Vzhľadom k tomu, priemysel kryptomeny Pokračuje v expanzii a stáva sa čoraz atraktívnejším cieľom pre hackerov, Pentagon si objednal štúdiu, ktorá odhalila niektoré zraniteľnosti, podrobne uvedené v sprievodnej správe.
Správa uverejnená 21. júna s názvom „Sú blockchainy decentralizované? Neúmyselné centrály v distribuovaných účtovných knihách“, zistil, že „podskupina účastníkov môže získať nadmernú centralizovanú kontrolu nad celým systémom“.
Štúdia, ktorá sa zameriava na Bitcoin (BTC) a Ethereum (ETH), vykonala bezpečnostná výskumná firma Trail of Bits pod vedením Agentúry pre pokročilé obranné výskumné projekty Pentagonu (DARPA).
Podľa správy:
„Počet subjektov, ktoré sú dostatočné na narušenie blockchainu, je relatívne nízky: štyri pre bitcoiny, dve pre Ethereum a menej ako tucet pre väčšinu sietí PoS.
60 % bitcoinovej prevádzky prechádza len cez 3 ISP
Okrem toho sa v správe uvádza, že „z celej bitcoinovej prevádzky 60 % prechádza len cez troch poskytovateľov internetových služieb“, pričom odkazuje na poskytovateľov internetových služieb. Okrem toho sa zdá, že „prevažná väčšina bitcoinových uzlov sa nezúčastňuje na ťažbe a prevádzkovatelia uzlov nečelia žiadnej výslovnej pokute za nečestnosť“.
Ako varujú analytici, „nasadenie nového uzla si vyžaduje len jednu lacnú inštanciu cloudového servera – nie je potrebný žiadny špecializovaný ťažobný hardvér.“ To umožňuje možnosť zaplaviť konsenzuálnu sieť blockchainu novými, škodlivými uzlami kontrolovanými jednou stranou v rámci toho, čo sa nazýva útok Sybil.
Medzi ďalšie problémy patria neaktuálne a nešifrované protokoly a softvér, ktoré vystavujú sieť útokom. Ako správa vysvetľuje:
„Bezpečnosť blockchainu závisí od bezpečnosti softvéru a protokolov jeho mimochainového riadenia alebo mechanizmov konsenzu.“
Neopatrné ťažobné bazény
Správa tiež zistila, že všetky ťažobné fondy, ktoré jej analytici testovali, „buď priradili pevne zakódované heslo pre všetky účty, alebo jednoducho neoverili heslo poskytnuté počas overovania“.
Ako príklad správa použila prax globálneho fondu na ťažbu kryptomien ViaBTC, ktorý zdanlivo priraďuje heslo „123“ všetkým svojim účtom. Iná ťažobná firma, Poolin, „zdá sa, že vôbec neoveruje overovacie poverenia“, zatiaľ čo Slushpool „výslovne nariaďuje svojim používateľom, aby ignorovali pole hesla“.
Podľa dostupných údajov tvoria tieto tri ťažobné fondy približne 25 % bitcoinového hashratu.
Kyber ochrana výskumníci často varujú pred potenciálnymi slabinami súvisiacimi s kryptomenami, ktoré môžu viesť k incidentom, ako je ten, ktorý finbold hlásené v polovici apríla, v ktorom an útočníkovi sa podarilo ukradnúť celú zbierku osoby kryptomien a nezastupiteľných tokenov (NFT) v hodnote viac ako 650,000 XNUMX dolárov z ich MetaMask kryptometa.
Zdroj: https://finbold.com/pentagon-paper-warns-of-major-vulnerabilities-in-the-bitcoin-blockchain/