговать самостоятельно или копировать сделки успешных трейдеров со всего мира.
  • Чат трейдеров в телеграм: https://t.me/marketanalysischat. Делимся сигналами и опытом.
  • Канал в телеграм с отличной аналитикой, форекс обзорами, обучающими статьями и прочими полезностями для трейдеров: https://t.me/forexandcryptoanalysis

График цены BTCUSD в реальном времени

Атаки на криптовалюты: виды уязвимостей, вероятность и последствия

Содержание данной статьи является исключительно частным мнением автора и может не совпадать с официальной позицией LiteForex. Материалы, публикуемые на данной странице, предоставлены исключительно в информационных целях и не могут рассматриваться как инвестиционный совет или консультация для целей Директивы 2004/39 /EC.

Появились вопросы к автору? Вы можете обсудить их в комментариях .
Начать торговлю
Мы в социальных сетях
Live-Чат
Оставить отзыв