Страницы

четверг, 17 января 2019 г.

Виды хакерских атак на блокчейн-сеть и криптовалюты. Часть 2


Попытки взлома блокчейн-сетей предпринимались с момента появления материальной ценности, оправдывающей затраты на сам процесс и гарантирующей получение прибыли в случае успеха. История дважды взломанной в 2011 и, согласно официальной версии, в 2014 году биржи Mt. Gox представляет собой типичный пример того, как по мере роста стоимости криптовалютных активов к ним притягивается внимание большего числа злоумышленников. Суммарные потери пользователей Mt. Gox, по данным в открытом доступе, составили 500 000 BTC в первом случае и 850 000 BTC во втором.

Первую часть статьи читайте по ссылке.

Взломы кошельков, похищение средств злоумышленниками постоянно мелькают в новостях. Обычная причина — человеческий фактор и несовершенство механизмов безопасности. Впрочем, топовые биржи уделяют значительное внимание этому вопросу. Вкладывают средства в новые решения, ведут разъяснительную работу, используют мультиподпись, кастодиальные хранилища и средства отслеживания. За последний год пропажи с кошельков их клиентов сильно сократились: хакеры переключились на децентрализованный обмен и площадки 2-го уровня.

Человек несовершенен. И программные продукты тоже. Чтоб убедиться в этом, достаточно посмотреть списки уязвимостей и обратить внимание на то, как часто обновляется Windows. Интерфейс веб-приложений для работы с криптоактивами — не исключение. Ошибки в программном коде, позволяющие манипулировать данными, похищать права доступа, подменять содержимое буфера обмена возникают регулярно. Вредоносный код в состоянии похитить даже личные ключи, если они хранятся на компьютере. В смартфоне это сделать немного сложнее, но его использование не защищает от этой проблемы.

Использование 2FA сберегает средства и нервы. Несовершенство кода компенсируется наличием 2-го аутентификационного фактора, без которого движение средств невозможно. Другой вариант — транзакции с мультиподписью. Они потребуют большей комиссии, поскольку такой перевод занимает больше места в блокчейне.

Плохие новости для людей, использующих SMS-подтверждение транзакций в том, что так как угон SIM-карты — обычное дело, лучше использовать приложения типа Google Autenticator, работающие путем генерации псевдослучайной последовательности кодов оффлайн и не требующие ни покрытия сети, ни интернет-соединения.

Важно и своевременное обновление программного обеспечения. Это серьезно сокращает вероятность проникновения злоумышленников при использовании уязвимостей.

Программы содержат ошибки. Но в большей степени все зависит от человека, который ими управляет. Один неосторожный пользователь в состоянии нивелировать все тщательно продуманные системы защиты, разрабатываемые в течение десятков лет. И для этого достаточно одного щелчка мышью. Со времен возникновения интернета существуют 4 основные типа угроз:

Век информации плавно перешел в эпоху «цифровых следов»: почти все, что мы делаем, оставляет их и во многих случаях для успеха взлома нужно немного времени, усидчивости и целеустремленности.

Криптоанализ с помощью квантового компьютера, способный, по расчетам некоторых исследователей, взломать цифровую подпись по открытому (публичному) ключу как в SHA-256, так и в остальных распространенных криптографических алгоритмах, построенных на эллиптических кривых и сложности обратного выполнения функции дискретного логарифмирования, будоражит умы общества.

Пишут, что «несколько квантовых компьютеров средней мощности за несколько часов взломают всю сеть Bitcoin» (алгоритм Шора), времени на Ethereum отводится еще меньше.

Непонятно что считать за «квантовый компьютер средней мощности». По официальным заявлениям, в NASA работает 2000-кубитный образец, пригодный «лишь для узконаправленных вычислений». В Google находится модель в 500 кубитов, а буквально на днях IBM отчиталась о выпуске «первого квантового компьютера для коммерческого использования» мощностью … всего 20 кубитов.

Попытки создания такого аппарата предпринимаются с 80-х годов и очевидно — их воплощение на практике сопряжено с большими трудностями. Одна из них заключается в том, что «квантовая суперпозиция», на которую возлагаются большие надежды, существует только «на бумаге» — при попытке считать информацию она неизбежно превращается в двоичный код.

Выглядит так, что если подобный подход и будет реализован в действительно работающей модели, то это произойдет нескоро, и похожа на современные образцы квантовых компьютеров она будет также, как вычислительная машина Алана Тьюринга, созданная в годы 2-й мировой войны для взлома кодов немецкой «Энигмы» похожа на современные персональные компьютеры. То есть чуть менее, чем никак.

А если допустить, что такая модель квантового компьютера появится чуть ранее, чем завтра, ситуация достаточно оптимистична:

Добавим сюда отсутствие программного обеспечения для квантовых компьютеров, как и то, что разработки не сопровождаются обилием информации, и о реальных характеристиках (как и о степени полезности) мы можем только догадываться.

Вообще, SHA-256 — надежный алгоритм. Безопасность хранения криптовалют и операций с ними постепенно приближается к 100% при условии исключения человеческого фактора. Большинство видов атак — потенциальные угрозы. Развитие других выявляется и блокируется сообществом (как это случилось с Ethereum Classic, когда после обнаружения двойной траты были введены дополнительные ограничения).

Сотрудничество разработчиков, коммьюнити, специалистов по безопасности, плюс с каждым днем развивающаяся с помощью BUIDL инфраструктура блокчейн-проектов со временем не оставит места для крупных неприятностей, гарантирует надежность и безопасность экосистемы для пользователей.

Статьи по теме:

ТОП-5 взломов криптобирж

Безопасность в сети: методы двухфакторной идентификации

Как защитить криптовалютные кошельки от хакеров

Комментариев нет:

Отправка комментария