Kao što je industrija kriptovaluta nastavlja se širiti i postaje sve privlačnija meta hakerima, Pentagon je naručio studiju koja je otkrila neke ranjivosti, detaljno opisane u popratnom izvješću.
Doista, izvješće objavljeno 21. lipnja pod naslovom “Jesu li Blockchains decentralizirani? Nenamjerne središnje vrijednosti u distribuiranim knjigama”, otkrio je da “podskup sudionika može steći pretjeranu, centraliziranu kontrolu nad cijelim sustavom.”
Studija koja se fokusira na Bitcoin (BTC) i Ethereum (ETH), provela je tvrtka za istraživanje sigurnosti Trail of Bits pod vodstvom Pentagonove Agencije za napredne istraživačke projekte (DARPA).
Prema izvješću:
“Broj entiteta dovoljan da poremete blockchain je relativno nizak: četiri za Bitcoin, dva za Ethereum i manje od desetak za većinu PoS mreža.”
60% Bitcoin prometa prolazi kroz samo 3 ISP-a
Štoviše, u izvješću se navodi da “od cjelokupnog Bitcoin prometa, 60% prolazi samo kroz tri ISP-a”, misleći na davatelje internetskih usluga. Povrh toga, "izgleda da velika većina Bitcoin čvorova ne sudjeluje u rudarenju i operateri čvorova ne suočavaju se s izričitom kaznom za nepoštenje."
Kao što analitičari upozoravaju, "primjena novog čvora zahtijeva samo jednu jeftinu instancu poslužitelja u oblaku - nije potreban specijalizirani hardver za rudarenje." To omogućuje mogućnost preplavljivanja mreže konsenzusa blockchaina novim, zlonamjernim čvorovima koje kontrolira jedna strana u onome što se naziva napadom Sybil.
Daljnji problemi uključuju zastarjele i nekriptirane protokole i softver, a svi oni izlažu mrežu napadima. Kako izvješće objašnjava:
“Sigurnost blockchaina ovisi o sigurnosti softvera i protokola njegovog upravljanja izvan lanca ili mehanizama konsenzusa.”
Nepažljivi rudarski bazeni
Izvješće je također otkrilo da su svi rudarski skupovi njegovi analitičari testirali "ili dodijelili tvrdo kodiranu zaporku za sve račune ili jednostavno ne provjeravaju zaporku navedenu tijekom autentifikacije."
Kao primjer, izvješće je koristilo praksu globalnog fonda za rudarenje kriptovaluta ViaBTC da naizgled dodjeljuje lozinku '123' svim svojim računima. Druga rudarska tvrtka, Poolin, "čini se da uopće ne provjerava vjerodajnice za provjeru autentičnosti", dok Slushpool "izričito nalaže svojim korisnicima da zanemare polje lozinke".
Prema dostupnim podacima, ova tri rudarska pula čine oko 25% Bitcoin hashrate-a.
Cybersecurity znanstvenici često upozoravaju na potencijalne slabosti vezane uz kriptu koje mogu dovesti do incidenata poput onog koji finbold izvijestio je sredinom travnja, u kojem je an napadač je uspio ukrasti cijelu kolekciju osobe kripto i nepromjenjivih tokena (NFT-ovi) vrijedan više od 650,000 dolara od njihovog MetaMaska kripto novčanik.
Izvor: https://finbold.com/pentagon-paper-warns-of-major-vulnerabilities-in-the-bitcoin-blockchain/