Атака 51% В Криптовалютных Системах
Единоличный майнинг на своем оборудовании называется соло майнинг (англ. solo mining). Он может быть эффективен лишь для вновь создаваемых криптовалют, которые не имеют большой «сложности». Форк Bitcoin появился в конце 2017, и уже в 2018 он был прод…
Единоличный майнинг на своем оборудовании называется соло майнинг (англ. solo mining). Он может быть эффективен лишь для вновь создаваемых криптовалют, которые не имеют большой «сложности». Форк Bitcoin появился в конце 2017, и уже в 2018 он был продолжительно атакован неизвестным, обеспечившим себе 51% хэшрейта. Bitcoin Gold был снят с листинга на Bittrex и менее популярных биржах в результате атаки. Пользователь не теряет криптовалюту, если держит её на личном кошельке. Гораздо выше угроза для бирж – если она примет дублированные монеты, это грозит искажением рыночной стоимости и потерей её собственных резервов.
При этом сторона, отвечающая за корректную работу смарт-контракта часто не может оперативно исправить уязвимость, так как контракт уже находится в неизменном реестре в состоянии исполнения. К слову, некоторые блокчейн-проекты дают возможность разрабатывать контракты на не полных по Тьюрингу языках, но даже при таком подходе очень сложно верифицировать инварианты самого блокчейн окружения, в котором исполняется контракт.
Допускается возможность выпуска новой версии программного обеспечения, которая изменит работу распределенного реестра и перестроит все транзакции. Но любой из этих шагов разрушит репутацию Ethereum, предупреждает в своей записи человек, заявлявший о собственной причастности к краже средств. Мультисигнатурные кошельки подразумевают необходимость согласия сразу нескольких пользователей на перемещение средств; этим обеспечена их популярность среди компаний и инвестгрупп, стремящихся обезопасить свои средства. Однако технологии Parity полны ошибок, чем время от времени пользуются злоумышленники — например, в июле 2017 года хакерам удалось украсть Ethereum на сумму около $30 млн, как раз благодаря эксплуатации одной такой уязвимости. Основе биткоина лежит децентрализованная сеть, в которой работа и взаимодействие между отдельными узлами регулируется протоколом. Однако поскольку система постоянно меняется, узлы должны регулярно согласовывать между собой текущее состояние сети. Кроме того, консенсуса приходиться добиваться и в процессе майнинга, и в деле подтверждения отдельных транзакций, и даже в актуальности используемого программного обеспечения.
Делегированное подтверждение доли (англ. Delegated Proof of Stake, сокращенно — DpoS) BitShares и ряд других платформ используют несколько иной подход. С помощью DPoS, владельцы монет используют свои средства для выбора списка узлов, которые будут иметь возможность создавать блоки новых транзакций и добавлять их в блокчейн.
Что Такое Двойная Трата Криптовалюты Double Spend
Так, несмотря на сравнительно малый размер распределенной блокчейн-сети, атака 51% или атака Сивиллы становятся трудными для выполнения – все узлы находятся под контролем в доверенных зонах. Гипотетически злоумышленник может получить доступ и к подконтрольному узлу, но в таком случае стоимость атаки многократно возрастает из-за необходимости преодоления корпоративного периметра различных организаций и используемых ими средств ИБ. Реализация перечисленных возможностей позволяет регулировать систему блокчейна, то есть обладание 51 % вычислительных мощностей сети — это пример реализации регулятивного принуждения и управления. Но если целью данной атаки является фальсификация реестра с целью получения неправомерной выгоды через реализацию двойного списания, то результат подобных действий может быть плачевным для участников. Злоумышленник совершает расходную операцию своих криптовалютных активов, которая отражается в основной цепи.
Принципиально по-другому в приватных блокчейнах обстоят дела и с конфиденциальностью данных — это свойство реализовывается с контролем прав чтения записей реестра. Более того, некоторые приватные блокчейн-платформы позволяют использовать дополнительные инструменты защиты данных. Можно представить сценарий, в котором несколько участников приватной блокчейн-сети должны совершить транзакции так, чтобы остальные участники этой сети не могли их видеть, даже в зашифрованном виде.
