5 месяцев назад

Виды хакерских атак на блокчейн-сеть и криптовалюты. Часть 2

Coin Post - криптоновости

Попытки взлома блокчейн-сетей предпринимались с момента появления материальной ценности, оправдывающей затраты на сам процесс и гарантирующей получение прибыли в случае успеха. История дважды взломанной в 2011 и, согласно официальной версии, в 2014 году биржи Mt. Gox представляет собой типичный пример того, как по мере роста стоимости криптовалютных активов к ним притягивается внимание большего числа злоумышленников. Суммарные потери пользователей Mt. Gox, по данным в открытом доступе, составили 500 000 BTC в первом случае и 850 000 BTC во втором.

Первую часть статьи читайте по ссылке.

Атаки на платформы

Взломы кошельков, похищение средств злоумышленниками постоянно мелькают в новостях. Обычная причина — человеческий фактор и несовершенство механизмов безопасности. Впрочем, топовые биржи уделяют значительное внимание этому вопросу. Вкладывают средства в новые решения, ведут разъяснительную работу, используют мультиподпись, кастодиальные хранилища и средства отслеживания. За последний год пропажи с кошельков их клиентов сильно сократились: хакеры переключились на децентрализованный обмен и площадки 2-го уровня.

Использование уязвимостей

Человек несовершенен. И программные продукты тоже. Чтоб убедиться в этом, достаточно посмотреть списки уязвимостей и обратить внимание на то, как часто обновляется Windows. Интерфейс веб-приложений для работы с криптоактивами — не исключение. Ошибки в программном коде, позволяющие манипулировать данными, похищать права доступа, подменять содержимое буфера обмена возникают регулярно. Вредоносный код в состоянии похитить даже личные ключи, если они хранятся на компьютере. В смартфоне это сделать немного сложнее, но его использование не защищает от этой проблемы.

Использование 2FA сберегает средства и нервы. Несовершенство кода компенсируется наличием 2-го аутентификационного фактора, без которого движение средств невозможно. Другой вариант — транзакции с мультиподписью. Они потребуют большей комиссии, поскольку такой перевод занимает больше места в блокчейне.

Плохие новости для людей, использующих SMS-подтверждение транзакций в том, что так как угон SIM-карты — обычное дело, лучше использовать приложения типа Google Autenticator, работающие путем генерации псевдослучайной последовательности кодов оффлайн и не требующие ни покрытия сети, ни интернет-соединения.

Важно и своевременное обновление программного обеспечения. Это серьезно сокращает вероятность проникновения злоумышленников при использовании уязвимостей.

Человеческий фактор

Программы содержат ошибки. Но в большей степени все зависит от человека, который ими управляет. Один неосторожный пользователь в состоянии нивелировать все тщательно продуманные системы защиты, разрабатываемые в течение десятков лет. И для этого достаточно одного щелчка мышью. Со времен возникновения интернета существуют 4 основные типа угроз:

  1. Брутфорс (перебор паролей), эксплуатирующий склонность большинства выбирать одинаковые пароли на все аккаунты или использовать тривиальные методы вроде даты рождения или комбинации типа qwerty12345.
  2. Фишинг — метод-ловушка, суть которого в направлении пользователя на мошеннический сайт, внешне полностью идентичный настоящему, где предлагается авторизоваться. После ввода логина, пароля и кода 2FA данные попадают к злоумышленникам. Тонкость в том, что, как правило, на таких страницах предусмотрено автоматическое перенаправление и после «авторизации» пользователь действительно оказывается на настоящем сайте.
  3. Вредоносная программа. Когда-то такие приложения отправлялись по электронной почте. Но уже несколько лет они раздаются в пиратском софте с помощью торрентов и содержатся в key generator’ах, таблетках, патчах, а то и непосредственно в оболочке программных продуктов. Они занимаются скрытым майнингом, похищают ключи, подменяют адреса. По статистике, не менее 5% всех монет Monero было добыто с помощью майнеров, установленных на компьютерах ничего не подозревающих жертв.
  4. Социальная инженерия. Привычка записывать пароли в одном месте, хранить их в облаке, на жестком диске в открытом виде, а также расцвет социальных сетей, которые позволяют собрать массу информации о почти любом индивиде, при этом ни разу с ним не пообщавшись, дает большой простор фантазии взломщиков. Если для Кевина Митника был обязателен контакт с жертвой, то хакерам 20 лет спустя это не требуется: достаточно обычного поиска.

