Блокчейн-атаки Verge варті тверезого повторного розгляду

Горезвісна атака на 51 відсоток: це головна помилка протоколів Криптовалюта, але її рідко можна побачити, особливо серед найпопулярніших криптовалют.

Проте за останні пару місяців експлойт, за допомогою якого один майнер (або група майнерів) контролює понад половину загальної обчислювальної потужності мережі, а потім може змінити правила протоколу на свою користь, був помічений двічі. І на тому ж блокчейні.

Дійсно, Verge, орієнтована на конфіденційність Криптовалюта нещодавно потрапила в центр уваги через товариство з популярним сайтом розваг для дорослих Pornhub зазнав двох хакерів, здійснених через 51-відсоткові атаки, у результаті яких зловмисники втекли з його рідною Криптовалюта XVG на мільйони доларів.

Протягом перший напад у квітні (лише за пару тижнів до партнерства Pornhub) хакер зміг отримати 250 000 XVG. А під час останнього в середині травня зловмисник зміг використати Криптовалюта на суму 1,7 мільйона доларів із протоколу.

За словами дослідників, експлойти є продуктом простих змін базового коду, на якому зазвичай побудовані протоколи Криптовалюта, і проблем, пов’язаних із можливістю передбачити, які непередбачені наслідки виникнуть у результаті цих змін.

Звичайно, розробники Verge лише намагалися розробити кращу Криптовалюта для платежів, але шляхом налаштування невеликих параметрів, таких як тривалість часу, протягом якого блок може бути дійсним, група відкрила свій блокчейн для атак.

«Важко отримати правильні стимули та підтримувати їх належним чином», — сказав доцент Імперського коледжу Лондона та засновник Liquidity Network Артур Джерве.

Це означає, що блокчейни побудовані на дуже хиткому наборі стимулів, за допомогою яких усі зацікавлені сторони працюють разом для досягнення спільної мети, щоб усунути ймовірність того, що ONE суб’єкт отримає повний контроль.

«Речі, очевидно, виглядають не T добре», — сказав Деніел Голдман, технічний директор сайту аналізу Криптовалюта The Abacus, який відстежував атаки. «Проблеми, які спочатку проскочили в кодовій базі, були результатом чистої необережності — включення коду з іншого програмного забезпечення з відкритим кодом без розуміння його наслідків».

Голдман додав:

«Мені неприємно це говорити, але якщо мені довелося резюмувати: зловмисник працює краще, ніж розробники. На їхньому місці я б спробував його зламати».

І оскільки ветерани-розробники блокчейнів, у тому числі творці Litecoin Чарлі Лі і провідний розробник Monero Ріккардо Спаньї, давно стверджували, що зміни, внесені платформою, мають очевидні недоліки, такі скептики, на яких охоче нападає група ентузіастів, що називають себе «Verge Army», вважають себе виправданими.

«Так багато важливих уроків, які можна винести з цього», – написав у Twitter аналітик Fidelity Investment Research Нік Картер, підведення підсумків загальний стан розвитку краю.

Представники команди розробників Verge не відповіли на Request CoinDesk про коментарі.

Проблема

ONE із цих уроків полягає в тому, що існують причини, чому проміжок часу, протягом якого транзакція може бути дійсною, досить суворо обмежений.

Наприклад, у той час як Bitcoin транзакції дійсні лише протягом приблизно 10 хвилин, перш ніж вони будуть перевірені в блоці, розробники Verge подовжили це вікно до двох годин. А оскільки в системах блокчейну існує певна інформаційна асиметрія, оскільки вузли розкидані по всьому світу, зловмисник зміг «підробити» часові мітки, прив’язані до блоків, не помітивши, згідно з даними. широко розповсюджений пост від Goldman.

Але це було T просто це; ще однією частиною атак був алгоритм складності verge.

Verge використовує алгоритм «Dark Gravity Wave», щоб автоматично регулювати швидкість пошуку блоків майнерами. В Verge це відбувається кожні дві години; порівняно з Bitcoin , які коригуються кожні два тижні, алгоритм verge досить швидкий.

Підроблені часові мітки в поєднанні з цим алгоритмом швидкого налаштування призвели до проблеми «трагічної плутанини алгоритму налаштування майнінгу протоколу», як висловився Голдман.

