Недостатки системы без недостатков, или Уязвимости блокчейна
Ажиотаж, который образовался вокруг криптовалют и блокчейна, привлек не только сторонников и критиков новой технологии, но и киберпреступников. После того, как курс биткоина стал доходить до немыслимых отметок в $20,000, мошенники начали искать уязвимости блокчейна, и, что прискорбно для добросовестных пользователей, находить недостатки криптовалюты, связанные с ее хранением и переводом.
Атаки, которые связаны с блокчейном
Крипто-хакеры не дремлют, а днем и ночью и пытаются разрушить идеальную концепцию Сатоши, где говорится о том, что биткоин — децентрализованная система без контроля и регуляции со стороны правительства, банка и других обществ, которые в понимании обывателей связаны с экономикой. И это действительно так, ведь биткоин и блокчейн не несут и не могут нести ответственность за работу криптобирж или ненадлежащее хранение ключей доступа к кошелькам, где находится криптовалюта. Данную ситуацию можно сравнить с безопасностью вашей входной двери. Если вы закроете ее на замок и потеряете ключи, а воры найдут их и ограбят ваш дом, то это не будет значить, что замок плохой — виноват сам человек. Поэтому все блокчейн-угрозы связаны с невнимательностью, легкомысленным подходом к делу и безразличию к деталям крипто-безопасности.
Для предотвращения хакерских атак на криптовалютные инвестиции необходимо знать источники и векторы воздействия мошенников, которые проявляются на разных уровнях.
Воздействие на уровне сети
Популярная хакерская атака DDoS — Distributed Denial of Service, или распределенная атака типа «отказ в обслуживании», проводится в отношении хорошо защищенных компании. Киберпреступник действует по следующему алгоритму:
Сканирует сеть с помощью подготовленных сценариев (под каждый случай вырабатывается индивидуальный план), которые выявляют потенциально слабые узлы — ноды;
Выбранные ноды подвергаются атаке, хакер становится системным администратором сети;
На захваченные узлы устанавливаются троянские программы, которые работают в фоновом режиме и требуют дополнительного контроля;
По определенным командам от хакера зараженные компьютеры распространяют вирус на другие компьютеры, которые находятся в этой сети.
При DDos-атаке пользователи не подозревают, что их система заражена и передает данные мошенникам, поэтому именно этот прием нападения на крипто-проекты является одним из самых известных. Так, например, в марте 2018 года сеть платежных каналов второго уровня для блокчейна биткоина Litghtning Network подверглась DDоS-атаке. Организатором кибер-нападения стала анонимная группа BitPico, у которой был набор автоматизированных инструментов с функцией подключения к сотням нодов. Уязвимости разработчики Lightning Network тогда не обнаружили, но из строя было выведено 200 узлов, или 20% сети.
Другая известная атака — «атака Сивиллы» — получила свое название в 2002 году благодаря специалисту Microsoft Research Брайану Зилу. Он предложил переименовать псевдоспуфинг (бывшее название «атаки Сивиллы») в честь главной героини одноименной книги-бестселлера 80-х годов прошлого века, где девушка по имени Сивилла лечилась от диссоциативного расстройства личности. При данной болезни человек принимает на себя несколько типов поведения и может вести себя как женщина, мужчина, ребенок и другие. «Атаку Сивиллы» можно сравнить с психическим недугом, ведь в этом случае хакер присваивает одному ноду несколько идентификаторов и тем самым нарушает работу всей сети.
Если говорить об этом подробно, то в одноранговых сетях, таких как Bitcoin и Ethereum, нет доверенных нодов, поэтому каждый запрос пересылается нескольким получателям. В тот же момент пользователи могут иметь несколько идентификаторов из разных нодов, которые можно использовать для разделения общих ресурсов. Полученные копии создают избыточность, позволяют проверять принятые независимые из сети данные.
Но если смотреть на этот подход с другой стороны, то выходит так, что все доступные ноды, которые должны представлять разных получателей запроса, контролируются одним и тем же пользователем. Если он окажется мошенником, то следующие транзакции замкнутся на нодах-псевдонимах.
