kā kriptovalūtas nozare turpina paplašināties un kļūst par arvien pievilcīgāku hakeru mērķi, Pentagons ir pasūtījis pētījumu, kurā ir atklātas dažas ievainojamības, kas sīkāk aprakstītas pievienotajā ziņojumā.
Patiešām, ziņojums, kas publicēts 21. jūnijā un ar nosaukumu "Vai blokķēdes ir decentralizētas? Neparedzētas centrālās darbības sadalītajās virsgrāmatās”, ir atklājis, ka “daļa dalībnieku var iegūt pārmērīgu, centralizētu kontroli pār visu sistēmu”.
Pētījumā, kas koncentrējas uz Bitcoin (BTC) un Ethereum (ETH), veica drošības pētījumu firma Trail of Bits Pentagona Aizsardzības progresīvo pētījumu projektu aģentūras (DARPA) vadībā.
Saskaņā ar ziņojumu:
"Tādu entītiju skaits, kas ir pietiekams, lai pārtrauktu blokķēdes darbību, ir salīdzinoši mazs: četras Bitcoin, divas Ethereum un mazāk nekā ducis lielākajai daļai PoS tīklu."
60% Bitcoin trafika notiek tikai caur 3 interneta pakalpojumu sniedzējiem
Turklāt ziņojumā teikts, ka "no visas Bitcoin trafika 60% šķērso tikai trīs interneta pakalpojumu sniedzējus", atsaucoties uz interneta pakalpojumu sniedzējiem. Turklāt "lielākais vairums Bitcoin mezglu, šķiet, nepiedalās ieguvē, un mezglu operatori netiek pakļauti skaidram sodam par negodīgumu."
Kā brīdina analītiķi, "jauna mezgla izvietošanai ir nepieciešams tikai viens lēts mākoņservera gadījums — nav nepieciešama specializēta ieguves aparatūra." Tas ļauj pārpludināt blokķēdes konsensa tīklu ar jauniem, ļaunprātīgiem mezgliem, kurus kontrolē viena puse, tā sauktajā Sybil uzbrukumā.
Citas problēmas ir novecojuši un nešifrēti protokoli un programmatūra, kas visi pakļauj tīklu uzbrukumiem. Kā paskaidrots ziņojumā:
"Bloku ķēdes drošība ir atkarīga no programmatūras drošības un tās ārpus ķēdes pārvaldības vai vienprātības mehānismu protokoliem."
Neuzmanīgi ieguves baseini
Ziņojumā arī tika atklāts, ka visi ieguves pūli, ko tā analītiķi pārbaudīja, "vai nu visiem kontiem piešķir kodētu paroli, vai vienkārši nepārbauda autentifikācijas laikā sniegto paroli".
Piemēram, ziņojumā tika izmantota globālā kriptovalūtu ieguves pūla ViaBTC prakse, šķietami, visiem tā kontiem piešķirot paroli “123”. Cits ieguves uzņēmums Poolin "šķiet, ka vispār neapstiprina autentifikācijas akreditācijas datus", savukārt Slushpool "tieši norāda saviem lietotājiem ignorēt paroles lauku".
Saskaņā ar pieejamajiem datiem šie trīs ieguves baseini veido aptuveni 25% no Bitcoin hasrata.
Kiberdrošība pētnieki bieži brīdina par iespējamām ar kriptogrāfiju saistītām nepilnībām, kas var izraisīt tādus incidentus kā tas Finbolds ziņots aprīļa vidū, kurā an uzbrucējam izdevās nozagt visu cilvēka kolekciju kriptovalūtu un neaizvietojamu žetonu (NFT) vairāk nekā 650,000 XNUMX USD vērtībā no viņu MetaMask kriptonauda maku.
Avots: https://finbold.com/pentagon-paper-warns-of-major-vulnerabilities-in-the-bitcoin-blockchain/