uyazvimosti_03-1024x577 Уязвимости Bitcoin

Cодержание статьи:

  1. Основные недостатки сети Bitcoin
  2. Воздействие на уровне пользователя
  3. Воздействие на уровне майнинга
  4. Известные варианты криптовалютных атак
  5. Атака Сивиллы
  6. Атака 51%
  7. Атаки Denial-of-Service (DoS)
  8. Double spending
  9. Нелегальные данные в цепи блоков
  10. Атака на Bitcoin биржи
  11. Заключение

Основные недостатки сети Bitcoin

Технология блокчейн очень нова и не совершенна. Bitcoin — это первая криптовалюта, которая работает на технологии блокчейн. Bitcoin появился в 2009 году. Это очень маленький промежуток времени, чтобы проверить технологию и обнаружить все ее недостатки.

Проблема усложняется тем, что практически не существуют специалисты в сфере блокчейн, так как сама технология очень нова. Не было времени, чтобы подготовить знающих и опытных профессионалов. Многие университеты только в 2018 году стали вводить программы и курсы, связанные с блокчейн. Но даже для введения новых курсов и обучения студентов нужны преподаватели, необходим методический материал и учебники. А чтобы все это создать требуется время.

В тоже время рост популярности криптовалют в 2017 году и резкий рост общей капитализации криптовалют привел к тому, что активизировались хакеры. Криптовалюты стали стоить дорого, при этом сама технология оставалась несовершенной. Криптовалютные биржи и кошельки не были защищены должным образом.

Банковский сектор разрабатывал меры защиты от взломов и краж сотнями лет, постоянно совершенствуясь в этом. У криптовалютных кошельков и бирж на это не было времени. Не существовало профессионалов, которые разбирались в безопасности криптовалют, так как любых профессионалов надо обучать. На это нужны время и деньги. Нужны учебные материалы. Необходим опыт, проверенный и изученный на ошибках.

Видя возросшую популярность криптовалют и большое количество уязвимостей, связанных с ее хранением, на криптовалюты обратили внимание хакеры.

Криптовалюты анонимны, в большинстве стран они до сих пор никак не регламентированы. Это делает их лакомой добычей хакеров. Как показывает опыт практически все крупные кражи так и остались безнаказанными. Это еще больше провоцирует преступников на совершение преступлений.

В большинстве стран криптовалюты не считаются ни деньгами, ни материальными ценностями. Таким образом, преступник, украв криптовалюту, не несет наказание, так как считается, что они ничего не украл. Криптовалюты вне правового поля, вне денежного или гражданского оборота.

Таким образом, для преступников сложилась благоприятная среда.

uyazvimosti_04-1024x512 Уязвимости Bitcoin

Практически все держатели криптовалют знают, что самое главное суметь их сохранить, так как практически все кошельки ненадежны и взламываются. Еще менее надежны биржи. Постоянно приходят сообщения о взломах очередной биржи и об украденных деньгах трейдеров.

Но еще более ненадежна сама технология блокчейн. Вот только некоторые из ее недостатков:

  • кошельки слабо защищены от краж
  • новый кошелек можно вскрыть старым паролем через бекапы
  • можно проследить историю кошелька и узнать сколько на нем денег
  • возможно предпринять атаку Сивиллы
  • уязвимость атаки 51%
  • DoS-атаки
  • возможность замедления времени внутри сети
  • уязвимость транзакций
  • возможность вносить нелегальные данные в блоки
  • проблемы с безопасностью и баги

Воздействие на уровне пользователя

Воздействие на уровне пользователя является одним из основных способов кражи денег с кошельков. Под видом полезных приложений хакеры  заражают компьютеры вирусами, которые воруют платежные реквизиты и личные данные пользователей. Это касается не только криптовалют. Это может относиться ко всем платежным системам, почте, социальным сетям.

Другим популярным видом мошенничества, связанным с криптовалютами, является скрытый майнинг. Под видом полезных программ, музыки, фильмов, различного контента, пользователи устанавливают к себе на компьютеры программы скрытого майнинга и добывают на своих устройствах криптовалюту для хакеров. Дело в том, что на данный момент добыча криптовалют требует больших затрат электроэнергии и дорогого специализированного оборудования. Хакерам намного проще заразить тысячи устройств пользователей и использовать их ресурсы и электроэнергию, чем майнить самостоятельно.

uyazvimosti_05-1024x576 Уязвимости Bitcoin

Большинство криптовалют не анонимно. Хакеры используют специальные программы и отслеживают историю кошельков, таким образом, вычисляя остатки на кошельках. Они взламывают целенаправленно определенные кошельки, на которых лежат деньги. Осуществлять атаки на определенных пользователей с деньгами на кошельках намного проще, чем осуществлять общую атаку, не рассчитанную на конкретного пользователя. Поэтому все владельцы онлайн кошельков, на которых лежат крупные суммы, очень уязвимы для целенаправленных хакерских атак.

Не следует забывать, что если вы храните криптовалюты на кошельках, у вас должен быть рабочий антивирус. Нужно пользоваться только надежными кошельками, проверенными временем и установить двухфакторную верификацию.

