Как хакерам удавалось похищать биткоины с кошельков Blockchain.info. Блокчейн взлом


Как взломать блокчейн (и кто на это способен) | Аналитика

Рассказываем, какие технические уязвимости есть у блокчейна.

В наше время взломы, сопровождающиеся кражей информации, — от Equifax до WannaCry, — становятся нормой; устаревшая интернет-инфраструктура явно не справляется с предотвращением сложных кибератак, так что не стоит тешить себя иллюзией безопасности.

Новости о взломах и краже личных данных появляются все чаще, и все чаще оказывается, что те, кому мы доверили информацию о себе, не умеют или не хотят ее защищать. Становится понятно, что так долго и верно служившие нам централизованные системы уже не выполняют своих функций.

Блокчейн обещает решить эти проблемы, позволяя не полагаться на доверие в отношениях, связанных с хранением цифрового контента и доступом к нему. Мощная криптография, используемая в блокчейне, позволяет индивиду самому контролировать распространение своей информации, не отдавая эту власть платформам.

Но блокчейн не неуязвим. Однако слабые стороны есть у любой технологии, и блокчейн не исключение. Здесь мы рассмотрим возможные векторы атаки (в порядке возрастания угрозы) с примерами из короткой, но захватывающей истории криптовалют.

Атака Сивиллы

Как взломать блокчейн (и кто на это способен)

Это случай, когда огромное количество узлов в сети принадлежит одному игроку, который пытается нарушить ее работу, создавая ложные транзакции или манипулируя данными корректных транзакций при их передаче.

Это теоретическая опасность; защита была положена в основу проекта криптовалютной системы при ее разработке.

В случае с биткоином защитной мерой служит алгоритм доказательства выполнения работы, требующий от узла тратить на получение монет много ресурсов, а значит, быть владельцем множества узлов очень дорого. В разных проектах защита от этой атаки устроена по-разному, но почти везде она в том или ином виде реализована.

Атака маршрутизации

Эта атака возможна в случае недобросовестности или взлома интернет-провайдера. Хотя технически узел сети Bitcoin (или другой криптовалютной сети) можно запустить в любой точке мира, на практике они довольно заметно централизованы.

Согласно исследованиям ETHZurich, 30% сети Bitcoin подключается к интернету через всего 13 провайдеров, а 60% трафика всех транзакций в сети — это всего 3 провайдера. Представьте, что один из них будет взломан.

В случае атаки перехватывается интернет-трафик между так называемыми автономными системами, то есть обособленными сегментами интернета — их немного, поэтому это относительно просто. Это обычное, если не ежедневное явление, и, безусловно, оно может быть использовано против биткоина или другой криптовалюты.

В таком случае криптовалютная сеть разделяется на две (или более) отдельные сети, которые становятся уязвимыми для атак, поскольку не могут связываться со всей сетью для проверки транзакций. После того как монеты будут потрачены в одной части сети, а услуги или товары получены, можно убрать разделение, и более короткая цепочка, принадлежащая части, будет отброшена, а все транзакции уничтожены.

Насколько нам известно, таких атак до сих пор не было, и от них можно защититься.

Прямой отказ в обслуживании

При атаке с прямым отказом в обслуживании (DDoS) злоумышленник пытается затруднить работу любого сервера, от веб-сайта до узла сети Bitcoin, перегружая его потоком запросов. Это одна из наиболее распространенных атак, поскольку купить такого рода сервис у хакеров несложно.

Как взломать блокчейн (и кто на это способен)

В случае с веб-сайтом это выглядит как огромный и непрерывный (в течение какого-то времени) поток запросов, обработка которых не оставляет серверу ресурсов на обслуживание запросов настоящих пользователей. В случае с Bitcoin-узлом это огромные объемы небольших или недействительных транзакций, и под их нагрузкой сеть или узел также перестает успевать обрабатывать настоящие транзакции.

Крупные сети вроде Bitcoin постоянно подвергаются DDoS-атакам, но архитектура этой сети нацелена на снижение вреда в подобных случаях. Успешная DDoS-атака не грозит кражей информации или другими проблемами с безопасностью — сеть просто временно прекращает работать.

История DDoS биткоина

Тем не менее перерыв в обслуживании может быть использован как вспомогательный инструмент, и с 2015 по 2017 год было предпринято несколько попыток заспамить биткоин.

В июне 2015 года Coinwallet.eu (ныне несуществующая компания, поддерживавшая криптовалютный кошелек) провела «стресс-тест» сети Bitcoin. В тот момент бушевала дискуссия об изменении размера блока, и в компании заявили, что эти тысячи транзакций были отправлены с целью показать, что увеличение блока необходимо, поскольку в текущей ситуации провести широкомасштабную спам-атаку в сети очень легко".

Спустя месяц была проведена еще одна атака, названная «Наводнение» — одновременно в сеть Bitcoin были отправлены 80 тыс. крошечных транзакций, что создало сильные задержки, от которых удалось избавиться только благодаря одному из крупнейших в то время майнеров F2Pool, который выделил для объединения и обработки всех спам-транзакций целый блок.

Согласно анализу LaurentMT, создателю аналитического инструмента для биткоина под названием OXT, в течение следующего года в сеть было отправлено много тысяч или даже миллионов спам-транзакций (в основном это были крошечные, бесполезные транзакции, которые не были похожи на настоящие). Они забивали очередь, но в основном игнорировались основными пулами майнеров.

