Корпоративні блокчейни: відгороджені, але вразливі

Як зламати корпоративний блокчейн? Можливо, ми дізнаємося досить скоро.

Корпоративні блокчейн-продукти були розроблені здебільшого як приватні мережі, обмежені авторизованими сторонами. Передбачається, що це зробить їх ефективнішими, ніж загальнодоступні ланцюжки, такі як Bitcoin та Ethereum , оскільки менше комп’ютерів мають досягти згоди щодо того, хто чим володіє, і в певному сенсі безпечнішими, оскільки учасники знають один одного.

Ці продукти застосовують Технології , спочатку розроблену для Дикого Заходу Криптовалюта , для низки непристойних корпоративних заходів, включаючи транскордонні транзакції, зберігання записів і відстеження товарів і інформації. Їхня обіцянка привабила деякі з найбільших світових корпорацій і постачальників програмного забезпечення.

Але, як і будь-яке програмне забезпечення, вони теоретично можуть бути зламаний, хоча те, як запобігти цьому злому, T так добре задокументовано.

«Я T можу пригадати жодної великої компанії, яка б оголосила про будь-які збитки від злому приватного блокчейну», — каже Пол Броуді, глобальний керівник блокчейну консалтинговий гігант EY.

Читайте також: Зустрічайте Red Date, маловідому технічну фірму, яка стоїть за великим блокчейн-баченням Китаю

Це може змінитися NEAR часом, коли компанії почнуть виводити ці закриті системи з лабораторії на реальне використання.

«Великі компанії працюють над додатками на блокчейні вже кілька років», — сказав Павло Покровський, керівник блокчейну в Kaspersky, московському постачальнику антивірусного програмного забезпечення. "Незабаром вони почнуть проштовхувати ці додатки у виробництво та можуть зіткнутися з новими проблемами в управлінні своїми ризиками. Оскільки більше таких рішень буде розгорнуто, атаки на них можуть стати частішими".

Внутрішні робочі місця

ONE з проблем полягає в тому, що приватні дозволені системи найбільш вразливі до внутрішніх загроз, сказали Покровський і Броуді.

«Інсайдерський ризик особливо високий у приватних блокчейнах, оскільки робота, яка зазвичай виконується для захисту інформації в приватній мережі, дуже низька порівняно з загальнодоступними мережами», — сказав Броуді з EY, який був RARE голос серед «Великої четвірки» компаній, що надають професійні послуги для відкритих систем. «У публічних мережах ми широко використовуємо докази з нульовим знанням та інші інструменти, щоб KEEP конфіденційні дані поза мережею».

За його словами, лише ONE чи два корпоративних клієнти EY пішли на такі кроки з приватними мережами. «У результаті, якщо ви можете отримати доступ до мережі або ви вже маєте його як інсайдер, майже всі важливі дані фактично видимі для всіх учасників».

Загалом, сказав Покровський, найпоширенішим типом атаки, який теоретично можна застосувати проти корпоративної блокчейн-мережі, є атака на відмову в обслуговуванні. Це відрізняється від DDoS або розподіленої відмови в обслуговуванні, коли сервери компанії завалені марними запитами, які їх переповнюють.

Читайте також: Майнери обдурили протокол стейблкойн PegNet, перетворивши 11 доларів на майже 7 мільйонів доларів

З іншого боку, відмова в обслуговуванні — це цілеспрямована атака, яка використовує знання, можливо, колишнього співробітника, а не силу електронних м’язів.

"Скажімо, співробітника компанії звільняють, і він злий на свого колишнього роботодавця. Він йде в темну мережу і продає свої знання про вразливості системи хакерам", - сказав Покровський.

У випадку корпоративних блокчейнів зловмиснику потрібно знати адреси вузлів і те, що може вивести їх з мережі.

«Зловмисник може перевантажити ємність зберігання даних вузла, завалити його марними обчисленнями», — сказав Покровський. «Наприклад, вузли ONE з наших клієнтів не могли обробляти дуже великі числа, скажімо, 12 нулів і більше. Вони просто зависали».

Ліки від такої атаки полягає в належній фільтрації даних, що надходять до вузлів, сказав він: «Це дуже поширена помилка, не фільтрувати вхідні дані».

Дешевий трюк

Використовувати таку вразливість легко, коли ви знаєте, де знаходяться вузли, і, на відміну від DDoS, це не вимагає купівлі трафіку у формі ботів, які заливають вашу ціль сміттєвим трафіком, або розгортання великої кількості апаратного забезпечення для атаки на сервер.

«Ви просто пишете простий сценарій і надсилаєте його на вузли», — сказав Покровський. Потім вузли переходять в автономний режим. Це може бути використано в злочинних цілях від диверсії конкурента до терактів, сказав Покровський.

Ситуацію може погіршити той факт, що найзручнішим способом налаштування вузлів для приватного блокчейну є використання хмарної інфраструктури, щоб компаніям T доводилося придумувати, як налаштувати фізичний вузол у своєму офісі.