Данная атака набирает популярность, ведь децентрализованная сеть растет, и при большом количестве пользователей нецелесообразно требовать от каждого участника сети подтверждать владение своими идентификаторами, ведь это препятствует масштабируемости сети.
Еще одна разновидность атаки на уровне сети — Eclipse attack, или «атака информационного затмения». Данный вид кибер-нападения был подробно описан в докладе группы ученых из Бостонского и Еврейского университетов во главе с Этаном Хейлманом в 2015 году. Их исследование описывает причины первой атаки на сеть Bitcoin, а эксперимент, проведенный в рамках научной работы, демонстрирует уязвимость технологии. Позже Хейлман продемонстрировал возможность ведения эклипс-атаки в сети Ethereum и доказал, что вся система требует доработок.
«Атака информационного затмения» позволяет получить контроль над доступом к ноду и информации. При правильной манипуляции в одноранговой сети хакер может «затмить» ноды так, чтобы те контактировали только с зараженными нодами.
По сути, данное кибер-нападение является первой ступенью в организации «Атаки 51%». Работает «информационное затмение» следующим образом: сеть содержит 3 больших нода майнинга: два контрольных нода имеют по 30% мощности майнинга (в итоге 60%), а третий нод в 40% отвечает за остальную сеть. Если хакеру принадлежит сорокапроцентный нод, то злоумышленник может разбить 40% на два майнера так, чтобы они не смогли скомпоновать блоки друг друга. В результате блокчейн злоумышленника становится цепочкой всего консенсусного блока. После этого можно манипулировать нодом и сделать так, чтобы все его исходящие соединения были связана с атакующими IP-адресами. Для этого нужно заполнить одноранговые таблицы нода зараженными адресами, перезапустить текущие соединения всех пользователей (это происходит часто из-за обновлений ПО и прочего) и создать новые соединения только для IP преступников.
Воздействия на уровне пользователя
Основным и самым простым инструментом современного блокчейн-хакера являются ботнеты, которые распространяются через дроперы — специальные анонимные зловредные программы, которые маскируются под пиратские версии линцензионных программ. Как известно, для майнинга требуется время и большие вычислительные и энергетические мощности. Для экономии ресурсов крипто-хакеры заражают компьютеры других пользователей сети. В итоге посторонние люди приносят огромный доход киберпреступникам и не подозревают об этом. Так, например, ботнет под названием Smominru для майнинга Monero за полгода заразил более полумиллиона серверов по всему миру и принес 8900 XMR, или $2 миллиона.
Уязвимость на уровне пользователя с юридической точки зрения связана с деанонимизацией участников рынка. Так как блокчейн-адреса не привязаны к личности и все проводимые транзакции не требуют раскрытия участников сделки, крипто-мошенники начинают пользоваться этими преимуществами в своих корыстных целях. Если злоумышленник подключит зараженные ноды к сети, то появится возможность проследить источник совершения транзакций. Кроме того, анонимность блокчейна позволяет осуществлять сделки между террористами и другими преступниками, которые занимаются незаконной деятельностью.
Воздействия на уровне майнинга
О самой популярной угрозе на уровне майнинга, которая называется «Атака 51%», мы писали в апреле этого года, когда сеть анонимной криптовалюты Verge оказалась под контролем мошенников. Напомним, что несколько месяцев назад данная атака произошла из-за бага в коде. 22 мая злоумышленники снова атаковали Verge, проблема затронула все пулы и всех майнеров, из-за этого происходило отторжение всех корректных транзакций. Вероятно, махинация проводилась между блоками 2155850 и 2206272, что позволило похитить 35 миллионов токенов XVG, или $1.75 миллиона, всего за несколько часов.
