Блокчейн-атаки Verge заслуживают трезвого взгляда

Печально известная атака 51 процента: это серьезная ошибка в протоколах Криптовалюта , но она встречается редко, особенно среди самых популярных криптовалют.

Тем не менее, за последние пару месяцев эксплойт, при котором один майнер (или группа майнеров) берет под контроль более половины всей вычислительной мощности сети и затем может изменить правила протокола в свою пользу, был замечен дважды. И на одном и том же блокчейне.

Действительно, Verge, Криптовалюта, ориентированная на конфиденциальность, недавно оказалась в центре внимания партнерством популярный сайт развлечений для взрослых Pornhub подвергся двум взломам, совершенным с помощью атак 51%, в результате которых злоумышленники скрылись с его собственной Криптовалюта XVG на сумму в миллионы долларов.

В течение первая атака В апреле (всего за пару недель до партнерства с Pornhub) хакеру удалось украсть 250 000 XVG. А в середине мая злоумышленник смог похитить из протокола Криптовалюта на сумму 1,7 миллиона долларов.

По словам исследователей, эксплойты являются результатом простых изменений в базовом коде, на котором обычно строятся протоколы Криптовалюта, и проблем с прогнозированием непреднамеренных последствий, которые возникнут в результате этих изменений.

Конечно, разработчики Verge пытались создать лучшую Криптовалюта для платежей, но, изменив небольшие параметры, такие как продолжительность действия блока, группа открыла свой блокчейн для атак.

«Создать правильные стимулы и поддерживать их на должном уровне сложно», — сказал доцент Имперского колледжа Лондона и основатель Liquidity Network Артур Жерве.

То есть блокчейны построены на крайне ненадежно сбалансированных стимулах, при которых все заинтересованные стороны работают вместе для достижения общей цели, чтобы исключить вероятность того, что ONE сторона получит полный контроль.

«Очевидно, дела обстоят T хорошо», — сказал Дэниел Голдман, технический директор сайта по анализу Криптовалюта The Abacus, который отслеживал атаки. «Проблемы, которые изначально проникли в кодовую базу, были результатом чистой небрежности — включения кода из другого программного обеспечения с открытым исходным кодом без понимания его последствий».

Голдман добавил:

«Мне неприятно это говорить, но если бы мне пришлось подвести итог: злоумышленник проявляет большую осмотрительность, чем разработчики. Я бы попытался переманить его на их месте».

А поскольку опытные разработчики блокчейна, включая создателя Litecoin, Чарли Ли и ведущий разработчик Monero Риккардо Спаньи, давно утверждают, что изменения, внесенные в платформу, имеют очевидные недостатки, такие скептики, которые подверглись охотным нападкам со стороны группы энтузиастов, называющих себя «армией Verge », чувствуют себя оправданными.

«Из этого можно извлечь так много важных уроков», — написал в Твиттере аналитик Fidelity Investment Research Ник Картер.подведение итоговобщее состояние развития края.

Представители команды разработчиков Verge не ответили на Request CoinDesk о комментарии.

Проблема

ONE из таких уроков заключается в том, что существуют причины, по которым временной интервал, в течение которого транзакция может быть действительна, ограничен довольно строго.

Например, в то время как транзакции Bitcoin действительны только около 10 минут, прежде чем они будут проверены в блоке, разработчики Verge увеличили это окно до двух часов. И поскольку в системах блокчейн есть некоторая асимметрия информации, поскольку узлы разбросаны по всему миру, злоумышленник смог «подделать» временные метки, привязанные к блокам, и никто этого не заметил, согласно широко распространенный постГолдман.

Но дело было T только в этом; еще одной частью атак был алгоритм сложности Verge.

Verge использует алгоритм «Dark Gravity Wave» для автоматической регулировки скорости поиска блоков майнерами. В Verge это происходит каждые два часа; по сравнению с Bitcoin , который регулирует каждые две недели, алгоритм Verge довольно быстр.

Поддельные временные метки в сочетании с этим быстро настраиваемым алгоритмом привели к проблеме «трагического запутывания алгоритма настройки майнинга протокола», как выразился Голдман.

Или, другими словами, злоумышленник ловко добывал блоки с поддельными временными метками, заставляя сложность криптовалюты снижаться быстрее, что облегчало злоумышленнику задачу по добыче еще большего количества XVG.

