Како индустрија за криптовалентност продолжува да се проширува и станува сè поатрактивна цел за хакерите, Пентагон нарача студија која откри некои во врска со ранливости, детално опишани во придружниот извештај.
Навистина, извештајот, објавен на 21 јуни и насловен „Дали блокчејните се децентрализирани? Несакани централи во дистрибуирани книги, откри дека „подмножество учесници може да добие прекумерна, централизирана контрола врз целиот систем“.
Студијата, која се фокусира на Bitcoin (БТК) и Ethereum (ЕТХ), беше спроведена од безбедносната истражувачка фирма Trail of Bits под раководство на Агенцијата за напредни истражувачки проекти на одбраната на Пентагон (DARPA).
Според извештајот:
„Бројот на ентитети доволни за да се наруши блокчејнот е релативно мал: четири за Bitcoin, два за Ethereum и помалку од десетина за повеќето PoS мрежи“.
60% од сообраќајот на Биткоин оди преку само 3 интернет провајдери
Покрај тоа, во извештајот се вели дека „од целиот сообраќај на Биткоин, 60% поминува само три интернет провајдери“, мислејќи на давателите на интернет услуги. Згора на тоа, „огромното мнозинство на Bitcoin јазли се чини дека не учествуваат во рударството и операторите на јазли не се соочуваат со експлицитна казна за нечесност“.
Како што предупредуваат аналитичарите, „распоредувањето на нов јазол бара само еден евтин примерок на облак-серверот - не е потребен специјализиран хардвер за рударство“. Ова овозможува можност за преплавување на консензусната мрежа на блокчејн со нови, малициозни јазли контролирани од една страна во она што се нарекува Sybil напад.
Понатамошни проблеми вклучуваат застарени и нешифрирани протоколи и софтвер, кои сите ја изложуваат мрежата на напади. Како што објаснува извештајот:
„Безбедноста на блокчејн зависи од безбедноста на софтверот и протоколите на неговото управување надвор од синџирот или механизмите за консензус“.
Безгрижни рударски базени
Извештајот, исто така, откри дека сите базени за рударство што ги тестирале неговите аналитичари „или назначуваат хард-кодирана лозинка за сите сметки или едноставно не ја потврдуваат лозинката дадена за време на автентикацијата“.
Како пример, извештајот ја користеше практиката на глобалниот базен за ископување криптовалути ViaBTC на навидум доделување на лозинката „123“ на сите свои сметки. Друга рударска компанија, Poolin, „се чини дека воопшто не ги потврдува акредитациите за автентикација“, додека Slushpool „експлицитно им наложува на своите корисници да го игнорираат полето за лозинка“.
Според достапните податоци, овие три рударски базени сочинуваат околу 25% од хашрејтот на Биткоин.
Cybersecurity истражувачите често предупредуваат на потенцијални слабости поврзани со крипто што може да доведат до инциденти како оној што Финболд пријавени во средината на април, во кој ан Напаѓачот успеал да ја украде целата колекција на едно лице на крипти и незаменливи токени (NFT) во вредност од над 650,000 долари од нивниот MetaMask крипто-паричник.
Извор: https://finbold.com/pentagon-paper-warns-of-major-vulnerabilities-in-the-bitcoin-blockchain/