Conheça o FumbleChain, o Blockchain deliberadamente falho

O FumbleChain transforma a quebra de blockchains em um esporte.

Manifestou-se pela primeira vez na passada quinta-feira noEvento de infosec Black Hat, a Tecnologia deliberadamente falha tem como objetivo atuar como uma ferramenta educacional para desenvolvedores de Cripto .

“Basicamente, é isso que as pessoas chamam de CTF, ou ‘capture a bandeira’”, explicou Nils Amiet, engenheiro de segurança sênior daKudelski e um dos desenvolvedores por trás do projeto. “Sempre que você resolve um desafio, é quando você recebe a bandeira. … Os desafios são bem técnicos.”

Por meio desses desafios selecionados e gamificados, o objetivo é ensinar os usuários sobre as complexidades da Tecnologia blockchain.

De acordo com Dan Guido, cofundador e CEO da empresa de segurança cibernética Trail of Bits, que auditou mais de 20 projetos diferentes de Criptomoeda , o FumbleChain é semelhante ao jogos de guerrausado no desenvolvimento de software tradicional.

“Competições e exercícios de treinamento são usados ​​em toda a indústria de segurança, às vezes em competições ao vivo de 30.000 ou mais jogadores ao ONE tempo, para ajudar a educar e demonstrar o conhecimento que os participantes adquiriram”, disse Guido, acrescentando:

“Já passou da hora de a segurança do blockchain ter seu próprio jogo de guerra.”

Os usuários coletam pontos de jogo chamados de “fumblecoins” toda vez que exploram uma vulnerabilidade no blockchain FumbleChain e capturam uma bandeira. (As moedas só têm valor dentro do jogo em si.) Amiet, da Kudelski, diz que a Tecnologia CORE do FumbleChain “ LOOKS muito com Bitcoin”, só que mais simples.

Daryl Hok, COO da empresa de segurança cibernética de blockchain CertiK, disse que o FumbleChain foi projetado para tornar o blockchain "acessível" para engenheiros vindos de um conjunto diversificado de origens.

“[FumbleChain] fornece um modelo de wargames gamificado que pode interessar a um público amplo com sua acessibilidade e incentivos”, disse Hok. “O projeto atualmente foca em ataques de nível de código-fonte, em oposição a ataques economicamente orientados, mas isso pode ser algo que será adicionado no futuro.”

Na verdade, o chefe de pesquisa de segurança cibernética da Kudelski, Nathan Hamiel, espera que o FumbleChain ganhe vida própria agora que o código foi tornado público.no GitHub.

“Muitos projetos como esse tendem a definhar conforme as pessoas migram para outras coisas”, disse Hamiel. “Sinto que a única maneira de ter um projeto bem-sucedido como esse é que ele seja de código aberto. … Esperamos que as pessoas continuem não apenas a utilizar, mas a desenvolver novos desafios e realmente embarquem e façam parte do projeto.”

Lições da batalha

O FumbleChain nasceu depois que Kudelski concluiu uma série de auditorias de segurança para projetos de Criptomoeda, incluindo moedas de Política de Privacidade Monero e Zcash, disse Hamiel.

O primeiro desafio no FumbleChain simula o que é chamado de ataque de repetição, onde transações duplicadas são geradas em duas cadeias separadas. Esse vetor de ataque era uma preocupação em 2017 durante a divisão da cadeia entre Bitcoin e Bitcoin Cash.

Outros vetores de ataque de blockchain identificados no FumbleChain incluem validação de entrada de transação, incompatibilidade de chave pública e endereço de carteira, bem como ataques de negação de serviço ou “spam”.

Falando sobre essas vulnerabilidades de rede, Hamiel disse:

“O ecossistema blockchain tem muitas das mesmas vulnerabilidades que um ecossistema [de software] tradicional tem. Se você pensar sobre isso em um nível baixo, um blockchain não é muito útil sem o ecossistema ao redor dele... exchanges, carteiras, ETC”

Por isso, a FumbleChain também oferece uma carteira virtual baseada em navegador e um explorador de blockchain para você explorar.

Expandindo ainda mais o FumbleChain para incluir desafios de contratos inteligentes e lições sobrePolítica de Privacidade blockchainsão os próximos passos que Hamiel e Amiet esperam ver nos próximos meses.

No mínimo, diz Marc Laliberte, analista sênior de segurança da WatchGuard Technologies, o FumbleChain poderia ter um impacto nos aplicativos de blockchain existentes ao criar oportunidades de aprendizado “prático”.

Laliberte disse:

“A experiência com a identificação e exploração de vulnerabilidades comuns é uma ótima maneira de Aprenda como não cometer os mesmos erros. O FumbleChain fornece uma oportunidade para desenvolvedores e entusiastas Aprenda sobre falhas comuns e brincarem em um ecossistema seguro, e então levarem esse conhecimento de volta para seus próprios aplicativos.”

Imagem FumbleChain via Kudelski Security