Το χαρτί του Πενταγώνου προειδοποιεί για σημαντικά τρωτά σημεία στο blockchain του Bitcoin

Καθώς η βιομηχανία κρυπτονομισμάτων συνεχίζει να επεκτείνεται και να γίνεται ολοένα και πιο ελκυστικός στόχος για τους χάκερ, το Πεντάγωνο ανέθεσε μια μελέτη που ανακάλυψε ορισμένα σχετικά με τρωτά σημεία, τα οποία περιγράφονται λεπτομερώς σε μια συνοδευτική έκθεση.

Πράγματι, η έκθεση, που δημοσιεύθηκε στις 21 Ιουνίου με τίτλο «Είναι αποκεντρωμένα τα Blockchains; Μη επιδιωκόμενες κεντρικότητες σε κατανεμημένα καθολικά», ανακάλυψε ότι «ένα υποσύνολο συμμετεχόντων μπορεί να συγκεντρώσει υπερβολικό, κεντρικό έλεγχο σε ολόκληρο το σύστημα».

Η μελέτη, η οποία επικεντρώνεται στο Bitcoin (BTC) και Ethereum (ETH), πραγματοποιήθηκε από την εταιρεία ερευνών ασφαλείας Trail of Bits υπό τη διεύθυνση της Υπηρεσίας Προηγμένων Ερευνητικών Προγραμμάτων Άμυνας (DARPA) του Πενταγώνου.

Σύμφωνα με την έκθεση:

«Ο αριθμός των οντοτήτων που επαρκούν για να διαταράξουν ένα blockchain είναι σχετικά χαμηλός: τέσσερις για το Bitcoin, δύο για το Ethereum και λιγότερο από μια ντουζίνα για τα περισσότερα δίκτυα PoS». 

Το 60% της κίνησης του Bitcoin περνά από μόλις 3 ISP

Επιπλέον, η έκθεση ανέφερε ότι «από το σύνολο της κίνησης Bitcoin, το 60% διασχίζει μόνο τρεις ISP», αναφερόμενος σε παρόχους υπηρεσιών Διαδικτύου. Επιπλέον, «η συντριπτική πλειονότητα των κόμβων Bitcoin φαίνεται να μην συμμετέχει στην εξόρυξη και οι χειριστές κόμβων δεν αντιμετωπίζουν καμία ρητή ποινή για ανεντιμότητα».

Όπως προειδοποιούν οι αναλυτές, «η ανάπτυξη ενός νέου κόμβου απαιτεί μόνο ένα φθηνό παράδειγμα διακομιστή cloud – δεν απαιτείται εξειδικευμένο υλικό εξόρυξης». Αυτό επιτρέπει τη δυνατότητα πλημμύρας του δικτύου συναίνεσης ενός blockchain με νέους, κακόβουλους κόμβους που ελέγχονται από ένα μόνο μέρος σε αυτό που ονομάζεται επίθεση Sybil.

Άλλα προβλήματα περιλαμβάνουν ξεπερασμένα και μη κρυπτογραφημένα πρωτόκολλα και λογισμικό, τα οποία εκθέτουν το δίκτυο σε επιθέσεις. Όπως εξηγεί η έκθεση:

«Η ασφάλεια ενός blockchain εξαρτάται από την ασφάλεια του λογισμικού και των πρωτοκόλλων της διακυβέρνησης εκτός αλυσίδας ή των μηχανισμών συναίνεσης».

Απρόσεκτες πισίνες εξόρυξης

Η έκθεση ανακάλυψε επίσης ότι όλες οι ομάδες εξόρυξης που δοκίμασαν οι αναλυτές της «είτε εκχωρούν έναν κωδικοποιημένο κωδικό πρόσβασης για όλους τους λογαριασμούς ή απλώς δεν επικυρώνουν τον κωδικό πρόσβασης που παρέχεται κατά τον έλεγχο ταυτότητας».

Ως παράδειγμα, η αναφορά χρησιμοποίησε την πρακτική της παγκόσμιας δεξαμενής εξόρυξης κρυπτονομισμάτων ViaBTC να εκχωρεί φαινομενικά τον κωδικό πρόσβασης «123» σε όλους τους λογαριασμούς της. Μια άλλη εταιρεία εξόρυξης, η Poolin, «φαίνεται να μην επικυρώνει καθόλου τα διαπιστευτήρια ελέγχου ταυτότητας», ενώ η Slushpool «καθοδηγεί ρητά τους χρήστες της να αγνοήσουν το πεδίο κωδικού πρόσβασης».

Σύμφωνα με τα διαθέσιμα δεδομένα, αυτές οι τρεις δεξαμενές εξόρυξης αντιπροσωπεύουν περίπου το 25% του hashrate Bitcoin.

Κυβερνασφάλεια Οι ερευνητές συχνά προειδοποιούν για πιθανές αδυναμίες που σχετίζονται με την κρυπτογράφηση που μπορεί να οδηγήσουν σε περιστατικά όπως αυτό που Φίλμπολντ αναφέρθηκε στα μέσα Απριλίου, στην οποία αν ο εισβολέας κατάφερε να κλέψει ολόκληρη τη συλλογή ενός ατόμου κρυπτογράφων και μη ανταλλάξιμων μάρκων (NFT) αξίας άνω των 650,000 $ από το MetaMask τους κρυπτοφόρο πορτοφόλι.