Как взломать блокчейн (и кто на это способен)

Так все и шло, пока во второй половине 2016 года внезапно и одновременно основные пулы майнеров не начали включать эти спам-транзакции в блоки, уменьшая пропускную способность для нормальных транзакций — это произошло на фоне новой волны дискуссии по поводу размера блока, и, по слухам, эти пулы были как раз сторонниками увеличения блока.

Со временем сеть поборола это отставание, а сторонники увеличения блока перешли на Bitcoin Cash.

Биткоин и Bitcoin Cash: Хроника войны

Атака 51%

Так как безопасность блокчейна напрямую связана с компьютерными мощностями, участвующими в сети, существует угроза того, что злоумышленник получит контроль над большей частью хеширующей мощности — тогда он сможет подтверждать блоки быстрее остальной сети, а это путь к безнаказанному двойному расходованию.

Двойное расходование — это метод мошенничества с криптовалютой, когда транзакция отправляется в блокчейн, в обмен на средства получаются товары или услуги, а потом делается новая копия блокчейна прямо перед транзакцией, которая за счет контроля большей части хеширующей мощности сети признается как основная. Таким образом, в блокчейне больше нет этой транзакции, и те же самые монеты можно потратить еще раз.

Тем не менее контроль большей части хеширующей мощности не позволяет злоумышленнику создавать монеты из воздуха, получать доступ к чужим кошелькам или как-то иначе компрометировать сеть, так что ущерб от этой атаки ограничен. Хуже всего может быть потеря доверия к атакуемой сети и падение стоимости токенов.

Подобная мажоритарная атака очень дорога, так что реальная опасность существует лишь в небольших сетях. Крупным криптовалютам вроде биткоина не следует бояться атаки 51%: любому, кто контролирует подавляющую часть хеширующих мощностей, будет выгоднее просто майнить блоки и получать биткоины, а не вредить сети, поскольку, как только об атаке станет известно, стоимость украденных токенов сильно упадет.

Реальные случаи атаки 51%

Как взломать блокчейн (и кто на это способен)

Один из наиболее интересных случаев — действия группы хакеров, называвших себя 51 Crew («Экипаж 51»). Во второй половине 2016 года они начали проводить клонирование Ethereum-сетей, требуя выкупа — низкая сложность майнинга была им на руку, а кроме того, они арендовали вычислительные мощности.

Они заявляли, что не намерены разрушать эти проекты и хотят просто заработать денег, и в обмен на прекращение своей деятельности требовали выкуп в биткоинах. Если бы требования не были выполнены, хакеры бы клонировали блокчейн в точке, предшествовавшей крупной продаже на биржах.

Оба проекта, ныне несуществующий Krypton и здравствующий, хоть и непопулярный, Shift, отказались заплатить выкуп, и их блокчейны были клонированы. Команды проектов постарались усилить децентрализацию сети и внесли изменения в протоколы, чтобы предотвратить подобные случаи, но уже задним числом.

Криптографические уязвимости

Вышеописанные атаки касались либо двойного расходования, либо перебоев в обслуживании. Они очень дороги в реализации, и при этом блокчейн-сети им успешно сопротивляются в силу своей архитектуры. Да, они могут поколебать уверенность в криптовалюте и привести к небольшой потере средств, но это не беда.

Как и в любой компьютерной системе или сети, самой большой уязвимостью является человеческий фактор. До сих пор основные потери средств происходили за счет ошибок в ПО самой криптовалюты — и квалифицированные хакеры находили их и использовали.

DAO

Как взломать блокчейн (и кто на это способен)

Возможно, наиболее известный пример атаки такого рода, это взлом Ethereum DAO — он сильно повлиял на развитие молодого тогда проекта Ethereum, и его последствия проявляются и по сей день.

DAO (Децентрализованная автономная организация) была распределенной организацией, построенной на смарт-контрактах поверх сети Ethereum. Идея заключалась в том, чтобы дать всем возможность инвестировать в компанию и голосовать за финансирование тех или иных проектов, причем система была бы безопасной и полностью автоматической за счет код смарт-контракта DAO.

Если вы инвестировали в DAO (купив токены DAO), а затем решили выйти, можно было обменять токены DAO обратно на эфир, это называлось «раздельный возврат», и 17 июня 2016 года этот механизм был взломан.

«Раздельный возврат» — это двухэтапный процесс: сначала нужное количество эфира возвращается держателю токена, запустившему возврат, затем система забирает токены и регистрирует транзакцию в блокчейне, чтобы обновить баланс токена DAO.

Неизвестный хакер понял, что может обмануть систему и совершить первый шаг без второго, что позволило ему вывести эфиры на сумму 50 млн долларов из DAO в отдельный DAO, контролируемый только атакующим.

Сообщество Ethereum разработало план мягкого ветвления ( софтфорка) и возврата денег. Мягкое ветвление было бы очень щадящим, обратно совместимым и просто «стерло» бы DAO-хак из блокчейна, но, когда план был разработан, стало понятно, что он не поможет, и что нужен хардфорк. В результате был создан Ethereum Classic (ETC), который представлял собой продолжение первоначального блокчейна Ethereum с учетом взлома DAO, и просто Ethereum (ETH), где этого взлома не было.

Ethereum и Ethereum Classic: Как одна криптовалюта превратилась в две

Настоящая угроза — это пользователи

Как взломать блокчейн (и кто на это способен)

Технология блокчейн очень надежна, и успешных атак против нее в истории было очень немного — и тем не менее у пользователи украли уже огромное количество криптовалюты.