Многие биржи заявляют, что держат большую часть активов клиентов на «холодных» кошельках. Тем не менее, только в 2019 году было взломано 12 крупных бирж – суммарно пострадали 510 тысяч учетных записей с хищением криптовалюты на общую сумму около 300 млн долларов. Самые распространенные атаки напрямую не воздействуют на блокчейн-сети. Они нацелены на хищение активов, доступ к которым обеспечивается с помощью приватного ключа.
Как Работает Атака 51%
С ростом числа децентрализованных приложений на базе блокчейн, утверждают авторы статьи, «риски утечки секретных данных станут более серьезными. Само по себе децентрализованное приложение, как и процесс коммуникаций между приложением и Интернетом, подвержены рискам утечки секретной информации». Для решения этой проблемы авторы рекомендуют шире применять такие специальные методы, как обфускация кода, упрочнение защиты приложений и хардверные технологии Trusted Execution.
Анализ многочисленных инцидентов ИБ, связанных с блокчейн-решениями, показывает, что часто самой уязвимой частью является не блокчейн-сеть, а смежные компоненты и информационные системы. Далее в статье будут рассмотрены наиболее интересные и актуальные векторы атак на блокчейн-решения, а также особенности реализации базовых принципов безопасности. Алгоритм PoW, описанный выше, является дорогостоящим и энергоемким методом из—за требуемой вычислительной мощности. Вокруг создания специального оборудования, предназначенного исключительно для майнинга, выросла целая индустрия. Подтверждение доли (англ. Proof of Stake, сокращенно — PoS) — это альтернативный способ, который не требует специального оборудования и в настоящее время стал достаточно популярным.
Администраторы оперативно закрыли доступ к добыче для части пользователей и предложили им сменить пул. Был установлен лимит на доминирование не более чем на 39,99% хэшрейта сети. Система устроена так, что у честных узлов не возникает соблазна заполучить контроль над блокчейном, ведь они обслуживают сеть для получения дохода, и сохранение её устойчивости гарантирует им будущее. Атака 51% чаще рассматривается как концепция, нежели происходит на практике (в популярных блокчейнах). Однако, контролируя большую часть вычислительной мощности в сети, злоумышленник или группа злоумышленников могут вмешаться в процесс записи новых блоков. Они могут помешать другим майнерам завершать блоки, теоретически позволяя им монополизировать добычу новых блоков и получать все вознаграждения.
Таким образом был установлен новый исторический максимум, который выше предыдущего на 270%. Bitcoin Association стоящая за разработкой и продвижением форка Bitcoin SV, выпустила пресс-релиз с информацией о совершенной атаки 51% на блокчейн. По сведениям ассоциации, неустановленные злоумышленники провели реорганизацию блоков с целью проводки двойных трат. «Первая транзакция в каждом блоке — это специальная транзакция, создающая новую монету, которая принадлежит создателю блока. Такая схема поощряет честных участников сети, стимулируя их поддерживать работу сети, а также решает вопрос о начальном распределении денежной массы в отсутствие центрального эмитента».
Майнеры Ethereum Получат Меньшее Вознаграждение
Но успешная атака проводилась в слабых сетях с низким хэшрейтом (даже в Ethereum Classic). Мы не сможем внести нужные записи в этот блокчейн за 1 секунду, нужно хотя-бы несколько блоков. Покупаем мощность и получаем нужное время для осуществления двойной траты на расстоянии нескольких блоков. К сожалению, говорится в статье, меры защиты приватной информации в блокчейн не очень сильны. Криминальные смарт-контракты могут упростить утечку конфиденциальной информации, кражу криптографических ключей и создавать возможности для различных преступлений в реальном мире (убийства, поджоги, терроризм и т. п.).
- Помимо самих записей (или транзакций) и идентификатора блока, в блок включаются хеш-суммы текущего и предыдущего блоков.
- Упомянутая выше сеть, в которой приватный блокчейн связан с публичным, а транзакции первого дополнительно валидируются консенсусом последнего, является гибридной.
- Команда разработчиков Ethereum закончила работу над первым этапом кода proof-of-stake и сообщила о его 75%-ной готовности.
