Ecco FumbleChain, la blockchain deliberatamente imperfetta

FumbleChain fa della decifrazione delle blockchain uno sport.

Manifestato per la prima volta giovedì scorso allaEvento Black Hat infosec, la Tecnologie deliberatamente imperfetta è pensata per fungere da strumento didattico per gli sviluppatori Cripto .

"In pratica, questo è ciò che le persone chiamano CTF, ovvero 'cattura la bandiera'", ha spiegato Nils Amiet, un ingegnere senior della sicurezza pressoKudelski e ONE degli sviluppatori dietro il progetto. "Ogni volta che risolvi una sfida, è allora che ricevi la bandiera. ... Le sfide sono piuttosto tecniche."

Attraverso queste sfide curate e gamificate, l'obiettivo è quello di spiegare agli utenti le complessità della Tecnologie blockchain.

Secondo Dan Guido, co-fondatore e CEO della società di sicurezza informatica Trail of Bits, che ha esaminato oltre 20 diversi progetti Criptovaluta , FumbleChain è simile a giochi di guerrautilizzato nello sviluppo software tradizionale.

"Competizioni ed esercitazioni di formazione vengono utilizzate in tutto il settore della sicurezza, a volte in competizioni dal vivo di 30.000 o più giocatori ONE , per aiutare a istruire e dimostrare le conoscenze acquisite dai partecipanti", ha affermato Guido, aggiungendo:

"È da tempo che la sicurezza della blockchain dovrebbe avere il suo wargame".

Gli utenti raccolgono punti di gioco denominati "fumblecoin" ogni volta che sfruttano una vulnerabilità nella blockchain di FumbleChain e catturano ONE bandiera. (Le monete hanno valore solo all'interno del gioco stesso.) Amiet di Kudelski afferma che la Tecnologie CORE di FumbleChain " LOOKS molto a Bitcoin", solo più semplice.

Daryl Hok, COO della società di sicurezza informatica blockchain CertiK, ha affermato che FumbleChain è progettato per rendere la blockchain "accessibile" agli ingegneri provenienti da background diversi.

"[FumbleChain] fornisce un modello di wargame gamificato che potrebbe interessare un vasto pubblico con la sua accessibilità e i suoi incentivi", ha affermato Hok. "Il progetto si concentra attualmente sugli attacchi a livello di codice sorgente, anziché sugli attacchi orientati all'economia, ma potrebbe essere qualcosa che verrà aggiunto in futuro".

In effetti, Nathan Hamiel, responsabile della ricerca sulla sicurezza informatica di Kudelski, spera che FumbleChain prenda vita propria ora che il codice è stato reso open source.su GitHub.

"Molti progetti come questo tendono a svanire quando le persone passano ad altre cose", ha detto Hamiel. "Penso che l'unico modo per avere un progetto di successo come questo sia renderlo open source. ... Speriamo che le persone continuino non solo a utilizzare ma anche a sviluppare nuove sfide e a salire a bordo e a far parte del progetto".

Lezioni dalla battaglia

FumbleChain è nato dopo che Kudelski ha completato una serie di audit di sicurezza per progetti Criptovaluta , tra cui monete Privacy Monero e Zcash, ha detto Hamiel.

La prima sfida su FumbleChain simula quello che viene chiamato un attacco di replay, in cui vengono generate transazioni duplicate su due catene separate. Questo vettore di attacco era una preoccupazione nel 2017 durante la divisione della catena tra Bitcoin e Bitcoin Cash.

Altri vettori di attacco alla blockchain identificati su FumbleChain includono la convalida degli input delle transazioni, la mancata corrispondenza tra la chiave pubblica e l'indirizzo del portafoglio, nonché attacchi di negazione del servizio o "spam".

Parlando di queste vulnerabilità della rete, Hamiel ha affermato:

"L'ecosistema blockchain ha molte delle stesse vulnerabilità di un ecosistema [software] tradizionale. Se ci pensi a un livello basso, una blockchain non è molto utile senza l'ecosistema che la circonda... exchange, wallet, ETC."

Per questo motivo, FumbleChain offre anche un portafoglio web basato su browser e un esploratore blockchain con cui divertirsi.

Ulteriore espansione di FumbleChain per includere sia le sfide degli smart contract che le lezioni suPrivacy della blockchainsono i prossimi passi che sia Hamiel che Amiet sperano di vedere nei mesi a venire.

Come minimo, afferma Marc Laliberte, analista senior della sicurezza presso WatchGuard Technologies, FumbleChain potrebbe avere un impatto sulle applicazioni blockchain esistenti creando opportunità di apprendimento "pratico".

Laliberte ha detto:

"L'esperienza nell'identificare e sfruttare le vulnerabilità comuni è un ottimo modo per Imparare a non commettere gli stessi errori. FumbleChain offre agli sviluppatori e agli appassionati l'opportunità di Imparare difetti comuni e di giocare in un ecosistema sicuro, per poi riportare quella conoscenza nelle proprie applicazioni".

Immagine FumbleChain tramite Kudelski Security