Полное руководство по блокчейн-атакам

Источник · Перевод автора

Знаете ли вы, что блокчейны вообще не защищены от взлома? Это может быть откровением, но это правда. Да, децентрализованные системы защищены от традиционных хакерских нарушений. Тем не менее, они имеют уникальные слабые звенья, выставленные современным злоумышленникам.

Большинство успешных хакерских атак было сосредоточено на крипто-биржах с довольно традиционными уязвимостями. С января по июнь 2019 года семь сайтов столкнулись с атаками и потеряли около десятков миллионов долларов. В 2017–2018 годах биржи потеряли около 882 миллионов долларов. Добавьте 460 миллионов долларов, украденных с Mt. Gox в 2014 году и 72 миллиона долларов от Bitfinex в 2016 году, чтобы получить довольно пугающее изображение.

Но централизованные платформы и их пользователи страдают чаще. Тем не менее, существует несколько угроз для самих блокчейнов. Умные или богатые и сильные команды могут их сломать, украсть деньги и получить контроль над данными, что наиболее важно. Итак, давайте рассмотрим наиболее популярные типы атак.

Атаки блокчейн-сетей

Короче говоря, любая сеть на основе цепочки блоков состоит из множества узлов, которые записывают данные, проверяют и обрабатывают их. Самый яркий пример — финансовые данные — узлы регистрируют, отправляют и получают транзакции. Хакеры могут находить и использовать уязвимости сетей, используя несколько подходов.

DoS и DdoS-атака

Отказ в обслуживании и распределенные угрозы отказа в обслуживании — одни из самых известных. Короче говоря, хакеры атакуют выбранный сервер или другой клиент множеством запросов, генерирующих вредоносный трафик и не позволяющих пользователям получить доступ к сервису. В случае DoS этот трафик поступает из одного источника, а DDoS генерирует его из нескольких точек.

Хотя DoS и DDoS чаще всего ориентированы на традиционные серверы, хакеры все еще могут атаковать блокчейны. Децентрализованные системы имеют лучшую защиту, хотя. Даже если один или несколько узлов недоступны, блокчейн все еще может функционировать хорошо. Но можно нацелить прикладной уровень любой системы, чтобы заблокировать ее использование.

Eclipse-атака

Хакеры могут сосредоточиться на нанесении вреда только одному конкретному узлу вместо всей системы. В этом сценарии плохой субъект изолирует выбранный узел, перехватывая связи с другими узлами. Для этого он / она должен контролировать достаточное количество узлов в ботнете с уникальными IP-адресами. Хакер заставляет целевой узел перезагружаться и перенаправляет его ссылки на поддельные IP-адреса.

В результате узел жертвы становится изолированным от цепочки, поэтому у его владельца нет четкого представления о текущей деятельности. Мошенники могут получить контроль над довольно важными узлами. Они могут легко украсть данные или позволить удвоить расходы на дальнейшие атаки. Более того, они могут захватить мощность майнинга или даже создать новый форк.

Replay-атака

Этот тип довольно прост, так как не требует сложных криптографических подходов. Мошеннические стороны просто записывают конкретные транзакции или записи, а затем повторяют их. Иногда они также могут перехватывать оригинальные сообщения. Используя этот метод, хакеры получают право собственности на действительные данные, поэтому им не нужно шифровать их или обманывать системы проверки.

Потенциально, повторные атаки могут быть очень вредными. Суть в том, что любую неизменную информацию, такую как пароли или биометрические данные, можно обнаружить и запомнить. Тем не менее, блокчейны могут относительно легко защитить себя от повторов. Они должны только реализовывать временные метки и ограничивать количество повторов для данной транзакции.

Sybil-атака

Вместо идей eclipse эта атака фокусируется на всей цепочке блоков. Таким образом, хакеры не переписывают ссылки выбранного узла, манипулируя только одной маленькой подсистемой, но создают несколько поддельных узлов, окружающих жертву. Это похоже на создание поддельных учетных записей в социальных сетях. Большое количество вредоносных узлов приводит к получению контроля над сетью.

В частности, хакеры могут выполнять атаки с двойным расходом или даже 51%. Мы поговорим о них позже. С достаточным количеством узлов Sybil, мошенники могут управлять блокчейном, создавать вилки, красть деньги и так далее. На данный момент нет никаких гарантированных мер для предотвращения этой атаки. Тем не менее, это возможно сделать непрактичным.

Факт: нападение названо в честь Ширли Арделл Мейсон, она же Сибил Дорсетт, женщины с диссоциативным расстройством личности и героем книг и фильмов.

Атаки согласованных протоколов (Consensus Protocol)

Следующая большая категория включает атаки на механизм проверки и регистрации транзакций. Как вы знаете, все блокчейны имеют тот или иной протокол, такой как PoW, PoS и так далее. Плохие субъекты могут находить уязвимости в этих алгоритмах и использовать их.

Атака 51%

Вот одна из самых известных угроз, которая изначально считалась единственной угрозой, связанной с блокчейнами. Как вы знаете, протоколы Proof-of-Work требуют затрат вычислительной мощности для проверки и записи каждой транзакции. Майнеры используют свои машины для этого и получают награды в крипто. Из-за большого количества узлов и высоких энергетических затрат ни один объект не может получить полный контроль над сетью.

