Os ataques de blockchain da Verge valem uma segunda olhada sóbria

O famoso ataque de 51%: é a maior falha em protocolos de Criptomoeda , mas raramente é visto, especialmente entre as criptomoedas mais populares.

No entanto, nos últimos meses, a exploração – pela qual um único minerador (ou grupo de mineradores) assume o controle de mais da metade do poder computacional total da rede e pode então dobrar as regras do protocolo a seu favor – foi vista duas vezes. E no mesmo blockchain.

Na verdade, a Verge, uma Criptomoeda voltada para a privacidade, recentemente ganhou destaque por uma parceria com o popular site de entretenimento adulto Pornhub, sofreu dois hacks perpetrados por meio de ataques de 51% que fizeram com que os invasores fugissem com milhões de dólares em sua Criptomoeda nativa, XVG.

Durante o primeiro ataque em abril (apenas algumas semanas antes da parceria com o Pornhub), o hacker conseguiu fugir com 250.000 XVG. E durante o último, em meados de maio, um invasor conseguiu explorar US$ 1,7 milhão em Criptomoeda do protocolo.

De acordo com os pesquisadores, as explorações são o produto de mudanças simples no código subjacente no qual os protocolos de Criptomoeda normalmente são construídos e dos desafios de ser capaz de prever quais consequências não intencionais surgirão dessas mudanças.

Claro, os desenvolvedores do Verge estavam apenas tentando criar uma Criptomoeda melhor para pagamentos, mas ao ajustar pequenos parâmetros, como o período de validade de um bloco, o grupo expôs seu blockchain a ataques.

"Obter incentivos corretos e mantê-los corretos é difícil", disse Arthur Gervais, professor assistente do Imperial College London e fundador da Liquidity Network.

Ou seja, os blockchains são construídos com base em incentivos muito precários, nos quais todas as partes interessadas trabalham juntas em direção a um objetivo comum, de modo a eliminar a chance de uma entidade assumir o controle total.

"As coisas obviamente T parecem boas", disse Daniel Goldman, o CTO do site de análise de Criptomoeda The Abacus, que vem rastreando os ataques. "Os problemas que inicialmente surgiram na base de código foram resultado de puro descuido — incorporando código de outro software de código aberto sem entender suas implicações."

Goldman acrescentou:

"Odeio dizer isso, mas se eu tivesse que resumir: o invasor está fazendo uma diligência melhor do que os desenvolvedores. Eu tentaria caçá-lo se fosse eles."

E como os desenvolvedores veteranos de blockchain, incluindo o criador do Litecoin Charlie Lee e desenvolvedor líder do Monero Ricardo Spagni, há muito tempo argumentam que os tipos de ajustes feitos pela plataforma têm desvantagens óbvias; esses pessimistas — que foram prontamente atacados por um grupo de entusiastas que se autodenominam "Exército Verge " — estão se sentindo justificados.

“Tantas lições importantes a serem aprendidas com isso”, tuitou o analista de pesquisa de investimentos da Fidelity, Nic Carter,resumindoo estado geral de desenvolvimento da verge.

Representantes da equipe de desenvolvedores do Verge não responderam a uma Request de comentário da CoinDesk.

O problema

Uma dessas lições é que há razões pelas quais o período de tempo em que uma transação pode ser válida é limitado de forma bastante rigorosa.

Por exemplo, enquanto as transações de Bitcoin são válidas apenas por cerca de 10 minutos antes de serem verificadas em um bloco, os desenvolvedores do Verge estenderam essa janela para duas horas. E como há alguma assimetria de informações em sistemas de blockchain, já que os nós estão espalhados pelo mundo, o invasor conseguiu "falsificar" carimbos de data/hora vinculados a blocos sem que ninguém percebesse, de acordo com a postagem amplamente divulgadapor Goldman.

Mas T foi só isso; outra parte dos ataques foi o algoritmo de dificuldade do verge.

O Verge usa o algoritmo "Dark Gravity Wave" para ajustar automaticamente a rapidez com que os mineradores encontram blocos. No Verge, isso acontece a cada duas horas; comparado ao Bitcoin , que se ajusta a cada duas semanas, o algoritmo do verge é bem rápido.

Os carimbos de data/hora falsificados, combinados com esse algoritmo de ajuste rápido, levaram ao problema de "confundir tragicamente o algoritmo de ajuste de mineração do protocolo", como disse Goldman.

Ou dito de outra forma, o invasor habilmente minerou blocos com registros de data e hora falsos, forçando a dificuldade da criptomoeda a diminuir mais rapidamente, facilitando para o invasor minerar ainda mais XVG.

