Decentralizuotos blokų grandinės: mitas ar realybė?

Decentralizuotos blokų grandinės daugiausia yra mitologiniai herojai, turintys pernelyg realių pažeidžiamumų, teigiama naujoje ataskaitoje, parengtoje aukščiausiai JAV kariuomenės MTTP aprangai.

Šią savaitę buvo išleistas Are Blockchains Decentralized? – ataskaita, kurią parengė technologijų saugumo vertintojai / patarėjai „Trail of Bits“ (ToB) Defense Advanced Research Projects Agency (DARPA), legendinei JAV kariuomenės tyrimų ir plėtros padaliniui.

Maždaug prieš metus, žinodama, kad „blockchain“ technologija veržiasi į sritis, kurios yra toli už finansinių sandorių, DARPA To paprašė B paleisti „blockchain“ padangas, ypač BTC ir Ethereum grandines, kad įsitikintų, ar jų teiginiai dėl decentralizavimo buvo pagrįsti ir kokia kibernetinio saugumo rizika. grandinės gali susidurti dėl jų decentralizacijos (arba jos nebuvimo).

Nerimą kelia tai, kad ToB padarė išvadą, kad nors blokų grandinių nekintamumas šiais laikais laikomas savaime suprantamu dalyku, šį nekintamumą „galima sulaužyti ne išnaudojant kriptografinius pažeidžiamumus, o pažeidžiant blokų grandinės diegimo, tinklo ir konsensuso protokolo savybes. Mes parodome, kad dalyvių pogrupis gali įgyti pernelyg didelę centralizuotą visos sistemos kontrolę.

Nors antraštės išvados nebūtinai gali būti šokiruojančios naujienos „blockchain“ veteranams, jos gali būti pažadinimo skambutis naujokams, ypač politikams, kurie su džiaugsmu išlieja kiekvieną knygoje esančią „kriptovaliutų“ klišę, priėmę didžiulį kampanijos indėlį iš „kriptovaliutų“. Nekantrauju, kad šis sektorius būtų reguliuojamas arba visai nereguliuojamas.

Čia decentralizuoti drakonai

Svarbiausias iš ataskaitos įspėjimų yra tai, kad visos pagrindinės blokų grandinės turi „privilegijuotą subjektų rinkinį, kuris gali modifikuoti blokų grandinės semantiką, kad galėtų pakeisti ankstesnius sandorius“. BTC atveju riba yra žema – keturi subjektai (ty kasybos telkiniai sudaro tik 0,004 % visų tinklo mazgų). Ethereum tai tik du (2021 m. sausio mėn.) arba trys (2022 m. balandžio mėn.).

Tiek BTC, tiek „Ethereum“ naudoja konsensuso patvirtinimo apie darbą mechanizmus, tačiau daugumą akcijų įrodinėjimo grandinių gali užgrobti saujelė tikrintojų, kurie bendrai valdo trečdalį investuojamo turto. Kalbant apie amžiną garų įrangą, žinomą kaip Ethereum 2, tik 12 banginių galėtų valdyti tinklą bet kokiais tikslais.

ToB taip pat įtaria, kad kasybos telkinių valdymo struktūras ir įmones valdo ne grandine. Kalbant apie telkinius, naudojant nešifruotą „Stratum“ protokolą, skirtą darbams priskirti atskiriems kalnakasiams, šios operacijos yra „pasiklausytojas, pvz., nacionalinės valstybės, IPT ar vietinio tinklo dalyvis“, kuris gali panaudoti „žmogaus viduryje“ atakas. pavogti procesoriaus ciklus ir išmokas. „Stratum“ protokolo pataisymai buvo padaryti, tačiau perėjimo prie saugesnio protokolo padaryta nedidelė pažanga.

Kalnakasiai taip pat naudojasi sunkiai užkoduotais savo paskyrų slaptažodžiais arba nepatvirtina slaptažodžių autentifikavimo metu. ToB citavo tris kasybos telkinius, kurie kartu sudaro ketvirtadalį BTC maišos, ir nustatė, kad vienas nepatvirtino jokių autentifikavimo kredencialų, kitas visoms paskyroms priskyrė slaptažodį „123“, o trečiasis liepė vartotojams nepaisyti slaptažodžio lauko, nes jis buvo „Pasenęs Stratum protokolo parametras, kuris šiais laikais nenaudojamas“.

Visiškas Sybilų užtemimas

Kalbant apie pasakišką darbo įrodymo blokų grandinės bugaboo, 51 % ataką, ataskaitoje gilinamasi į tai, kaip jos subkategorijos „Sybil“ ir „užtemimas“ veikia kartu, kad pakenktų tinklams. ToB pažymi, kad natūralus BTC tinklo delsos laikas reiškė, kad tinklo efektyvi skaičiavimo galia 2021 m. sausio–birželio mėn. buvo tik 98,68 % teorinio maksimumo. Tai reiškia, kad atakai įvykdyti prireiktų tik 49 % bendro hashrato, o tai gali dar labiau sumažėti – net iki 20 % – dėl „netyčinio ar nesąžiningo tolesnio delsos įvedimo“.

Naujų „Sybil“ mazgų pridėjimas nereikalauja brangios specializuotos kasybos aparatūros, tačiau optimalus tinklo paskirstymas reikalauja, kad vieno dalyvio, valdančio kelis mazgus, sąnaudos būtų didesnės nei vieno mazgo eksploatavimo išlaidos. ToB teigia, kad dabartinis būdas be leidimo blokų grandinei tai pasiekti yra pasitelkti centralizuotą patikimą trečiąją šalį, kuri tarsi sukausto visą decentralizuotą dalyką.