Почти. По-прежнему можно производить или сдавать в аренду не менее 51% хэш-скорости системы (мощность всех майнеров) для выполнения, проверки и изменения данных без участия других участников. Например, крупные майнинговые пулы или мошеннические команды успешно выполнили эту атаку на Verge и Bitcoin Gold. Хакеры могут отменить транзакции, украсть данные или даже создать новые форки для разработки проекта так, как они хотят.

Единственная проблема в том, что 51% атак требуют много энергии. Действительно много. Чем дольше вы хотите управлять системой, тем больше денег вам придется тратить. Таким образом, длинные атаки крайне редки, поскольку хакеры стремятся быстро получить немного денег и уйти в отставку.

Атака двойных расходов (Double Spending)

Ну, мы упоминали этот термин несколько раз, так что давайте поговорим об этом. Двойные расходы (Double Spending) — главная цель большинства атак. Это позволяет плохим актерам использовать одни и те же токены в нескольких транзакциях. В итоге будет зарегистрирована только одна сделка, а другие записи будут отменены. Это означает, что, например, человек может продать 1 BTC нескольким покупателям, получить USD от всех из них, но перевести BTC только одному. Или не переводить вообще.

Вот несколько примеров атак двойных расходов:

  • Finney. Предусматривает создание одного предварительно добытого блока с транзакцией и размещение идентичной транзакции непосредственно перед освобождением этого блока. Таким образом, вторая транзакция будет считаться недействительной.
  • Race. Создает две одинаковые транзакции. Первый отправляется покупателю или продавцу, который принимает его без подтверждения со стороны сети. Второй распространяется на блокчейн и подтверждается вместо первого.
  • Имитация истории. Это тоже основано на идее 51%. Хакер также отправляет две транзакции, но вторая основана на альтернативном форке. Таким образом, даже после подтверждений хакер может нажать свою вилку, чтобы сделать недействительной первую транзакцию.

Важно понимать, что двойные расходы могут быть следствием практически любой атаки. Хотя решить все проблемы практически невозможно, блокчейны могут применять новые меры защиты для предотвращения, по крайней мере, самых популярных атак.

Атака на крипто-кошелёк

Помимо блокчейнов и приложений, существует множество целей для хакеров. Например, они могут попытаться получить доступ к пользовательским криптовалютам, как холодным, так и горячим. Очевидно, что главная цель этих угроз — деньги.

Холодные кошельки

Да, вот еще одно откровение: холодные кошельки тоже не идеальны. Обладая достаточными знаниями и техническими знаниями, хакеры могут вставлять вредоносные программы в эти устройства или красть данные более экзотическими способами. Например, израильские исследователи утверждают, что они могут похищать личные ключи с помощью звука, тепла, света, магнитных волн и так далее. Они также настаивают на том, что возможно заразить кошельки вредоносным ПО. Ученые из DocDroid подтверждают эти заявления.

Горячие кошельки

Поскольку горячие кошельки напрямую подключены к Интернету, их даже проще взломать. Как правило, хакеры используют фишинговые или грубые атаки для получения закрытых ключей, начальных фраз и ПИН-кодов. Плохие актеры, разбирающиеся в технологиях, могут использовать слабые места алгоритмов подписи или генерации ключей. Например, генераторы могут иметь низкую энтропию и, соответственно, недостаточную случайность.

Атаки на смарт-контракты

Наконец, самый сложный слой ориентированных на разработку блокчейн-платформ также может быть атакован. На самом деле, смарт-контракты и децентрализованные приложения — это все о коде, как и в традиционном программном обеспечении. И код может содержать уязвимости. Например, Ethereum Solidity имеет несколько потенциальных точек входа для мошенничества.

Кроме того, виртуальные машины, которые выполняют смарт-контракты, также могут быть взломаны. В этом случае неизменность блокчейна становится значительной угрозой, потому что даже самые маленькие ошибки не могут быть исправлены в обратном направлении и могут привести к разветвлению, как в случае с DAO. Есть и другие ошибки, например, связанные с доступом.

Простые меры предосторожности

Хотя может быть довольно сложно предотвратить все типы атак, особенно наиболее технически подкованных, обычные трейдеры все еще могут защитить свои деньги. Есть несколько быстрых моментов, о которых нужно знать:

  • Холодные кошельки. Храните основные средства на охраняемых хранилищах. Вы можете иметь несколько монет на криптовалютах, но помните, что они чрезвычайно уязвимы.
  • Интернет гигиена. Не разглашайте вашу личную информацию, такую как пароли / ключи. Всегда проверяйте адреса сайтов, личность партнеров, электронные письма и другие запросы.
  • Многофакторная аутентификация. Попробуйте использовать свой телефон в качестве дополнительного слоя безопасности. С включенным 2FA будет намного сложнее получить контроль над своими счетами.
  • Ваши собственные недостатки. Мы люди, и мы делаем ошибки. Опечатки и неправильные адреса кошелька могут повредить ваш криптобаланс, поэтому обязательно перепроверьте сами.

Помните, что знание это сила. Зная об основных угрозах криптографии / блокчейна в современном крипто-сообществе, вы сможете защитить себя. По крайней мере, частично. Делайте все возможное, чтобы повысить безопасность со стороны пользователя, чтобы снизить риски и сохранить монеты. И всегда помните, что мир криптографии рискован и опасен. Но мы любим это.