Когда произошла первая атака, разработчики Verge быстро выпустили патч, остановив атакующего от печатания новых денег. Однако, с атакой в ​​прошлом месяце, похоже, патч зашел только до определенного момента, и атакующий нашел другой способ выполнить тот же взлом, показывая, насколько сложно спроектировать распределенную систему, которая T уязвима для атак.

Продолжающиеся атаки

По словам Голдмана, проблемы Verge , скорее всего, еще не решены.

«Очевидно, что нападение было – иможет быть, все еще есть – предпринимаются попытки. Однако до сих пор потенциальному злоумышленнику T удалось захватить сеть», – сказал Голдман CoinDesk.

Но он продолжил:

«На данный момент два из трех (по моему Мнение) основных источников уязвимости в лучшем случае устранены, а ONE остается полностью неустраненным».

Хотя напрямую у пользователей не было украдено ни одного XVG , майнеры в сети T должны иметь возможности обходить правила подобным образом, фактически печатая деньги для ONE человека за короткий промежуток времени.

Таким образом, разработчики Verge активно работают над улучшением кода. После периода отсутствия общения с разработчиками verge, CryptoRekt, псевдонимный автор Verge "blackpaper", взял в Реддит 31 мая он заявил, что вся команда Verge «никогда намеренно не сделает ничего, что могло бы очернить или навредить этому проекту».

Он добавил, что разработчики проекта работали над новым кодом «несколько недель», чтобы «укрепить нашу валюту от любых будущих атак».

Однако Goldman считает, что есть еще одна проблема. В отличие от многих современных Криптовалюта проектов, которые полагаются на открытый исходный код, кодовая база Verge создается в частном порядке и поэтому не будет рецензироваться сообществом экспертов по блокчейну, которые могли бы помочь команде найти уязвимости.

«Поскольку внедрение кода без его ответственной проверки привело ко всему этому, это должно заставить Vergefam нервничать», — написал он в Twitter.

Будущее Верджа?

Однако до сих пор большая часть сообщества Verge по-прежнему поддерживает команду разработчиков и миссию криптовалюты.

Псевдонимпользователь Verge Криптo Dogзашел так далеко, что заявил, что «нет причин для паники», утверждая, что успех Verge продолжится, несмотря ни на что. ИКриптоРект выбрал рассматривать это как опыт обучения, ONE Verge «построить более крупный и лучший проект».

Тем не менее, эта атака LOOKS плохо, не только на самом Verge , но и на организациях, которые сотрудничали с командой Verge , включая Pornhub. Тем более, что вице-президент Pornhub Кори Прайс заявил Verge был выбран в качестве способа оплаты на сайте в ходе «очень тщательного процесса отбора» с целью сохранения финансовой Политика конфиденциальности клиентов.

В связи с этим некоторые разработчики полагают, что этот эпизод усилит чувство ответственности многих организаций, что позволит им более эффективно анализировать блокчейн перед его внедрением.

«Я T удивлюсь, если в NEAR будущем будет проведено более тщательное расследование, которое приведет к увеличению числа атак и позволит инвесторам более точно оценивать ценностное предложение небольших проектов альткоинов», — сказал инженер BitGo Марк Эрхардт, добавив:

«Отсутствие атаки не является доказательством безопасности системы. Довольно много проектов альткоинов, похоже, выбирают небезопасные короткие пути. Просто пока никто не удосужился воспользоваться этими системными недостатками или слабостями».

Таким образом, Verge может стать первым в длинной череде будущих подвигов.

Хотя атаки 51% обычно считались сложными для выполнения, Джервэ из Liquidity Network утверждает, что новые данные, похоже, показывают, что это проще, чем многие думали ранее. Он указал на новое веб-приложение,51крипто, который отслеживает, насколько выгодно проводить атаку 51% на различные блокчейны.

Суть статистики в том, что чем меньше блокчейн, тем легче его обойти и обойти правила, поэтому разработчикам следует быть особенно осторожными при проектировании своих систем.

Потому что «если атака экономически выгоднее честного поведения, то нападающие будут там», — заключил Жерве.

Изображение Vergeчерез Shutterstock