Atitinkamai, pakartojant požiūrį, kad mūsų pačių Kurtas Wuckertas jaunesnysis. ToB teigia, kad „didžioji dauguma“ BTC mazgų – galbūt net 94 % visų – „atrodo, kad nedalyvauja kasyboje“ ir todėl „prasmingai neprisideda prie tinklo sveikatos. “

Neminėkite TOR

Blockchains taip pat yra pažeidžiamos dėl pagrindinės tinklo infrastruktūros, kurioje jos egzistuoja. ToB teigia, kad per pastaruosius penkerius metus 60% viso BTC srauto „perėjo tik tris IPT“, o maždaug pusė BTC srauto buvo nukreipta per TOR tinklą. Visa tai atveria naujas galimybes užtemimo atakoms, „nes IPT ir prieglobos paslaugų teikėjai turi galimybę savavališkai pabloginti arba uždrausti teikti paslaugas bet kuriam mazgui“.

Ataskaitoje TOR išskiriamas dėl ypatingo panieka, pažymima, kad jis nukreipia srautą į maždaug 20 % BTC mazgų, todėl jis yra „populiaresnis nei bet kuris kitas [autonomous system] arba tinklo teikėjas“. Kenkėjiški TOR išėjimo mazgai „gali modifikuoti arba nutraukti srautą panašiai kaip IPT“, o ataskaitoje cituojamas neseniai įvykęs incidentas, kai „piktybinis veikėjas (pagal manoma, kad jis yra iš Rusijos) panaudojo Sybil ataką, kad kontroliuotų iki 40 % TOR išėjimo. mazgų“, kuriame teigiama, kad įtariamasis rusas perrašydavo BTC srautą.

Softwear & Tear

Daugiau nei penktadalyje BTC mazgų veikia pasenusi „Bitcoin“ pagrindinė kliento programinė įranga su žinomais pažeidžiamumu, todėl tinklas ne tik lėtesnis, bet ir mažiau saugus. Tačiau nors programinės įrangos klaidos yra problemiškos, blokų grandinės taip pat yra pažeidžiamos „atviriems programinės įrangos pakeitimams“. Tai atkreipia dėmesį į keletą asmenų, kurie kuria ir prižiūri „blockchain“ programinę įrangą, todėl jie yra „jautri tiksliniams išpuoliams“.

Ataskaitoje pažymima, kad šiuo metu yra tik keturi „aktyvūs bendradarbiai, turintys prieigą prie Bitcoin Core kodų bazės, kurių bet kurio kompromisas leistų savavališkai modifikuoti kodų bazę“. Ataskaitoje aiškiai nurodoma, kad tai nėra tuščios spekuliacijos, nurodant neseniai įvykusį incidentą, kai pagrindinis „Polygon“ tinklo kūrėjas buvo nukreiptas į kenkėjišką programą „Pegasus“ (tą pačią kenkėjišką programą, kurią Salvadoro BTC mylintis prezidentas įdiegė nedraugiškuose telefonuose).

Kasybos baseino infrastruktūros centralizavimas ir saugumas yra dar vienas galimas puolimo būdas. ToB teigia, kad, kiek jai žinoma, „niekada nebuvo atlikta trečiosios šalies saugumo įvertinimo“ kasybos kliento programinės įrangos. Dėl to „bet koks nuotolinio kodo vykdymo pažeidžiamumas kasybos telkinio kliente leistų užpuolikui arba uždrausti teikti kasybos telkinio paslaugas (ty sumažinti bendrą maišos vertę) arba nukreipti maišos vertę į 51 % ataką“.

Grandininė programinė įranga, įskaitant Ethereum išmaniąją sutarties ekosistemą, taip pat yra „atspari pakartotiniam kodo naudojimui ir pažeidžiamumui“. Ataskaitoje nustatyta, kad „90% Ethereum išmaniųjų sutarčių buvo bent 56% panašios viena į kitą“, o 7% buvo „visiškai identiškos“. Ta iš pažiūros nesibaigianti DeFi išnaudojimų serija staiga tampa daug prasmingesnė, ar ne?

Išvada

Esmė ta, kad nors „blockchain“ technologijos kriptografija išlieka „gana tvirta“, tam tikrų blokų grandinių diegimas palieka daug norimų rezultatų ir daug atakos vektorių. Autoriai atkreipia dėmesį į tai, kad „blockchain“ / „kriptovaliutų“ būdingi pavojai „buvo menkai aprašyti ir dažnai ignoruojami arba net pašiepiami ieškančių pinigų per šio dešimtmečio aukso karštligę“.

ToB ataskaita buvo rengiama dar gerokai prieš tai, kai ėmė rimti dabartinė kriptovaliutų avarija, tačiau jos paskelbimo laikas – gausybė žmonių ir techninių perversmų, kurie atitraukė uždangą nuo sektoriaus nusikalstamumo ir nekompetentingumo – buvo konkretus. įjungta. Decentralizacija, ypač kalbant apie DeFi, iš esmės yra iliuzinė, todėl reikia permąstyti visą decentralizacijos koncepciją.

Žiūrėkite: BSV pasaulinės blokų grandinės konvencijos pristatymą, Sentinel Node: Blockchain įrankiai kibernetiniam saugumui gerinti

Naujokas Bitcoin? Patikrinkite CoinGeek’s Bitcoin pradedantiesiems skyrius, galutinis išteklių vadovas, skirtas sužinoti daugiau apie „Bitcoin“ – kaip iš pradžių numatė Satoshi Nakamoto – ir „blockchain“.

Leave a Comment