Большинство криптовалют никогда никем не взламывались, а вот у кошельков, бирж и аккаунтов на сторонних сервисах регулярно обнаруживаются проблемы с безопасностью — на протяжении последних лет со скомпрометированных счетов были украдены миллионы и миллиарды долларов в криптовалюте.

Да, вышеописанные атаки носят в основном теоретический характер, и от них защищаются, а вот от беспечности людей защиты нет. Люди используют везде один пароль, попадаются на удочку фишеров, а операторы сайтов и сотрудники бирж делают ошибки, так что «точкой отказа» криптоэкономики является именно человек.

Хакеры, фишинг и кейлоггеры: Как защитить свою криптовалюту

Возможно, со временем мы увидим успешную атаку непосредственно на блокчейн. Ее автором будет какая-то огромная организация, правительство или корпорация, и это будет сделано с целью подорвать доверие к этим новым технологиям хранения и передачи ценности. Тем не менее в долгосрочной перспективе подобные атаки будут лишь способствовать большей зрелости технологии.

Но сначала нам нужно сильно изменить подход к удобству и безопасности пользователей, чтобы криптовалюты пошли в массы. Пока случайно утраченный пароль или оставленный открытым ноутбук могут привести к потере всех сбережений, никакого всеобщего проникновения криптовалют мы не увидим.

Подготовила Тая Арянова

ru.ihodl.com

Как хакерам удавалось похищать биткоины с кошельков Blockchain.info

Недавно многие владельцы кошельков на Blockchain.info стали сообщать, что их счета были взломаны, и биткоины с них были похищены. С чем же был связан скачок хакерских атак на аккаунты в Blockchain.info?

Согласно данным компании, пользователи задавали 3 самых популярных вопроса по безопасности кошельков на сервисе: о вредоносных узлах, о слабости системы управления паролями и о сложных фишинг-атаках.

Используя разные пароли для разных учетных записей, и при этом достаточно сложные, можно добиться должного уровня безопасности своих личных данных и финансов.

Фишинг-атак можно избежать, если выходить на Blockchain.info путем набора его адреса в вашем браузере, а не через ссылку из поисковика. Уже сообщалось о распространенной фишинг-атаке против Blockchain.info, при которой в верхней рекламной части главной страницы Google вылезала ссылка на фишинговый сайт. К сожалению, достаточно много пользователей смогло попасться на такую уловку, прежде чем компания смогла оперативно разместить информацию о данной атаке на информационных ресурсах в сети и информировать о ней Google, благодаря чему фишинг-сайты были быстро удалены из поисковика.

Третья из самых важных проблем безопасности, которая привела к массовым потерям биткоинов, состояла в использовании вредоносных узлов в сети Tor. Нападение было выполнено с использованием так называемой атаки «Человек посередине» или MITM-атаки. Проще говоря, у узла нет данных о точке выхода трафика, но он может перехватить трафик в случае отсутствия шифрования. Получив доступ к трафику, злоумышленники получают возможность извлечь из него номер кошелька и пароль жертвы. Blockchain, как и многие другие сайты, пользователям которых пересылают конфиденциальную информацию об учетной записи, использует протокол SSL для шифрования трафика. По этой причине, даже если кто-то получит доступ к трафику, он не сможет получить из него пароли и другие данные.

https-blockchain

Однако злоумышленникам удалось нарушить работу SSL на blockchain.info через подконтрольный им выходной узел сети Tor. Те пользователи, кто столкнулся с этим, могли увидеть, что их подключение шло через http, а не через https. Это означало, что данные не шифровались, и они становились жертвами MITM-атаки.

Сразу вслед за этим Blockchain создали специальное .onion-зеркало в сети Tor по адресу blockchatvqztbll.onion, обеспечивающее полноценное шифрование и целостность данных. Кроме того, похоже, им удалось исправить баг, при котором можно было подключиться к SSL-версии сайта, который имел уязвимость. Это еще одна мера профилактики, что бы избежать MITM-атаки.

When using your #Blockchain wallet via #Tor, you can now access us through this .onion link: http://blockchatvqztbll.onion/ @torproject

— Blockchain (@blockchain) November 29, 2014

Blockchain.info стали использовать то, что называется HSTS. Эта система заставляет весь запрос пройти через HTTPS, если ранее к сайту когда-то было обращение через защищенное соединение. Теперь, как только кто-то пытается получить доступ к сайту через http, его принудительно переадресовывают на защищенное соединение. В итоге злоумышленники просто будут бессмысленно заниматься редиректом ненужных данных.

Blockchain.info могут также сделать следующее: установить на сайте статическую страницу для любого входящего соединения через HTTP, сообщающую пользователю о необходимости подключения через защищенный канал. В итоге будет сформирован заголовок HSTS, и пользователь попадет на сайт через защищенное соединение с шифровкой данных.

В целом Blockchain.info – это надежный онлайн-кошелек. Они смогли не только выявить проблемы, но и решить их. Сервис рекомендуется как новичкам, так и опытным пользователям биткоина.

Будьте внимательны и осторожны, относитесь к безопасности ваших биткоинов должным образом.

coinspot.io

Можно ли взломать биткоин-кошелек?

Не так давно некоторому количеству пользователей японской криптобиржи Zaif сказочно повезло: из-за технического сбоя в работе биржи у них неожиданно появилась 20-минутная возможность получить биткоины «бесплатно».

