Все чаще мы слышим про утечки данных, скандалы, связанные со сбором информации о пользователях и об атаках, многие из которых происходят из-за устаревшей инфраструктуры (читайте статью о том, как IPFS позволит обновить или даже заменить протокол HTTP, на котором функционирует всемирная сеть). На наших глазах прекрасный мир цифровой информации, где каждый имеет возможность в один клик переместиться на другой конец земного шара, превращается в опасную тропу, где любой шаг должен быть выверен и обдуман заранее. Блокчейн, который лишь начинает набирать популярность, многими людьми воспринимается как панацея. Они ждут полноценного внедрения новой технологии, чтобы снова иметь возможность вздохнуть спокойно, ведь фактор доверия полностью исчезнет. Давайте разбираться, действительно ли блокчейн является настолько безопасным. Что, если сам инструмент обладает недостатками, которыми могут воспользоваться злоумышленники?
Запомните, блокчейн уязвим перед атакам!
Любой IT-специалист уверенно заявит, что каждое технологическое решение имеет свои преимущества и недостатки. Безусловно, блокчейн позволяет исключить из взаимодействия посредников и имеет множество других преимуществ (о которых мы писали здесь), но насколько он подвержен кибератакам? Оказывается, существуют несколько типов атак, которые могут оказаться успешными при тщательной подготовке и соблюдения ряда условий. Сегодня мы расскажем подробнее о некоторых из них.
Атака Сивиллы (Sybil Attack)
Самый популярный вид атаки на p2p-сеть (одноранговая сеть, где все участники наделены равными правами). При совершении подобной атаки хакеры координируются и начинают контролировать значительное количество нод (что такое нода). После этого злоумышленники пытаются привести сеть в неработоспособное состояние, манипулируя валидными транзакциями и создавая невалидные. По сегодняшний день блокчейн ни разу не был подвержен подобной атаке, во многом благодаря тому, что именно противодействие ей было заложено в архитектуру распределенных реестров. В сети Биткоин, например, функцию защитника выполняет алгоритм достижения консенсуса Proof-of-Work (подробнее об этом в статье).
Атака маршрутизации (Routing Attack)
Атака, которая становится возможной при вмешательстве во взаимодействие клиент-провайдер. На вероятность проведения подобного нападения обращают внимание специалисты со всего мира. Несмотря на то, что ноды распределены по разным странам, интернет-трафик для их поддержания идет через определенных провайдеров, многие из которых являются общими для тысяч узлов. Именно они, в случае сговора, способны воздействовать на сеть. Об этом мы писали статью «Интернет-провайдеры способны манипулировать сетью Биткоин».
Отказ в обслуживании (DDoS)
Атаки подобного типа ни раз приводили к прекращению работоспособности большого количества интернет-ресурсов различного масштаба. DDoS заключается в создании высокого количества запросов к полезному ресурсу, в результате чего каналы обслуживания не справляются с нагрузкой и выходят из строя. Применительно к блокчейн-сетям, суть атаки этого типа заключается в создании аномального количества транзакций, которые приводят к необработке релевантных транзакций остальных пользователей. Именно это случилось в сети IOTA.
Намеренное переполнение очереди транзакций
Подобное случилось, например, в июне 2015 года. Тогда Coinwallet.eu решила провести стресс-тест сети Биткоин, отправив тысячи транзакций на обработку. Таким образом компания пыталась повлиять на сообщество в разгорающейся дискуссии относительно размера блока реестра. Месяцем позднее F2Pool организовал подобную акцию, совершив более 80 000 транзакций за короткое время. Напомним, что споры насчет увеличения размера блока продолжаются по сей день и уже привели к появлению форка Bitcoin, названного Bitcoin Cash. Сторонников новой криптовалюты также впоследствии обвиняли в проведении подобного типа атаки для привлечения новых инвесторов в собственный проект. Почему увеличение блока не является оптимальным решением, читайте в статье.
Атака 51% (51% Attack или Majority Attack)
Данный тип атак является наибольшей угрозой для блокчейна. Она несколько разнится для любого из выбранных алгоритмов. Если рассматривать традиционный для Bitcoin, Litecoin, Monero и других крупнейших криптовалют протокол Proof-of-Work, то атака 51% заключается в сговоре владельцев более чем половины включенного в сеть вычислительного оборудования. Это позволит им захватить контроль над сетью и присвоить себе средства всех остальных участников. С помощью большинства вычислительных мощностей ими будут подтверждены транзакции, которые не должны иметь место. Подобной атаке уже дважды подверглась сеть Verge. Для более крупных сетей вероятность проведения атаки большинства (атаки 51%) снижается из-за большого количества добросовестных участников и дорогостоящего оборудования, работающего на благо сети.
Атаки, при которых используются уязвимости криптографических функций (Cryptographic Vulnerabilities)
Любой специалист по кибербезопасности знает, что наиболее уязвимым местом во многих сложных технических системах является человек.
Если вам интересна данная тема, советуем прочитать книгу Кевина Митника «Искусство обмана». Хакеры зачастую эксплуатируют человеческий фактор для получения доступа к информации, которая для них не предназначена. Другим следствием человеческого фактора являются ошибки в коде. Будучи обнаруженными злоумышленником, они приводят к катастрофическим последствиям. Например, именно в результате уязвимости исходного кода сети Ethereum хакером было присвоено более $50 млн в токенах сети (более 30% всех монет). Это вполне ожидаемо вызвало ожесточенные споры. Криптосообщество разделилось на 2 лагеря. Первые (среди них был и сам создатель криптовалюты Виталик Бутерин) заявили, что подобное недопустимо и предложили совершить хардфорк (что это) который вернул бы токены их законным владельцам. Их оппоненты считали, что использование криптовалют предполагает согласие с главным принципом: «Код — это закон». А значит, хакер стал законным наследником похищенного актива. Что стало следствием разгоревшейся войны, читайте в нашей статье.
На самом деле, большинство проблем случается не из-за хакеров.
Настоящей проблемой является низкая грамотность пользователей криптовалют. Они отправляют средства на несуществующие адреса, теряют доступ к своим кошелькам и делятся приватной информацией с людьми, которые могут в дальнейшем использовать ее для собственной выгоды.
Chain Media был создан именно из-за этого. Наша цель — объяснить вам, как работают криптовалюты и какие последствия влекут за собой те или иные действия. Именно для вас мы создали базу знаний, где собрали образовательные материалы, над которыми работали на протяжении долгих месяцев. Оставайтесь с нами и становитесь умнее.
Вы знаете, что делать ;)