- Например, команда Quantum Resistant Ledger создает блокчейн-систему, криптостойкую к квантовым атакам.
- Один из самых громких инцидентов, связанных с взломом смарт-контрактов произошел в 2016 году.
- Честный узел должен отвергнуть все, кроме одной (зачастую самой первой, или той, что даёт больше комиссии).
Такая архитектура переводит доверие к решению формата «черный ящик» из субъективного, когда доверие к системе равно доверию к контролирующей ее организации, в объективное. Этому будет способствовать публичный блокчейн и дополнительная стоимость атаки на внешнюю часть системы. Очевидно, что приватный блокчейн обеспечивают лучший контроль над инфраструктурой со стороны организации или группы компаний. Это относится как к общим ИТ-аспектам (например, возможность быстро обновить функциональность), так и к аспектам ИБ. Модель угроз для решений, работающих на приватном блокчейне, уже не включает в себя ряд атак, актуальных для публичного блокчейна.
Атаки Против 34% Атаки
Уже сейчас пользователи объединяют усилия, чтобы больше зарабатывать на майнинге. Финальным результатом таких усилий может стать ситуация, когда 51% вычислительных мощностей объединятся в едином центре, который сможет подтверждать или опровергать только нужные или выгодные ему операции. Разработчики надеются, что это правило позволит уберечь систему от сговора майнеров. Как уже было сказано, получение более 51 процента вычислительной мощности сети – ситуация вполне реальная.
Защита От Атаки 51%
Приватный или частный блокчейн в первую очередь отличается моделью обеспечения доступа к сети, при которой право вносить изменения в реестр есть у строго определенных участников. В такой сети появляется оператор, и она уже не может быть децентрализованной, только распределенной. Тем не менее приватный блокчейн позволяет обеспечивать конфиденциальность записей, так как теперь доступ предоставляется согласно политикам безопасности. Такие сети получают все большее распространение как инфраструктура для корпоративных и государственных задач. Итак, блокчейн – это децентрализованная база данных, в которой все записи собираются в блоки и связываются между собой средствами криптографии. Помимо самих записей (или транзакций) и идентификатора блока, в блок включаются хеш-суммы текущего и предыдущего блоков. Хеш-функции в блокчейне, в сочетании с его распределенной архитектурой, обеспечивают неизменность и необратимость всей цепочки блоков и транзакций.
Перед тем как разбирать этот вид угроз, необходимо описать принцип владения цифровым активом, в частности, криптовалютой. В течение времени, когда у такого лица есть более половины сетевой мощности, он может отменять транзакции, дважды тратить средства и предотвращать внесение некоторых транзакций в цепочку записей. За это время злоумышленник может также добыть 100% блоков и не допустить, чтобы какой-либо другой шахтер занимался майнингом. На завершающем этапе исследования необходимо определить наиболее вероятное значение стоимости атаки 51%. Для этого воспользуемся данными портала егур1о51, занимающегося расчетами стоимости атаки . Портал также формирует алгоритм модели исходя из аренды мощностей, но оперирует иными информационными источниками для расчетов. Поскольку концепции ШЫйЕХ У2.0 и егур1о51 схожи, то полученные результаты должны быть близки по значению, а их средняя величина будет наиболее вероятным значением.
И неудивительно, что предпринимаются усилия по разработке более эффективных гибридных механизмов консенсуса, соединяющих PoW и Proof of Stake . Помимо этого, блокчейны генерируют массы данных (информацию о блоках, данные транзакций, байт-код контрактов), зачастую являющихся устаревшими и бесполезными. Встречается много смарт-контрактов, не содержащих никакого кода или с полным дублированием кода в Ethereum. Чтобы улучшить производительность блокчейн-систем, желателен эффективный механизм детектирования и очистки данных. И возможна ситуация, когда более половины вычислительной мощности сети окажется сосредоточенной в одном месте. И обладая «большинством голосов», недобросовестные участники могут начать нарушать нормальную работу блокчейна – это и называется «атакой 51 процента». В июле 2014 года пул майнинга gHash.IO ненадолго превысил 50% вычислительной мощности сети биткойнов, что привело к тому, что пул добровольно обязался сократить свою долю в сети.