Чем незамедлительно и воспользовались несколько человек. По сообщению национальной японской газеты Asahi Shimbun, компания практически сразу отменила ошибочные транзакции и скорректировала счета пользователей. Однако с одним из семи счастливчиков до сих пор ведутся переговоры о возврате средств.

Было ли это кражей биткоинов?

С юридической точки зрения, – видимо, да. Однако технически получившие «бесплатные» биткоины не взламывали чужие кошельки, а лишь вовремя воспользовались технологической ошибкой.

И в самом деле: как украсть биткоин? Возможно ли это хотя бы в принципе?

И да, и нет.

Получить доступ к чужому биткоин-кошельку можно только одним путём: тем или иным способом выяснить так называемый Privat Key, то есть приватный ключ пользователя.

Других вариантов украсть биткоины попросту нет. Однако биткоины пытаются украсть. Точнее, интересуются, можно ли это сделать и как: на запрос «как взломать биткоин» Яндекс выдаёт больше 25 миллионов страниц. А вот западные пользователи то ли уже убедились, что это невозможно, то ли им это не нужно – в выдаче Google по запросу «How to crack bitcoin» всего 559 тысяч результатов. Напомним, что приватный ключ - это простое число от одного до 1077.

Даже если бы существовала возможность перебирать один триллион приватных ключей в секунду, хакеру понадобилось бы более миллиона возрастов нашей Вселенной, чтобы просчитать все. Не говоря уже о том, что на это не хватило бы вычислительной мощности всех, существующих у пользователей, компьютеров.

Впрочем, эксперт по информационной безопасности Райан Кастелуччи из фирмы White Ops (США) убеждён, что украсть биткоины из кошельков, созданных по технологии "brainwallet", когда кодовая фраза хранится только в памяти пользователя, всё же можно. Brainwallet использует фразу, преобразует её в закрытый ключ, открытый ключ и, наконец, в адрес. Биткоин-адрес записывается в блокчейн как хэш закрытого ключа, созданного на основе пароля. Хэш-пароль для аутентификации на веб-сайте поможет определить слово или фразу, сравнив её с оригиналом. По мнению Райана Кастелуччи, эти данные могут быть использованы хакерами.

Более того, эксперт создал программу Brainflayer, которая, как оказалось, может перебирать пароли с частотой 130 тысяч раз в секунду. Запуск Brainflayer на мощных компьютерах, например, в арендованном облаке, как утверждает Райан Кастелуччи, увеличивает скорость перебора до 560 миллионов фраз в секунду.

По словам Кастелуччи, главная проблема заключается в том, что люди выбирают не настолько надёжные фразы, как им может показаться.

В то же время Кастеллуччи убежден, что подобрать закрытый ключ невозможно. «Обычный закрытый ключ слишком длинный, чтобы его можно было как-то угадать или подобрать», – считает он, – Но если хакеры угадают вашу фразу-пароль, они получат доступ к кошельку, потому что на самом деле из людей выходит довольно скверный генератор случайных чисел».

Справедливости ради, заметим: эксперт продемонстрировал возможности Brainflayer уже несколько лет назад, но до сих пор ни одной успешной кражи средств из биткоин-кошелька так и не зафиксировано. И тем не менее, биткоины воруют. Правда, не простые пользователи, а хакеры.

И, поскольку простой перебор вариантов, как уже было сказано, – дело безнадежное, хакеры идут другим путём.

Злоумышленники атакуют сервисы, использующие биткоины, интернет-магазины и криптовалютные биржи, получая доступ к базе данных транзакций. Время от времени им это удаётся.

До сих пор самой крупной и нераскрытой считается кража, совершённая в 2014 году. Владельцы криптовалютной биржи Mt.Gox признали, что в течение нескольких лет с биржи были украдены 744 408 биткоинов – по тогдашнему курсу 460 миллионов долларов.

По информации Mt.Gox, хакеры использовали некий баг в системе транзакций, который существовал с первого дня работы биржи и переводили небольшие суммы денег на свои счета. Среди интернет-пользователей даже появилась версия, что кражу совершил один из сотрудников биржи.

2 августа 2016 года злоумышленники взломали гонгконгскую биржу Bitfinex, похитив 119 756 биткоинов (72 миллиона долларов). Проблема заключалась в том, что система безопасности Bitfinex имела серьёзную уязвимость. В качестве попечителя биржа использовала компанию BitGo, а ключи от биткоин-кошельков пользователей хранились в трёх местах: на серверах биржи и BitGo, а также в хранилище без доступа в интернет. Хакеры каким-то образом смогли обойти защиту BitGo и получили доступ к тысячам кошельков клиентов. Кроме того, они переписали алгоритмы BitGo и сняли ограничение на сумму выводимых средств.

Другими словами, в обоих описываемых случаях взломать биткоин-кошельки пользователей удалось не из-за недостатков биткоин-системы как таковой, а в связи с наличием проблем с информационной безопасностью конкретных бирж. Нельзя исключить того, что подобные прецеденты будут продолжаться и в дальнейшем. Правда, воспользоваться украденной криптой не так-то просто.

Напомним, как работает блокчейн-система.

Блокчейн – это публичная база всех транзакций, когда-либо совершённых в системе расчётов. Данные объединяются в блоки, которые соединяются в цепочку с помощью математических алгоритмов, а каждый блок связан с предыдущим. Процесс шифрования выполняется огромным количеством компьютеров, работающих в одной сети и, если в результате их расчётов, они получают одинаковый результат, блоку присваивается уникальная цифровая подпись.