«Більшість приватних блокчейнів мають дуже мало вузлів, і в багатьох випадках усі вони знаходяться в одній хмарній інфраструктурі, створюючи єдину точку відмови», — сказав Броуді. «Це також означає, що вони не є незмінними сховищами інформації, насправді їх легко стерти або закрити».

Ризики можуть бути різними. Наприклад, Masterchain, корпоративний блокчейн для банків, розроблений під егідою Центрального банку Росії, є форком або модифікованою копією блокчейну Ethereum , який використовує консенсусний механізм підтвердження роботи. Відключення вузлів у такій мережі призведе до перерозподілу консенсусу серед решти вузлів, які продовжуватимуть перевіряти транзакції.

Однак, якщо виявиться, що всі вузли, що залишилися, контролюються центральним банком, учасники мережі можуть стверджувати, що транзакції, зареєстровані в той час, коли всі інші не працюють, є нелегітимними, сказав Покровський.

Читайте також: Проект DeFi dForce повертає кошти всім постраждалим користувачам після злому на 25 мільйонів доларів

"DDoS - це атака, яку легко і дешево організувати, але її також легко запобігти, і такі сервіси, як Cloudflare, можуть її ідентифікувати та ефективно запобігати. Але відмова в обслуговуванні не ідентифікується фільтрами, які використовують такі служби", - сказав Покровський, додавши, що іноді зловмисникам навіть T потрібен інсайдер, щоб знайти вузли - таку інформацію можна знайти за допомогою методів розвідки з відкритим кодом.

«Дуже важко виправити такі вразливості, оскільки відбувається атака, коли все зламано, усі бігають і все горить», — сказав він, — краще спробувати передбачити такі ситуації в тестовому середовищі.

Не дуже розумні контракти

Якщо блокчейн використовує смарт-контракти, вони також можуть бути атаковані, сказав Покровський.

«Для корпоративних блокчейнів типова атака полягає в тому, що контракт містить змінні, які можуть виявлятися різними для кожного вузла, наприклад, мітки часу або випадкові числа», — сказав він. «У цьому випадку кожен вузол виконає смарт-контракт з різним результатом, і в результаті транзакція не буде записана в блокчейн».

Якщо смарт-контракт посилається на документи, є інший можливий спосіб атакувати його: вставити в документ шкідливий код.

Читайте також: Хакер використовує недолік у децентралізованій біржі Bitcoin Bisq, щоб вкрасти 250 тисяч доларів

«Це те саме, що й Атака SQL ін'єкції і щоб цьому запобігти, потрібно фільтрувати вхідні дані та обмежити використання зовнішніх даних смарт-контрактом», – сказав Покровський.

Той факт, що більшість приватних блокчейнів T користуються увагою широкої спільноти блокчейнів, також є слабкою стороною, сказав Броуді.

«Мабуть, найбільший ризик, який становлять приватні блокчейни, — це ризик самовдоволення», — сказав він. «Код із відкритим вихідним кодом, який T використовується широко та T має пильної спільноти, яка його тестує та перевіряє, набагато менш безпечний і надійний, ніж системи, такі як Bitcoin та Ethereum, які постійно захищаються майже постійними атаками та громадським оглядом».

Ракурс Касперського

Маючи на меті розширення потоку доходів, у 2018 році «Касперський» зайнявся дослідженням і консалтингом у сфері блокчейнів, спершу зосередившись на публічних блокчейнах, включаючи Bitcoin та Ethereum.

Kaspersky працює з Крипто та завершив безпеку аудит торгової компанії Merkeleon у жовтні 2018 року.

У жовтні 2019 року Kaspersky також почав працювати з корпоративними блокчейнами. Покровський сказав CoinDesk, що компанія перевірила низку таких систем, лише дві з яких він міг назвати публічно: російський блокчейн-стартап Insolar і WAVES, який був перефокусування з публічних блокчейнів на приватні з минулого року.

Програмне забезпечення Kaspersky було перераховані серед 10 найкращих антивірусних продуктів у світі за версією PC Magazine у ​​березні, але це було заборонений від встановлення на комп’ютерах уряду США з 2017 року в рамках відповіді США на втручання Росії в президентські вибори 2016 року. Ця заборона призвела до падіння продажів у США та Європі, але вони розширилися в Росії та Африці. Kaspersky повідомили У 2018 році виручка зросла на 4%.

Аудит Kaspersky WAVES Enterprise тривав три місяці, з листопада 2019 року до кінця січня 2020 року. «Завданням було перевірити безпеку вузлів, мережевої інфраструктури та веб-інтерфейсів вузлів», — сказав Покровський.

Охоронна фірма провела те, що вона називає тестуванням «сірого ящика», під час якого тестувальник не має доступу до повного коду платформи блокчейн, але має доступ до системи на рівні адміністратора. Таке тестування виявить можливі внутрішні загрози, як-от колишній співробітник, який стає шахраєм.

Після завершення тестування Kaspersky надає клієнту список уразливостей, і клієнт усуває їх. Потім тестування проводиться знову.

Покровський не став розкривати, які недоліки потрібно було «виправити» в блокчейні WAVES Enterprise. (WAVES підтвердила, що найняла Касперського.)