Vectorii de atac blockchain: vulnerabilități ale celei mai sigure tehnologii
Blockchain-ul nu este chiar atât de sigur pe cât avem tendința de a crede. Deși securitatea este integrată în toată tehnologia blockchain, chiar și cele mai puternice blockchain sunt atacate de infractorii cibernetici moderni. Experții Apriorit au analizat deja atacurile asupra Coincheck, Verge și bursa Bancor, care au subminat foarte mult reputația blockchain-ului în sine.
Blockchain-urile pot rezista destul de bine atacurilor cibernetice tradiționale, dar infractorii cibernetici vin cu noi abordări special pentru hacking-ul tehnologiei blockchain. În acest articol, descriem principalii vectori de atac împotriva tehnologiei blockchain și aruncăm o privire asupra celor mai semnificative atacuri blockchain de până acum.
Dacă joci la cazino-uri online cu cripto și îți faci griji pentru monedele tale, https://5vulkanvegas.com/ro este unul dintre cele mai bune site-uri cu o securitate colosală.
Atacurile de rețea blockchain
O rețea blockchain include noduri care creează și rulează tranzacții și oferă alte servicii. De exemplu, rețeaua Bitcoin este formată din noduri care trimit și primesc tranzacții și minerii care adaugă tranzacții aprobate la blocuri. Infractorii cibernetici caută vulnerabilitățile rețelei și le exploatează cu următoarele tipuri de atacuri.
Refuzarea de serviciu distribuită
Atacurile de refuzare distribuită a serviciului (DDoS) sunt greu de executat într-o rețea blockchain, dar sunt posibile.
Atunci când atacă o rețea blockchain folosind DDoS, hackerii intenționează să distrugă un server consumând toate resursele sale de procesare cu numeroase solicitări. Atacatorii DDoS urmăresc să deconecteze pool-urile de minerit ale unei rețele, portofelele electronice, schimburile criptografice și alte servicii financiare. Un blockchain poate fi, de asemenea, piratat cu DDoS la nivelul său de aplicație folosind rețele botnet DDoS.
În 2017, Bitfinex a suferit un atac masiv DDoS. A fost deosebit de incomod pentru Fundația IOTA, care și-a lansat jetonul IOTA pe platformă cu o zi înainte ca Bitfinex să informeze utilizatorii despre atac. Trei ani mai târziu, în februarie 2020, Bitfinex a experimentat un alt atac DDoS la doar o zi după ce schimbul de criptomonede OKEx a observat un atac similar.
Atacurile de maleabilitatea tranzacțiilor
Un atac de maleabilitatea tranzacției are scopul de a păcăli victima să plătească de două ori. În rețeaua Bitcoin, fiecare tranzacție are un hash care este un ID de tranzacție. Dacă atacatorii reușesc să modifice ID-ul unei tranzacții, pot încerca să difuzeze tranzacția cu un hash modificat în rețea și să o confirme înainte de tranzacția inițială. Dacă acest lucru reușește, expeditorul va crede că tranzacția inițială a eșuat, în timp ce fondurile vor fi în continuare retrase din contul expeditorului. Iar daca expeditorul repeta tranzactia, aceeasi suma va fi debitata de doua ori. Acest hack are succes odată ce cele două tranzacții sunt confirmate de mineri.
Mt. Gox, o bursă de Bitcoin, a intrat în faliment ca urmare a unui atac de maleabilitate în 2014. Cu toate acestea, Bitcoin pare să fi rezolvat această problemă prin introducerea procesului Segregated Witness (SegWit), care separă datele de semnătură de tranzacțiile Bitcoin și le înlocuiește cu un angajament hash nemaleabil pentru fiecare semnătură.
Atacurile de portofel ale utilizatorilor
De fapt, blockchain-urile și securitatea cibernetică merg împreună ca sarea și piperul până când oamenii interacționează cu ele. Poate suna surprinzător, dar utilizatorii blockchain reprezintă cea mai mare amenințare de securitate. Oamenii știu despre utilizarea blockchain-ului în securitatea cibernetică și tind să supraestimeze securitatea blockchain-ului și să treacă cu vederea punctele slabe ale acestuia. Acreditările portofelului utilizatorului sunt ținta principală pentru infractorii cibernetici.
Pentru a obține acreditări pentru portofel, hackerii încearcă să folosească atât metode tradiționale, cum ar fi phishingul și atacurile de dicționar, cât și metode noi sofisticate, cum ar fi găsirea deficiențelor algoritmilor criptografici. Iată o prezentare generală a celor mai comune moduri de a ataca portofelele utilizatorilor.
Phishing
În 2018, a avut loc un atac asupra portofelelor IOTA inițiat cu iotaseed.io (acum offline), un generator de semințe online fals. Hackerii au desfășurat o campanie de phishing cu acest serviciu și au colectat jurnale cu semințe secrete. Drept urmare, în ianuarie 2018, hackerii au furat cu succes IOTA în valoare de peste 4 milioane de dolari din portofelele victimelor.
Dictionary Attacks
În timpul acestor atacuri, un hacker încearcă să spargă hash și sare criptografic al victimei încercând valorile hash ale parolelor comune, cum ar fi parola1. Prin traducerea parolelor cu text clar în hashuri criptografice, atacatorii pot găsi acreditări pentru portofel.
Attacks on Hot Wallets
Portofelele fierbinți sunt aplicații conectate la internet pentru stocarea cheilor criptografice private. Deși proprietarii de schimburi de criptomonede susțin că își păstrează datele utilizatorilor în portofelele deconectate de la web, un atac de 500 de milioane de dolari asupra Coincheck în 2018 a dovedit că acest lucru nu este întotdeauna adevărat.
În iunie 2019, un atac asupra GateHub a dus la acces neautorizat la zeci de portofele XRP native și furtul de active cripto. Bursa de criptomonede Bitrue, cu sediul în Singapore, a suferit, de asemenea, un atac de portofel aproape în același timp, din cauza unei vulnerabilități a sistemului. Drept urmare, hackerii au reușit să fure fonduri în valoare de peste 4,5 milioane USD în XRP și 237.500 USD în ADA.
Atacurile smart contract
Principalele probleme de securitate blockchain asociate cu contractele inteligente se referă la erori din codul sursă, mașina virtuală a unei rețele, mediul de rulare pentru contractele inteligente și blockchain-ul în sine. Să ne uităm la fiecare dintre acești vectori de atac.
Vulnerabilități în codul sursă al contractului
Dacă un contract inteligent are vulnerabilități în codul său sursă, acesta prezintă un risc pentru părțile care semnează contractul. De exemplu, erorile descoperite într-un contract Ethereum i-au costat proprietarilor săi 80 de milioane de dolari în 2016. Una dintre vulnerabilitățile comune din Solidity deschide posibilitatea de a delega controlul funcțiilor neîncrezătoare din alte contracte inteligente, cunoscut sub numele de atac de reintrare. În timpul acestui atac, contractul A apelează o funcție din contractul B care are un comportament nedefinit. La rândul său, contractul B poate apela o funcție din contractul A și o poate folosi în scopuri rău intenționate.
Acest material este proprietatea site-ului Mytex.ro si poate fi preluat pe site-ul dvs doar cu citarea sursei prin afisarea linkului catre articolul din site-ul mytex.