При этом реестр записей обновляется у всех пользователей в сети одновременно, а блокчейн-сеть автоматически проверяет сама себя с определённым временным интервалом и согласовывает каждую происходящую транзакцию.

Вернуть потерянные средства невозможно (по крайней мере, пока), но узнать, на чей адрес переведена криптовалюта, не составляет особого труда.

Чтобы «легализовать» украденное, в Deep Web есть сервисы так называемых «миксеров». Биткоины проходят через сеть специальных кошельков (переводы осуществляются при помощи определённых адресов) и в итоге попросту теряются среди реальных платежей.

blockchain.ru

Криптовалюта Dash приглашает… взломать свой блокчейн / Хабр

Цифровая валюта Dash голосованием сообщества через Систему самофинансирования одобрила найм краудсорсинговой команды тестеров Bugcrowd для выявления уязвимостей в открытом коде своего программного обеспечения. Тысячи независимых исследователей Bugcrowd будут работать над выявлением потенциальных уязвимостей, которые Bugcrowd будет сортировать, проявлять, а затем предоставлять команде Dash Core для исправления. Сначала процесс будет вестись в закрытом режиме — доступ будет только у специалистов по приглашению, а затем это трансформируется в публичную программу, когда следующий релиз Dash Эволюция будет готов к запуску.

“Наша цель – стать более безопасной и защищённой платёжной сетью”, – говорит Джим Бёрш, создатель бюджетных предложений «Dashincubator» и «Bugcrowd». “Речь идёт о деньгах – цифровом эквиваленте реальных наличных средств. Значительные суммы цифровых денег порождают мощный стимул для воров активизироваться в глобальном масштабе.

Этот проект Dash похож на создание банковского хранилища с последующим приглашением «грабителей элитных банков» для участия в проектировании его защиты, чтобы он впоследствии не мог быть ограблен другими преступниками.”

“Поскольку криптовалюта Dash развивается динамично и привлекает к себе всё больше внимания, то выявление и своевременное устранение уязвимостей становится абсолютно необходимо”, – говорит генеральный директор DAO «Dash Core» Райан Тейлор. “Программы поиска багов – это свежий взгляд на код, и он гарантирует, что “белые” хакеры помогут выявить любые недостатки в нашей системе безопасности. Предоставление сильных стимулов для привлечения опытных программистов является одним из многих инструментов, которыми мы располагаем, чтобы обеспечить максимальную надёжность кодовой базы Dash.”

В Bugcrowd сейчас участвуют уже более 60.000 различных исследователей. В среднем за две недели своей работы они обнаруживают около пяти критических уязвимостей, 70 уникальных уязвимостей и 200 глобальных уязвимостей.

“В настоящее время наблюдается огромный дефицит специалистов по кибербезопасности”, – говорит генеральный директор Bugcrowd Кейси Эллис. “Сопоставьте это с расширяющейся набором векторов атак, и вы поймёте, почему компании оказываются в невыгодном с точки зрения безопасности положении.”

“Мы накопили солидный ресурс профессиональных исследователей и многолетний опыт управления очень сложными программами. Мы живём в эпоху цифровых преобразований, а криптовалюта – это следующий этап в этой эволюции. Учитывая глобализацию и распределение рабочей силы, разумно предположить, что спрос на криптовалюты будет расти.”

Райан Тейлор из команды Dash Core уверен, что этот проект поможет улучшить продукт, который в настоящее время находится в разработке.

“Наш знаковый предстоящий релиз – Dash Эволюция – нацелен на то, чтобы полностью переосмыслить функционирование цифровой валюты, и он будет доступен для альфа-тестирования уже в Декабре 2017. Он демонстрирует, как оптимизация пользовательского опыта требует значительных изменений в базовых технологиях. Чем больше улучшений Dash вносит в оригинальный код Биткойна, на котором Dash базируется, тем ближе мы становимся к тому, что наш продукт будет соответствовать самым высоким стандартам. Поскольку цифровые валюты содержат в себе большую ценность и облегчают денежные переводы, крайне важно принять все возможные меры, чтобы быть абсолютно уверенными в том, что выявлены все, даже незначительные ошибки программного обеспечения.”

“Независимо от своего размера, организации, пытающиеся самостоятельно выявлять уязвимости в своём ПО, быстро понимают, что это очень сложная задача”», – говорит г-н Эллис. «Определение проблемных областей, определение уровней доступа, создание программы управления выявлением уязвимостей и даже определение сроков устранения проблем в рамках этой программы – всё это требует времени и ресурсов как при запуске программы, так и на постоянной основе по мере её развития. Выбрав Bugcrowd для управления поиском багов, команда Dash отделила свою работу от этого процесса, так что всё, что они увидят, – это результаты.”

habr.com

Проблемы, с которыми блокчейн сталкивался в 2017 году

Новичков, да и более опытных пользователей, с головой окунувшихся в блокчейн-сектор, буквально забрасывают диковинными техническими терминами и понятиями. Нередко эти люди становятся жертвами хакеров и мошенников. Речь идёт о разных преступлениях такого рода: многие выделяются своими масштабами и последствиями, а также тем, что по ним можно судить о состоянии блокчейн-технологий и всего сектора криптовалют.

Coindesk собрал список самых нашумевших взломов, краж и денежных потерь уходящего года.