Век информации плавно перешел в эпоху «цифровых следов»: почти все, что мы делаем, оставляет их и во многих случаях для успеха взлома нужно немного времени, усидчивости и целеустремленности.

Квантовая угроза

Криптоанализ с помощью квантового компьютера, способный, по расчетам некоторых исследователей, взломать цифровую подпись по открытому (публичному) ключу как в SHA-256, так и в остальных распространенных криптографических алгоритмах, построенных на эллиптических кривых и сложности обратного выполнения функции дискретного логарифмирования, будоражит умы общества.

Пишут, что «несколько квантовых компьютеров средней мощности за несколько часов взломают всю сеть Bitcoin» (алгоритм Шора), времени на Ethereum отводится еще меньше.

Непонятно что считать за «квантовый компьютер средней мощности». По официальным заявлениям, в NASA работает 2000-кубитный образец, пригодный «лишь для узконаправленных вычислений». В Google находится модель в 500 кубитов, а буквально на днях IBM отчиталась о выпуске «первого квантового компьютера для коммерческого использования» мощностью … всего 20 кубитов.

Попытки создания такого аппарата предпринимаются с 80-х годов и очевидно — их воплощение на практике сопряжено с большими трудностями. Одна из них заключается в том, что «квантовая суперпозиция», на которую возлагаются большие надежды, существует только «на бумаге» — при попытке считать информацию она неизбежно превращается в двоичный код.

Выглядит так, что если подобный подход и будет реализован в действительно работающей модели, то это произойдет нескоро, и похожа на современные образцы квантовых компьютеров она будет также, как вычислительная машина Алана Тьюринга, созданная в годы 2-й мировой войны для взлома кодов немецкой «Энигмы» похожа на современные персональные компьютеры. То есть чуть менее, чем никак.

А если допустить, что такая модель квантового компьютера появится чуть ранее, чем завтра, ситуация достаточно оптимистична:

  1. Существуют и активно разрабатываются дальше алгоритмы постквантовой криптографии, делающие бесполезными применение квантового компьютера для активного криптоанализа («коды исправления ошибок», «решетки», многомерные квадратичные системы, суперсингулярная изогения).
  2. Для взлома ЭЦП, например, в SHA-256 квантовым компьютером, требуется знание публичного ключа, который формируется непосредственно при проведении транзакции. Соответственно, окно времени — 10 — 20 минут (в случае Bitcoin). С момента получения публичного ключа до 1-го подтверждения перевода. Взломать неактивные кошельки невозможно, поскольку они не генерируют публичные ключи.
  3. Значение имеет пропускная способность сети и ограничения по трафику, а также отслеживание состояния блокчейна многими игроками. Один только Chainalysis в состоянии определить любую необычную активность. А ведь еще есть Diar и много других компаний.

Добавим сюда отсутствие программного обеспечения для квантовых компьютеров, как и то, что разработки не сопровождаются обилием информации, и о реальных характеристиках (как и о степени полезности) мы можем только догадываться.

Вообще, SHA-256 — надежный алгоритм. Безопасность хранения криптовалют и операций с ними постепенно приближается к 100% при условии исключения человеческого фактора. Большинство видов атак — потенциальные угрозы. Развитие других выявляется и блокируется сообществом (как это случилось с Ethereum Classic, когда после обнаружения двойной траты были введены дополнительные ограничения).

Сотрудничество разработчиков, коммьюнити, специалистов по безопасности, плюс с каждым днем развивающаяся с помощью BUIDL инфраструктура блокчейн-проектов со временем не оставит места для крупных неприятностей, гарантирует надежность и безопасность экосистемы для пользователей.

Статьи по теме:

ТОП-5 взломов криптобирж

Безопасность в сети: методы двухфакторной идентификации

Как защитить криптовалютные кошельки от хакеров


Coin Post - криптоновости - только выжимка в понятном формате

ICO by Coin Post - все про ICO и инвестирование

TON - новости - самое крупное сообщество про блокчейн и криптовалюту Павла Дурова.


© Coin Post, 2017-2018. Все материалы данного сайта являются объектами авторского права. Запрещается копирование, распространение (в том числе, путем копирования на другие сайты и ресурсы в Интернете с указанием источника) или любое иное использование информации без предварительного согласия правообладателя.