С другой стороны, анонимный характер криптовалют практически не позволяет отследить хакеров. Украв деньги, хакеры часто с ними уходят, не понеся наказания.

Воздействие на уровне майнинга

Самая популярная угроза на уровне майнинга это атака 51%. Смысл данной атаки заключается в том, что крупный майнер или группа крупных майнеров объединяются,чтобы завладеть основной мощностью сети, то есть более 51% всех мощностей. Таким образом, они смогут контролировать обработку всех транзакций.

Деньги украсть они не смогут, они могут только подтверждать те транзакции, которые они заходят, не давая другим майнерам работать и таким образом, зарабатывать себе все вознаграждение за майнинг блоков. Таким образом, сеть встанет.

Чтобы обладать более половиной всех мощностей Bitcoin требуется мощность, которая во много раз превышает всю общую мощность 500 самых крутых компьютеров в мире.

Однако проблема заключается в том, что добыча Bitcoin крайне монополизирована. 75% всех мощностей по добычи Bitcoin сосредоточено в Китае. В Китае находится множество мелких, средних и крупных майнинговых ферм, которые добывают криптовалюту. Теоретически они могут договориться между собой.

uyazvimosti_01 Уязвимости Bitcoin

Но еще большая проблема заключается в интернет провайдерах. В мире существует более 500 средних и крупных интернет провайдеров. При этом основной майнинг проходит через 15 провайдеров. Но более 60% всех мощностей проходит через 3 интернет провайдера. А вот объединиться трем интернет провайдерам намного проще, чем объединиться всем майнерам Китая.

Хотя угроза 51% внешне кажется очень утопичной и не осуществимой, на деле гипотетически, учитывая монополизацию рынка майнинга Bitcoin, это вполне может произойти. Поэтому многие эксперты уже давно бьют тревогу по поводу такой монополизации и утверждают, что ситуация в отношении Bitcoin сложилась очень опасная.

Вторая проблема, связанная с майнингом, это опасность двойных трат. Двойная трата означает, что отправленные средства списываются дважды. На данный момент эта проблема уже решена. Но в 2013 году во время очередного обновления случился прецедент, во время которого произошла двойная трата и было дважды списано монет на сумму 10,000 USD.

Известные варианты криптовалютных атак

Атака Сивиллы

Атака Сивиллы получила свое название по имени классического случая в психиатрии. Данный случай представляет собой ситуацию, когда один человек ведет себя, как то-то другой. Уго образ жизни не характерен его полу, возрасту, жизненным привычкам. Например, молодая девушка ведет себя как мужчина или как старик.

То же самое происходит и в случае атаки Сивиллы. Хакер овладевает определенным количеством узлов, которые маскируются под “правильные” узлы, то есть ведут себя не так как надо, а по другому. Таким образом, происходит как бы разветвление блокчейна. Правильные узлы отсекаются и блокируются. В итоге происходит двойное расходование средств. Поэтому очень важно в сети Bitcoin дождаться подтверждения транзакций 3 раза, только после 3 подтверждений транзакция считается исполненной.

Атака 51%

Предполагает, что кто-то завладеет более 51% всех мощностей сети и станет обрабатывать только  те транзакции, которые захочет, отсекая других майнеров. Фактически атака 51% означает, что криптовалюта из децентрализованной превратиться в централизованную с единым центром выпуска (майнинга).

Многие эксперты предупреждают от опасности атаки 51% в случае, если майнеры Китая вдруг решат объединиться. Или объединиться решат 3 интернет провайдера, через которые проходит более 60% всех транзакций, связанных с майнингом Bitcoin.

Атаки 51% — это не теоретический случай. Они происходили на самом деле. Опасности атаки 51% подвергался и Bitcoin. В июле 2014 года майнинговый пул Ghash.io получил контроль над 55% всех мощностей Bitcoin. Однако он добровольно отказался от использования подобных мощностей и в дальнейшем добровольно пообещал не наращивать мощности выше 40%.

Атакам 51% также подвергались криптовалюты Verge, Krypton и Shift.

Атаки Denial-of-Service (DoS)

Все любители хайпов прекрасно знают, что такое DDoS или DoS атаки. Смысл данных атак заключается в том, что хакер атакует сайт хайпа при помощи ботов. Сайт хайпа какое-то время становится недоступен. За это время хакер подменяет сайт хайпа фальшивым сайтом, который ворует пароли с основного сайта. Основной сайт в этот момент недоступен и пользователи даже не подозревают, что входят на фальшивый сайт, поэтому смело дают свои пароли и логины. За время атаки, хакеры, используя украденные пароли и логины, входят на сайт хайпа и воруют деньги.

Казалось бы какое отношение DoS атаки могут иметь к криптовалютам? Ведь криптовалюты децентрализованы. Не существует единого сайта криптовалют, также как единого центра выпуска криптовалют. Тут вы правы. Но не стоит забывать, что основная сложность держателей криптовалют заключается в том, чтобы сохранить криптовалюты, чтобы их не украли хакеры.