Последствия всех этих преступлений, больших и малых, сложно считать заслуживающими исключительно академического интереса. Будь то банальный взлом кошелька, мошенничество с ICO или вирус в программном коде, в целом инвесторы потеряли миллионы. Часть этих средств была похищена в ходе эпизодов, о которых рассказывается ниже.

Отметим, что ни один из преступников не был пойман или даже идентифицирован, и вряд ли средства будут найдены и возвращены законным владельцам.

Взлом CoinDash

CoinDash, социальная платформа по управлению инвестиционными портфолио, запустила этим летом ICO, но проект быстро сбавил обороты после того, как его эфириум-адрес взломали и изменили хакеры.

В результате $7,3 млн., которые стартап успел получить на момент взлома, ушли в неизвестном направлении. Компания закрыла ICO, но пообещала разослать инвесторам фирменные токены CDT в качестве компенсации.

Хотя после взлома компания объявила, что прекращает принимать средства, инвесторы продолжали слать деньги на взломанный адрес, и сумма похищенного выросла с $7 млн. до $10 млн.

В целом этот инцидент демонстрирует сложности, с которыми сталкиваются ICO: даже привлекая солидные средства, они вынуждены считаться с несовершенством экспериментальных технологий.

Взлом кошелька Parity

Этот год стал периодом испытаний для сервиса эфириум-кошельков Parity.

Проблемы начались в июле, когда английский стартап обнаружил уязвимость в версии программного обеспечения кошелька 1.5. Воспользовавшись ею, злоумышленники похитили со счетов клиентов по меньшей мере 150 000 ETH.

В то время украденный эфир стоил около $30 млн., а к середине декабря подорожал до $105 млн.

Проблему оценили как критическую. Технический директор Parity Гэвин Вуд заявил о наличии как минимум трёх взломанных адресов и заверил, что компания предупредит дальнейшие потери.

Как выяснилось позже, более 70 000 ETH уже были обналичены или иначе изъяты из обращения, что сделало их потерю безвозвратной.

Мошенничество на базе проекта Enigma

Трудности в сфере ICO не ограничивались взломанными адресами.

Так, в конце лета преступники получили доступ к веб-сайту, списку рассылок и аккаунту администратора на канале Slack, принадлежащем блокчейн-стартапу Enigma. В августе мошенники запустили предварительную продажу поддельных токенов и выманили у потенциальных инвесторов 1500 ETH.

Захваченные мошенниками аккаунты сулили инвесторам солидную прибыль. Маскируясь под настоящих операторов проекта, преступники сумели убедить доверчивых клиентов перевести сайту значительные суммы.

Команда Enigma смогла восстановить контроль над аккаунтами компании, однако эфириум-кошельки уже были пусты, и средства так и не удалось вернуть.

«Заморозка» кошелька Parity

Следующий эпизод является, возможно, самым серьёзным инцидентом такого рода в нынешнем году. Кроме того, это один из тех немногих случаев, когда наличие злого умысла осталось не вполне доказанным.

В ноябре пользователь Parity неожиданно обнаружил в программном коде вирус, заморозивший эфира более чем на $275 млн.

Поскольку речь идёт об одном из двух самых популярных клиентских платформ эфириума, брешь в защите вызвала вопросы о параметрах центрального компонента сетевой инфраструктуры. Многие поставили под сомнение надёжность оказываемых компанией услуг. Этот инцидент подкинул дров в печь критики эфириума как такового.

Разрабатывая новые версии ПО, девелоперы попытались вернуть средства, однако считается, что успех потребует обновления ПО всеми пользователями эфириума.

Взлом хранилища токенов Tether

В ходе ещё одного инцидента, который нельзя считать исчерпанным, более $30 млн. было похищено у привязанного к доллару криптовалютного хранилища Tether. Это произошло в конце ноября.

Tether оповестил, что лишился токенов стоимостью приблизительно $31 млн.: они были переведены на неизвестные биткоин-адреса.

Хотя сумма ущерба не слишком велика по меркам криптовалютного сектора, этот эпизод гораздо более значим в том отношении, что послужил пищей для критики в адрес Tether со стороны блогеров и традиционных СМИ.

Позже компания занесла украденные токены в чёрный список в процессе обновления протокола Omni — блокчейна, на котором работает Tether. Тем не менее Tether по-прежнему преследуют обвинения, во многом вызванные этим инцидентом.

Афера с Bitcoin Gold

Если вы считаете, что форки только усложнили жизнь энтузиастам криптовалют, то с вами согласятся мошенники, лёгкой добычей которых становятся люди, желающие добыть новые токены в процессе разделения блокчейнов.

Например, вскоре после запуска биткоин-форка под названием Bitcoin Gold некоторые пользователи биткоина остались с пустыми кошельками, воспользовавшись службой, которая выдавала себя за проект группы разработчиков форка.

Рекламируя сервис как средство проверки пользователей, желающих стать владельцами Bitcoin Gold (для обладателей биткоинов речь фактически шла о лёгких деньгах), операторы веб-сайта похитили более $3 млн. в биткоинах, Bitcoin Gold, эфире и лайткоинах.

Группа разработчиков Bitcoin Gold заявила, что не связана с автором сайта, предлагавшего сервис по проверке кошельков на основе открытого кода. Автор этого ресурса поначалу утверждал, что сайт взломали, но впоследствии удалил аккаунт на GitHub и прекратил отвечать пользователям на канале форка в Slack.

