Ca industria criptomonedelor continuă să se extindă și devine o țintă din ce în ce mai atractivă pentru hackeri, Pentagonul a comandat un studiu care a descoperit câteva vulnerabilități referitoare la vulnerabilități, detaliate într-un raport însoțitor.
Într-adevăr, raportul, publicat pe 21 iunie și intitulat „Blockchain-urile sunt descentralizate? Centralități neintenționate în registre distribuite”, a descoperit că „un subset de participanți poate obține un control excesiv și centralizat asupra întregului sistem”.
Studiul, care se concentrează pe Bitcoin (BTC) și Ethereum (ETH), a fost realizat de firma de cercetare în domeniul securității Trail of Bits sub conducerea Agenției pentru Proiecte de Cercetare Avansată pentru Apărare a Pentagonului (DARPA).
Potrivit raportului:
„Numărul de entități suficiente pentru a perturba un blockchain este relativ scăzut: patru pentru Bitcoin, două pentru Ethereum și mai puțin de o duzină pentru majoritatea rețelelor PoS.”
60% din traficul Bitcoin trece prin doar 3 ISP-uri
Mai mult, raportul spunea că „din tot traficul Bitcoin, 60% traversează doar trei ISP-uri”, referindu-se la furnizorii de servicii de internet. În plus, „marea majoritate a nodurilor Bitcoin par să nu participe la minerit, iar operatorii de noduri nu se confruntă cu nicio sancțiune explicită pentru necinste”.
După cum avertizează analiștii, „instalarea unui nou nod necesită o singură instanță de server cloud ieftină – nu este necesar niciun hardware specializat pentru minerit”. Acest lucru permite posibilitatea de a inunda rețeaua de consens a unui blockchain cu noduri noi, rău intenționate, controlate de o singură parte, în ceea ce se numește atac Sybil.
Alte probleme includ protocoale și software depășite și necriptate, toate expun rețeaua la atacuri. După cum explică raportul:
„Siguranța unui blockchain depinde de securitatea software-ului și a protocoalelor sale de guvernanță în afara lanțului sau a mecanismelor de consens.”
Bazine miniere neglijente
Raportul a mai descoperit că toate pool-urile de minerit testate de analiștii săi „fie atribuie o parolă codificată pentru toate conturile, fie pur și simplu nu validează parola furnizată în timpul autentificării”.
Ca exemplu, raportul a folosit practica grupului global de exploatare a criptomonedei ViaBTC de a atribui aparent parola „123” tuturor conturilor sale. O altă firmă minieră, Poolin, „pare să nu valideze deloc acreditările de autentificare”, în timp ce Slushpool „înstruiește în mod explicit utilizatorii să ignore câmpul de parolă”.
Conform datelor disponibile, aceste trei pool-uri de minerit reprezintă aproximativ 25% din hashrate-ul Bitcoin.
Securitate cibernetică cercetătorii avertizează adesea despre potențialele slăbiciuni legate de cripto-care pot duce la incidente precum cel care finbold raportat la mijlocul lunii aprilie, în care an atacatorul a reușit să fure întreaga colecție a unei persoane de cripto-uri și jetoane nefungibile (NFT-uri) în valoare de peste 650,000 USD din MetaMask cripto portofel.
Sursa: https://finbold.com/pentagon-paper-warns-of-major-vulnerabilities-in-the-bitcoin-blockchain/