Або інакше кажучи, зловмисник спритно видобув блоки з підробленими мітками часу, змусивши складність криптовалюти швидше пристосуватися, що полегшило зловмиснику видобуток ще більше XVG.

Коли сталася перша атака, розробники Verge швидко випустили патч, який не дозволив зловмиснику надрукувати більше грошей. Проте, з атакою минулого місяця, здається, виправлення зайшло так далеко, і зловмисник знайшов інший спосіб виконати той самий хак, демонструючи, наскільки важко може бути розробити розподілену систему, яка T є вразливою до атак.

Постійні напади

І, за словами Голдмана, проблеми з Verge , ймовірно, ще не закінчилися.

«Атака явно була – і можливо все ще є – здійснюється замах. Проте поки що потенційному зловмиснику T вдалося обігнати мережу», — сказав Голдман CoinDesk.

Але він продовжив:

«На даний момент два з трьох (на мій Погляди) фундаментальних джерел вразливості були у кращому випадку пом’якшені, а ONE залишається повністю невиправленим».

Хоча жодні XVG не були викрадені безпосередньо у користувачів, майнери в мережі T повинні мати можливість порушувати правила таким чином, фактично друкуючи гроші для ONE особи за короткий проміжок часу.

Таким чином, розробники Verge активно працюють над вдосконаленням коду. Після періоду невеликої комунікації з розробниками verge, CryptoRekt, псевдонімом автора Verge "blackpaper" на Reddit 31 травня, заявивши, що вся команда Verge «ніколи навмисно не зробить нічого, щоб заплямувати чи зашкодити цьому проекту».

Він додав, що розробник проекту працював над новим кодом протягом «кілька тижнів», щоб «зміцнити нашу валюту проти будь-яких майбутніх атак».

Проте Голдман вважає, що є інша проблема. На відміну від багатьох сучасних Криптовалюта проектів, які покладаються на відкритий код, кодова база verge створюється конфіденційно, тому не буде проходити рецензування спільнотою експертів з блокчейну, які могли б допомогти команді знайти вразливості.

«Оскільки до всього цього призвело включення коду без відповідальної перевірки, це повинно змусити вергфам нервувати», — написав він у Twitter.

Майбутнє Verge?

Але поки що значна частина спільноти Verge підтримує команду розробників і місію криптовалюти.

Псевдонім користувач Verge Крипто Dog пішов настільки далеко, що стверджував, що «немає потреби панікувати», стверджуючи, що успіх verge продовжуватиметься незважаючи ні на що. І Вибрав CryptoRekt розглядати це як навчальний досвід, ONE Verge «побудувати більший і кращий проект».

Тим не менш, ця атака LOOKS погано не тільки на самій Verge , але й на організаціях, які співпрацюють з командою Verge , включаючи Pornhub. Тим більше, що віце-президент Pornhub – заявив Корі Прайс Verge було обрано як спосіб оплати для сайту в «дуже продуманому процесі відбору», щоб зберегти фінансову Політика конфіденційності своїх клієнтів.

Таким чином, деякі розробники вважають, що цей епізод викличе у багатьох організацій підвищене почуття відповідальності за більш ефективний аналіз блокчейну перед його впровадженням.

«Мене T здивує більша ретельність NEAR часом, яка призведе до збільшення кількості атак і до того, щоб інвестори точніше оцінювали цінність менших проектів альткойнів», — сказав інженер BitGo Марк Ерхардт, додавши:

«Відсутність атаки не є доказом того, що система є безпечною. Чимало проектів альткойнів, здається, використовують небезпечні ярлики. Просто поки що ніхто не потрудився використати ці системні недоліки чи слабкі місця».

Таким чином, Verge може бути першим у довгій низці майбутніх подвигів.

Хоча 51-відсоткові атаки зазвичай вважаються важкоздійснимими, Джерве з Liquidity Network стверджує, що нові дані показують, що це легше, ніж багато хто думав раніше. Він вказав на новий веб-додаток, 51крипто, який відстежує, наскільки вигідно здійснити 51-відсоткову атаку на різні блокчейни.

Суть статистики полягає в тому, що чим менший блокчейн, тим легше його обігнати та порушити правила, тому розробники повинні бути особливо обережними в тому, як вони створюють архітектуру своїх систем.

Оскільки «якщо атака має більший економічний сенс, ніж чесна поведінка, нападники будуть там», — підсумував Жервез.

Verge зображення через Shutterstock