В общем, это был ещё один случай, когда потребители оказались жертвами людей, сулящих лёгкие деньги.

Взлом торговой площадки NiceHash

Компании, давно работающие на рынке, тоже становились жертвами нападений.

Такая участь постигла известную торговую площадку по продаже майнинговых мощностей NiceHash. В начале декабря хакеры похитили у NiceHash приблизительно 4700 биткоинов, стоимость которых на тот момент составляла около $78 млн.

Позже выяснилось, что компьютер компании был взломан, преступники получили доступ к системам и изъяли биткоины со счетов. Глава NiceHash Марко Кобал заявил, что его команда пытается выяснить, как это могло случиться, но расследование потребует времени.

Хотите больше новостей? Facebook. Быстрее всех? Telegram и Twitter. Подписывайтесь!

coinspot.io

Видео взлом блокчейн

Видео взлом блокчейн

Are you having trouble finding a specific video? Then this page will help you find the movie you need. We will easily process your requests and give you all the results. No matter what you are interested in and what you are looking for, we will easily find the necessary video, no matter what direction it would be.

If you are interested in modern news, we are ready to offer you the most current news reports in all directions. The results of football matches, political events or global, global problems. You will always be aware of all the events, if you use our wonderful search. The awareness of the videos we provide and their quality depends not on us, but on those who flooded them into the Internet. We just supply you with what you seek and require. In any case, using our search, you will know all the news in the world.

However, the world economy is also quite an interesting topic, which worries very many. A lot of things depend on the economic state of different countries. For example, import and export, any food or technology. The same standard of living directly depends on the state of the country, as well as wages and so on. What can be useful for this information? It will help you not only to adapt to the consequences, but also to warn against a trip to this or that country. If you are an avid traveler, then make sure to use our search.

Today it is very difficult to understand political intrigues and to understand the situation you need to find and compare a lot of different information. Therefore, we will easily find for you various speeches of the deputies of the State Duma and their statements for all the past years. You can easily understand the politics and the situation in the political arena. The policy of different countries will become clear to you and you can easily prepare yourself for the coming changes or adapt already in our realities.

However, you can find here not only various news from around the world. You can also easily find yourself a film, which will be nice to watch in the evening with a bottle of beer or popcorn. In our search database there are films for every taste and color, you can easily find an interesting picture for yourself without any problems. We can easily find for you even the oldest and hard-to-find works, as well as the classics known to all - for example Star Wars: The Empire Strikes Back.

If you just want to rest a bit and are looking for funny videos, then we can quench your thirst. We will find for you a million different entertainment videos from around the planet. Short jokes easily lift your spirits and another day will cheer you up. Using a convenient search system, you can find exactly what will make you laugh.

As you already understood, we work tirelessly, that you would always receive exactly what you need. We created this wonderful search specifically for you, that you could find the necessary information in the form of a video clip and watch it on a convenient player.

videonews.guru

Может ли квантовый компьютер взломать Блокчейн?

Может ли квантовый компьютер взломать Блокчейн?

Нам повезло, что мы живем сегодня. Мы находимся в разгаре огромных технологических потрясений, где нашы изобретение и открытия, обусловленны социально мыслящими научными исследованиями, проникают во все аспекты нашей жизни. Blockchain — это только одна из этих технологий; другие, такие как квантовые вычисления и чистая энергия, добиваются одинакового прогресса в стремлении к лучшему миру.

Научные открытия часто имеют способ проверить друг друга, в виде технологического выживания наиболее приспособленных. Например, когда правила чистой энергии требуют сокращения традиционных энергопроизводящих производств, Блокчейн должен проектировать решения для сокращения потребления энергии, продолжая при этом создавать новые блоки в цепочке. По мере удлинения блокады электричество и вычислительные ресурсы требуют увеличения экспоненциально.

Угроза квантовых вычислений и компьютеров для Блокчейна

Квантовые вычисления дают нам необычайную вычислительную мощь. Самые насущные проблемы в мире, такие как изменение климата, могут быть преодолены только машинами, такими как квантовые компьютеры. Тем не менее, как и во всех новых технологиях, они могут оторваться от устаревших функций других технологий. Эти технологии должны мутировать, чтобы выжить и процветать, или же остаться на свалке технологий.

Безопасность Blockchain исходит из его расширенных стандартов шифрования, но сила квантовых вычислений оставляет мнение экспертов, что шифрование, используемое блочной цепью, будет слишком легко преодолено квантовыми вычислениями.

Недавно исследователи из Университета Южного Уэльса построили новую архитектуру, аналогичную используемой в современных процессорах, для выполнения квантовых вычислений. Это имеет серьезные последствия для простого человека. Это означает, что та же технология, используемая для запуска устройств, которые вы используете сегодня, может использоваться для выполнения квантовых вычислений.

Квантовые вычисления, даже карманные квантовые вычисления, неизбежны. Тем не менее, это всегда считалось далекой мечтой — от 10 до 15 лет в будущем было отраслевым мнением о прибытии коммерческих квантовых вычислений. Это открытие исследователей UNSW дискредитирует это предсказание. Теперь они могут появиться намного быстрее, и это может не послужить хорошим предзнаменованием для криптографии и Блокчейна в целом.

Технически возможно, чтобы классический компьютер прорвался через асимметричное шифрование, использующее монеты, такие как Биткойнов, но это займет очень много времени. Квантовые компьютеры работают на величину во много раз быстрее, чем классические компьютеры, хотя и легче победить асимметричное шифрование.