Quando o primeiro ataque aconteceu, os desenvolvedores do Verge rapidamente lançaram um patch, impedindo o invasor de imprimir mais dinheiro. No entanto, com o ataque do mês passado, parece que o patch só foi até certo ponto e o invasor encontrou outra maneira de executar o mesmo hack, mostrando o quão difícil pode ser arquitetar um sistema distribuído que T seja vulnerável a ataques.

Ataques contínuos

E de acordo com Goldman, os problemas para o Verge provavelmente não acabaram.

“Um ataque foi claramente – etalvez ainda seja – sendo tentado. Até agora, no entanto, o suposto invasor T conseguiu ultrapassar a rede", disse Goldman ao CoinDesk.

Mas ele continuou:

"No momento, duas das três (na minha Opinião) fontes fundamentais de vulnerabilidades foram, na melhor das hipóteses, mitigadas, e uma continua completamente sem solução."

Embora nenhum XVG tenha sido roubado diretamente dos usuários, os mineradores na rede T deveriam conseguir burlar as regras dessa forma, efetivamente imprimindo dinheiro para um indivíduo em um curto período de tempo.

Como tal, os desenvolvedores do Verge estão trabalhando ativamente para melhorar o código. Após um período de pouca comunicação dos desenvolvedores do verge, CryptoRekt, o autor pseudônimo do Verge "blackpaper" assumiu para Reddit em 31 de maio, dizendo que toda a equipe do Verge "nunca faria intencionalmente nada para manchar ou prejudicar este projeto".

Ele acrescentou que os desenvolvedores do projeto estão trabalhando em um novo código há "várias semanas" para "solidificar nossa moeda contra quaisquer ataques futuros".

No entanto, Goldman acredita que há outro problema. Ao contrário de muitos dos projetos de Criptomoeda que existem hoje, que dependem de código de fonte aberta, a base de código do verge está sendo construída em privado e, portanto, não será revisada por pares pela comunidade de especialistas em blockchain que poderia ajudar a equipe a encontrar vulnerabilidades.

"Já que incorporar código sem examiná-lo de forma responsável foi o que levou a tudo isso, isso deveria deixar a vergefam nervosa", ele tuitou.

O futuro do Verge?

Mas até agora, grande parte da comunidade Verge continua apoiando a equipe de desenvolvedores e a missão da criptomoeda.

Pseudônimousuário Verge Cripto Dogchegou a afirmar que "não há necessidade de pânico", afirmando que o sucesso do Verge continuará não importa o que aconteça.CryptoRekt escolheu para vê-lo como uma experiência de aprendizado, que ajudaria a "construir um projeto maior e melhor".

Ainda assim, esse ataque LOOKS ruim, não apenas no próprio Verge , mas também em organizações que fizeram parceria com a equipe do Verge , incluindo o Pornhub. Especialmente porque o vice-presidente do Pornhub Corey Price declarou O Verge foi escolhido como método de pagamento para o site em um "processo de seleção muito deliberado" para preservar a Política de Privacidade financeira de seus clientes.

Por isso, alguns desenvolvedores acreditam que esse episódio trará um maior senso de responsabilidade para muitas organizações analisarem um blockchain de forma mais eficaz antes de adotá-lo.

"Eu T ficaria surpreso com mais escrutínio no futuro NEAR , levando a mais ataques e a investidores avaliando com mais precisão a proposta de valor de projetos menores de altcoins", disse o engenheiro da BitGo, Mark Erhardt, acrescentando:

"A ausência de um ataque não é prova de que um sistema é seguro. Vários projetos de altcoin parecem estar tomando atalhos inseguros. Só que ninguém se preocupou em explorar essas falhas ou fraquezas sistêmicas, ainda."

Dessa forma, o Verge pode ser o primeiro de uma longa linha de explorações futuras.

Embora os ataques de 51% tenham sido vistos tipicamente como difíceis de executar, Gervais, da Liquidity Network, argumentou que novos dados parecem mostrar que é mais fácil do que muitos pensavam anteriormente. Ele apontou para um novo aplicativo da web,51cripto, que rastreia o quão lucrativo é executar um ataque de 51% em vários blockchains.

A essência das estatísticas é que quanto menor o blockchain, mais fácil é ultrapassá-lo e burlar as regras, e é por isso que os desenvolvedores precisam ser particularmente cuidadosos na forma como arquitetam seus sistemas.

Porque "se um ataque fizer mais sentido econômico do que um comportamento honesto, os atacantes estarão lá", concluiu Gervais.

Imagem da Vergevia Shutterstock