3 месяца назад

Виды хакерских атак на блокчейн-сеть и криптовалюты. Часть 1

Атака на блокчейн
Атака на блокчейн

Попытки взлома блокчейн-сетей предпринимались с момента появления материальной ценности, оправдывающей затраты на сам процесс и гарантирующей получение прибыли в случае успеха. История дважды взломанной в 2011 и, согласно официальной версии, в 2014 году биржи Mt. Gox представляет собой типичный пример того, как по мере роста стоимости криптовалютных активов к ним притягивается внимание большего числа злоумышленников. Суммарные потери пользователей Mt. Gox, по данным в открытом доступе, составили 500 000 BTC в первом случае и 850 000 BTC во втором.

Атаки на уровне сети

Смысл таких атак в среде распределенного реестра не сводится к прямому похищению средств. Наносится косвенный ущерб путем ограничения поля действий для пользователей, затруднения доступ к услугам, к проведению операций.

DDoS

Широко известная в интернете атака, именуемая как DoS (Denial of Service), в практическом смысле представляющая собой DDoS (Distibuted Denial of Service) организуется для нарушения обмена информацией путем отправки целевому узлу бесполезных запросов так, чтоб исчерпать ресурсы на предоставление доступа пользователям.

Проводится по давно известным схемам:

  1. Атака с помощью переполнения узла пакетами.
  2. Внедрение и выполнение бесполезного кода на сервере, поглощающего вычислительные ресурсы (SYN-флуд).
  3. Забивание свободного места на сервере бессмысленными лог-файлами.
  4. Исчерпание ресурсов очереди или буфера обмена.

Сегодня она редко проводится с одной рабочей станции, чаще используется ботнет из множества зараженных компьютеров, одновременно атакующих целевой узел.

В P2P-сети из строя выводятся отдельные ноды, которые оказываются отрезанными и соответственно, не принимают и не валидируют транзакции. Это нарушает корректную работу сети, но «положить» развитую блокчейн-структуру таким образом сложно.

Другое цели данной атаки — сервисы инфраструктуры блокчейн-решений: криптовалютные биржи, горячие и холодные кошельки для хранения криптовалюты. Несложно представить, как с помощью DDoS-атаки можно «выключить» отдельный ресурс, тем самым влияя на репутацию и вызывая материальные потери из-за проблем с доступом.

Атака Сивиллы

Другая основа для сетевого воздействия — атака Сивиллы (Sybil Attack). По сравнению с предыдущим случаем, данный вид атаки более типичный для P2P-сетей. Ее название обусловлено именем персонажа главной героини одноименной книги 1973 года которая, будучи единой сущностью, способна появляться под разными лицами одновременно. Похожим образом действует и злоумышленник: создаются отдельные многочисленные узлы, вплоть до десятков тысяч. Они выглядят разобщенно, но решают общую задачу.

В определенный момент времени может возникнуть ситуация, что информация, которую получает конкретный пользователь, принадлежит одному источнику. Совершение атаки Сивиллы дает злоумышленнику расширенные возможности по управлению сетью.

В отношении блокчейна Bitcoin считается, что консенсус Накамото не оставляет поля для таких атак, поскольку требует вычислительной мощности и доказательства выполнения работы для внесения изменений в реестр. Аккаунты создаются, но их еще придется подкрепить вычислительной мощностью. Однако в отношении меньших по размеру и отличающихся по функционалу блокчейн-сетей этот тип атаки несет в себе угрозу.

Eclipse-атака

Внешне Eclipse похожа на Sybil Attack внешне, но внутренне она отличается от первой. Участник «затмевается» в реальной сети, попадая в параллельную структуру, состоящую из злоумышленников. Таким образом, Sybil направлена на сеть в общем в то время, как Eclipse — на отдельных пользователей.

Далее следуют мошеннические действия:

  1. Подключение чужой вычислительной мощности к своим ресурсам с помощью вредоносного кода.
  2. Дезинформация относительно состояния и отправки транзакций.

Сложнее всего перенаправить пользователя в скомпрометированную сеть. Это достигается целенаправленной DDoS-атакой или изменением системного времени на компьютере жертвы. Например, блокчейн Эфириума автоматически отклоняет пакеты, поступившие с задержкой 20 и более секунд, что оставляет жертву вне корректной сети.

Блокчейны криптовалют частично сталкиваются с угрозой Eclipse-атак, реализуемых через уязвимости. Разработчики Ethereum постоянно тестируют платформу на устойчивость к Eclipse, и периодически появляются отчеты об обнаружении потенциальных угроз.

Атака маршрутизации

Атака на протоколы маршрутизации также появилась давно, заняв место в качестве угрозы в пиринговой сети блокчейна. Цель атаки — скомпрометировать участника сети или группу путем воздействия на протоколы соединения с интернетом и передаваемые пакеты. Для этого используются:

  1. Отсутствие необходимой инфраструктуры у отдельного провайдера.
  2. Незащищенность узлов маршрутизации, в результате чего злоумышленник получает контроль.
  3. Динамическая маршрутизация пакетов без использования специальных алгоритмов.
  4. Уязвимость каналов к прослушиванию и подмене передаваемой информации.

Сценарий поведения атакующего выглядит так:

  1. Перенаправление пакетов через заданный узел («человек посередине»).
  2. Прослушивание пакетов (пассивная атака).
  3. Подмена маршрутов для фишинга или внедрения вредоносного кода.
  4. Переполнение таблицы маршрутизации так, чтоб создание новых маршрутов стало бы невозможным.

Такой вид атак направлен на конкретного пользователя, подобная угроза для всей сети — пока еще сюжет фантастического фильма.