Хакеры взламывают криптовалютные кошельки, там где хранятся деньги, а также биржи, используя DoS атаки.

Во время DoS атаки сайт кошелька или биржи какое-то время остается недоступным для большинства пользователей. За это время хакеры устанавливают ложный фишинговый сайт, который “ловит” пароли и логины. Пока сайт кошелька или биржи недоступен, хакеры успевают воспользоваться собранными логинами и паролями и вывести деньги пользователей.

uyazvimosti_06-1024x373 Уязвимости Bitcoin

Однако DoS атаки могут быть и в самом блокчейне Bitcoin. Дело в том, что размер комиссий в сети Bitcoin не зависит от размера платежа. Хакеры создают микроплатежи, используя минимальные платежи за транзакцию и наводняют сеть такими микроплатежами. Таким образом, нормальные транзакции пользователей обработаться не могут. Сеть встает.

DoS атаки часто используются в других криптовалютах, чтобы проверить конкурентов на “прочность”. Конкуренты насылают на выбранную жертву кучу ботов с микротранзакциями и следят, как справится с нагрузкой сеть.

Обычно сами кошельки препятствуют возникновению DoS атак. Если вы с вашего кошелька используете большое количество микро-транзакций, то комиссии для вас в разы увеличиваются. По этой причине криптовалютные хайпы с почасовыми выплатами устанавливают минимум на вывод средств. Сам криптовалютный кошелек может посчитать  многочисленные микро платежи DoS атакой на блокчейн и резко увеличить стоимость транзакций, как это делает большинство крупных и популярных кошельков.

Double spending

Двойное расходование средств. На данный момент предусмотрены меры, препятствующие двойному расходованию средств, когда за одну операцию средства списываются дважды. Чтобы этого не произошло необходимо чтобы майнеры подтвердили транзакцию в сети Bitcoin три раза. Только после получения трех подтверждений транзакция в сети Bitcoin считается подтвержденной.

Нелегальные данные в цепи блоков

В блокчейне Bitcoin можно передавать любые данные. Это касается не только транзакций, но и любой другой информации. Некоторые данные передавать нельзя согласно законодательству определенных стран.

В каждом узле содержатся правила, запрещающие передачу нестандартных данных. Но определенное количество брака присутствует.

Блокчейн Bitcoin, также как и любой другой блокчейн, можно использовать для передачи любой информации и только от передающей стороны зависит, что это будет за информация. Поэтому уже сейчас законодательством ряда стран  передача определенной  информации запрещена.

А учитывая публичный характер блокчейна любой пользователь сети, введя соответветствующий номер хеша, может узнать, что это за информация.

Данная уязвимость на сами платежи большого влияния не оказывает. Она может влиять на государственную безопасность или другие сферы. Сейчас специалисты активно изучают в каких сферах и каким образом может использоваться технология блокчейн. Ведь применение ее крайне широко и не ограничивается одними только платежами.

Атака на Bitcoin биржи

Биржи, это то место, где храниться много денег трейдеров, поэтому хакеры постоянно проверяют их на уязвимости. И довольно часто эти  попытки оказываются успешными.

Одним из способов кражи денег с бирж является DoS атака, когда во время атаки сайт биржи какое-то время находится оффлайн, а за это время появляется фишинговый сайт, который ворует пароли пользователей.

uyazvimosti_02-1024x576 Уязвимости Bitcoin

Но это далеко не единственный способ кражи денег с биржи. Дело в том, что злоумышленник может отправить две сходных транзакции с биржи и каждая из этих транзакций будет иметь свой собственных хеш. Например, хакер может завести на биржу 10 BTC и снять их.  Причем пока платеж не обработан, хакер может попытаться снять эти деньги дважды. Первый раз снять 10 BTC, второй раз 10,00 BTC. Это одна и та же сумма, но хеш будет разный. Защита от двойной траты приведет к тому, что может быть обработана только одна транзакция. И не обязательно, что это будет транзакция с порядковым номером 1. Если  у хакера есть связи с майнерами, то первой будет обработана транзакция под номером 2, транзакция с номером 1 будет отвергнута во избежании двойной траты средств. После этого майнер может написать в службу поддержки биржи и сообщить, что его транзакция № 1 не была обработана и биржа выплатит средства снова.

Такой случай уже был использован. Теперь биржи знают об этом и существуют специальные программы, чтобы этого не допустить. Однако, это не означает, что хакеры не найдут новые уязвимости и новые способы кражи средств.

Постоянно хакеры находят уязвимости в исходном коде определенных криптовалют и токенов и крадут их с бирж и кошельков.

Заключение

Технология блокчейн является новой и слабо изученной. Тем не менее, в сфере криптовалют крутятся огромные денежные суммы, что провоцирует хакеров на кражи денежных средств.

Криптовалютные биржи и кошельки не защищены настолько надежно, как вклады в банках и финансовых организациях, что делает их легкой добычей для хакеров.

А безнаказанность порождает новые преступления.