Еще одно воздействие на уровне майнинга — Double spending, или двойная трата, которая подразумевает под собой дважды успешное использование одних и тех же средств. В принципе, биткоин защищен от данной уязвимости благодаря верификации каждой транзакции с помощью алгоритма консенсуса Proof-of-Work (PoW), и только после минимум трех подтверждений совершенный платеж добавляется в цепочку блоков. Но в 2013 году в системе Bitcoin совершился сбой: клиентская программа 0.7, которая была установлена у многих пользователей, перестала обновлять записи блоков. Вышедшая за месяц до этого версия 0.8 продолжала функционировать в штатном режиме. Проблема заключалась в том, что очередной блок под номером 225430 был подтвержден клиентами Bitcoin 0.8, но не принят клиентами Bitcoin 0.7. Благодаря этому разветвлению майнер совершил двойную трату монет на сумму $10,000.
Проблемой будущего можно назвать Selfish mining, или селфиш-майнинг — стратегия добычи биткоина, когда пользователи сети по особой договоренности объединяются в группы в целях увеличения собственного дохода. Данное воздействие может централизовать сеть и убить изначальную концепцию децентрализованной системы. Объединение всех мощностей происходит в Китае, ведь именно эта страна добывает две трети всех биткоинов в мире. Если селфиш-майнинг не прекратится, то все участники блокчейн-рынка окажутся на том же месте, откуда ушли, то есть вернут централизованную экономику в измененном электронном формате.
Атаки, которые не зависят от блокчейна
Существуют те методы кибератак, которые можно применить ко всем технологиям, связанным с сетью. Данные приемы мошенников не являются замысловатой формулой похищения денег. Но организаторы блокчейн-проектов часто забывают именно о банальных способах взлома и становятся жертвами преступников. Чтобы этого не случилось, важно помнить список атак, которые могут навредить инфраструктуре вне зависимости от использования блокчейна.
Фишинг — один из самых популярных видов интернет-мошенничества. Он появился в 90-х годах прошлого века, но до сих пор пользуется популярностью. По данным Group-IB, в 2017 году более 50% средств из блокчейн-проектов украли при помощи фишинга. В классическом варианте атака реализуется посредством спам-рассылки: на электронную почту от лица известных компаний рассылаются письма с просьбой подтвердить данные пользователя. Люди проходят по ссылкам и тем самым передают хакерам свои логины и пароли.
Но мошенники не остановились на копировании учетных записей и стали подделывать сайты блокчейн-проектов. Благодаря фишингу в апреле 2018 года хакеры похитили $150 миллионов с адресов криптовалютного кошелька MyEtherWallet. Киберпреступники действовали по следующему алгоритму:
Зарегестрировали похожий домен www.mye1herwa11et.com на настоящий сайт www.myetherwallet.com;
Сделали копию содержания сайта и подменили адрес кошелька;
Дали рекламу в интернете;
Перехватили и перенаправили всех пользователей настоящего кошелька на свой сайт.
Способ защиты от фишинга довольно простой — внимательно проверять все символы в названии домена, заходить на сайт через закладки, либо каждый раз брать ссылку из сохраненного текстового документа.
Дефейс — при этой целенаправленной атаке хакеры взламывают сайты блокчейн-проектов и меняют адреса для сбора средств на ссылки своих кошельков. В июле 2017 года израильский стартап CoinDash подвергся дефейсу, и на первых трех минутах ICO проект потерял около 40,000 монет Ethereum, или более $7 миллионов по курсу на период взлома.
Взломы сайтов блокчейн-проектов осуществляются благодаря слабым паролям. Чтобы предотвратить атаку, необходимо использовать сложные защитные ключи и двухфакторную аутентификацию.
Атака с социальным вектором подразумевает под собой воровство монет у пользователей блокчейн-проекта с помощью методов социальной инженерии. Мошенники, как при фишинге, представляются сотрудниками компании и вынуждают выдать конфиденциальную информацию.
Другие уязвимости
Выше представлена лишь часть уязвимостей, которые связаны с блокчейн-индустрией и человеческими факторами. Хакеры могут похитить ваши пароли от крипто-кошельков, взломать крипто-биржи, изменить системное время… Заметьте, все атаки связаны с воздействием на пользовательском уровне, а не с самой технологией, которая защищена от взломов и несанкционированных действий.