Атаки на создание блоков

Процесс майнинга, или создания новых блоков транзакций выполняет ключевую роль в организации работы блокчейна. Непрерывность и взаимосвязанность цепочки необходима для корректного подтверждения и работы сети. Нарушение генерации блоков, реорганизация блокчейна, манипуляции с отдельными транзакциями — основа для получения контроля и дальнейшей финансовой выгоды в результате мошеннических действий.

Атака 51%

Контроль над большей частью вычислительной мощности блокчейна, с использованием которой можно самостоятельно подтверждать новые блоки, транзакции, оставляя остальных участников сети не у дел угрожает в первую очередь криптовалютам с незначительным хешрейтом. Подобные атаки возникают регулярно. Как правило, на новые и неокрепшие активы, которые еще не успели стать популярными.

К ним относятся токены ERC-20 Krypton и Shift. Подобный случай произошел с криптовалютой Verge, когда, благодаря контролю над мощностью и ошибке в коде злоумышленникам удалось установить новое время генерации блоков (1 секунда вместо 30), и за 3 часа атаки сгенерировать 99% новых блоков и вывести минимум 250 000 XVG.

Состоявшаяся в начале января 2019 года атака 51% на Ethereum Classic затмила этот случай: впервые мошеннической реорганизации блокчейна подверглась криптовалюта из ТОП-20, а сумма двойных расходов в результате атаки составила $1,1 млн. Атака продолжалась 3 дня, мошенники старались действовать незаметно. Удивительно, что за время атаки курс ETH почти не изменился.

Атака 51% дает злоумышленнику:

  1. Рычаги для подтверждения транзакций и определения по своему усмотрению, какие транзакции включать в блоки.
  2. «Откат» ранее подтвержденных блоков путем реорганизации.
  3. Проведение двойного расходования с единоличной отменой уже подтвержденных переводов.
  4. Монополизацию получения награды за майнинг.

Важно помнить, что само по себе владение 51% вычислительной мощности не означает атаки. Она детектируется исключительно на основании мошеннических действий. PoW-майнинг более уязвим: для PoS-майнеров чаще невыгодно манипулировать транзакциями и совершать другие деструктивные действия.

Изменение системного времени

С помощью уязвимости в коде сервера или клиента меняется системное время. Обычно это делается на компьютере жертвы, что преобразует транзакции в неликвидные, а активность — не соответствующей временным рамкам официальной версии блокчейна с тем, чтобы перевести жертву в скомпрометированную ветвь распределенной сети, принадлежащую злоумышленникам (атака Eclipse).

Или заставить пользоваться отдельными узлами, принадлежащими одному или нескольким участникам (атака Сивиллы), на которых установлено такое же время.

С помощью изменения системного времени можно:

  1. Блокировать взаимодействие с P2P-сетью.
  2. Парализовать работу узла.
  3. Использовать ресурсы пользователя для нужд злоумышленников.

Мало кто из пользователей заметит несоответствие времени в незначительных масштабах (1-2 минуты), которого в большинстве случаев достаточно.

Двойное расходование средств

Двойное расходование средств — цель большинства действий, направленных на нарушение нормальной работы блокчейн-сети. Double Spending, по сути, представляет собой непосредственную монетизацию затраченных усилий, и ему всегда предшествует проведение других видов атак. Часто это выглядит так:

  1. Злоумышленник депонирует средства на биржу, чаще децентрализованную.
  2. Проводится обмен средств и вывод. Это может быть выход в фиат или перевод на сторонний криптовалютный кошелек.
  3. Путем создания дополнительной транзакции история траты заменяется на ту, в которой эта транзакция не проводилась или была направлена по другому адресу.

Получается, что деньги потрачены дважды и в обоих случаях получены.

Уязвимость к двойному расходованию средств напрямую определяется количеством подтверждений, необходимых для того, чтоб считать транзакцию состоявшейся. В обычных условиях достаточно 3-4, работа с 0 подтверждений чревата Race Attack, при которой отправляются 2 транзакции с одного входа одновременно, и у поставщика есть только 50% шанс получения средств, что определяется тем, какую из них блокчейн посчитает корректной.

Метод работы с одним подтверждением также уязвим для мошеннических действий (Vector76 Attack), потому необходимый минимум — 2 и более.

Selfish Mining

Эгоистичный майнинг возможен из-за контроля 51% и более вычислительной мощности. Идея в том, что цепочка эгоистичного майнера всегда будет наиболее длинной. Таким путем при владении 51% хешрейта теоретически получается 100% вознаграждения. На практике это происходит так:

  1. Эгоистичный майнер (ЭМ) добывает свой блок. Если он сделал это первым — то все, как обычно. Если нет — идем дальше.
  2. ЭМ не признает добытый другими блок как часть цепочки и продолжает работать со своей. Поскольку у него 51% мощности, обязательно наступит момент, когда он обгонит основную сеть.
  3. После этого ЭМ публикует всю собственную цепочку добытых блоков как единственно верную и получает вознаграждение за все добытые блоки.

Другие майнеры остаются ни с чем. В отличие от атаки 51%, для проведения Selfish Mining необязательно иметь именно 51% мощности, можно добиться успеха и с меньшими ресурсами составляющими, например, 40%. Значение имеет выбранная стратегия и противодействие остальных участников.

Продолжение читайте по ссылке.


Статьи по теме:

ТОП-5 атак 51% на блокчейн-сеть

Что такое спам-атака в криптовалютах?

Что такое реорганизация блокчейна и атака 51%


© Coin Post, 2017-2018. Все материалы данного сайта являются объектами авторского права. Запрещается копирование, распространение (в том числе, путем копирования на другие сайты и ресурсы в Интернете с указанием источника) или любое иное использование информации без предварительного согласия правообладателя.