Криптовалюта и Блокчейн могут быть вынуждены развиваться, мутировать, чтобы обладать новыми характеристиками, или же любимая безопасность и неприкосновенность частной жизни, которые хвалят энтузиасты, могут уйти в прошлое.

Однако все не потеряно. Разработчики монет внимательно следят за долгосрочным будущим, возможно потому, что сама криптовалюта находится только на стадии малыша. До того, как криптовалюта созревает во всемирном использовании, существует долгий путь . Разработчики тщательно планируют любые препятствия, которые могут возникнуть, и это включает в себя квантовые вычисления.

Но прежде чем мы поговорим о возможных решениях, которые Блокчейн может использовать для защиты от квантовых вычислений, давайте посмотрим, что такое квантовые вычисления. Подобно блочным цепям и криптовалютам, полезно узнать немного о технологии, которая будет иметь беспрецедентное влияние на нашу жизнь.

Создание Вселенной квантовых вычеслений

Квантовые вычисления — это конечная игра компьютерных исследований. Он превзойден в страхе и спекуляции только одной другой областью исследований — искусственным интеллектом. На протяжении многих лет такие организации, как NASA и промышленные гиганты, такие как Google, вкладывали свои ресурсы в совершенство этой сумасшедшей области физики для повседневного использования.

На данный момент он ограничен высокотехнологичными исследовательскими лабораториями и несколькими избранными организациями, но в какой-то момент это был традиционный компьютер, который вы используете сегодня. Смартфон в вашей руке во много раз более мощный, чем космический корабль Voyager, который теперь плавает в межзвездном пространстве и компьютеры, которые моделировали ядерную войну во время холодной войны. Это только вопрос времени, когда квантовые вычисления становятся более доступными для простого человека.

Сегодняшние компьютеры используют биты. Это значения, которые могут быть либо 0, либо 1. Само по себе это не очень много, но если вы повторно объединяете эти значения «да» или «нет» с другими значениями «да» или «нет», вы можете использовать сегоднишние компьютеры в полной мере (на самом деле вам нужно всего лишь 6 бит, чтобы выяснить, что такое буква, хотя на практике это занимает 8 бит). Это почти все, что ваш компьютер должен делать все, что он делает сегодня.

Квантовые вычисления выводят эту идею на совершенно новый уровень. Невероятно, он использует саму ткань вселенной для этого. Современные квантовые компьютеры манипулируют вселенной и параллельными вселенными для проведения вычислений.

Квантовые компьютеры работают на «кубитах», которые могут существовать одновременно в состоянии 0 и 1. Мы не будем вдаваться в детали, но с каждым дополнительным «кубитах вычислительная мощность компьютера растет экспоненциально. Это позволяет квантовому компьютеру выполнять сложные вычисления со скоростью, которая намного превосходит сегодняшние компьютеры, сокращая время для решения сложных математических моделей, моделирования и криптографической безопасности.

Как работает шифрование сегодня

Самый популярный метод криптографии, используемый сегодня, — это криптография с открытым ключом. Это использует пару открытых и закрытых ключей для шифрования и дешифрования сообщений (или данных транзакции, в случае блокировки), чтобы гарантировать, что только проверенные пользователи могут получить доступ к информации.

В двух словах ваш открытый ключ используется для доступа к зашифрованному сообщению, а ваш секретный ключ используется для дешифрования сообщения. Сила частного ключа зависит от методов защиты и секретности секретного ключа. Blockchain использует цифровые подписи для дополнительной защиты.

Эта форма криптографии используется уже много лет, и это свидетельствует о ее эффективности, которая противостояла десятилетиям попыток ее разлома.

Теоретически квантовые компьютеры могут легко решить методы безопасности асимметричной криптографии. Квантовый компьютер просто должен быть достаточно большим, и индустрия делает прыжки и ограничения в отношении этого.

Подводя итог, сегодняшние стандарты шифрования в Блокчейне работают на данный момент, но квантовые вычисления прямо на хвосте.

Могли ли квантовые компьютеры убить Blockchain?

Если исследования квантовых вычислений продолжаются в текущем темпе, тогда у него не будет проблем с нарушением шифрования, используемого блочной цепью. Экономическая система криптовалют стала бы бесполезной, поскольку хакеры могли бы украсть ваши монеты, совершить мошенничество и управлять блочной цепью. Если бы кто-то мог легко украсть ваши Биткойны, это не было бы хорошо для репутации Биткойна.

Возможно, вы слышали о «нападении 51%». Это когда майнеры контролируют более 50% сети, что позволяет им удваивать расходы. В условиях непрофессионала это означает, что они могут тратить деньги дважды, удаляя транзакции из блоков.

Квантовые компьютеры могут дать злонамеренным майнерам необходимую мощность, чтобы преодолеть этот 50%-ный порог. Это особое беспокойство по поводу безопасности не является непосредственной проблемой. Прогноз состоит в том, что он будет по меньшей мере за 10 лет до того, как квантовые компьютеры смогут это сделать. Однако с недавно обнаруженной инженерной архитектурой для квантовых компьютеров эта временная шкала может быть сокращена.

Существует гораздо большее беспокойство, которое, как мы уже упоминали, является легкостью, с которой квантовые вычисления могут нарушать шифрование с открытым ключом. Ожидается, что квантовые вычисления достигнут такого уровня мощности к 2027 году. Другими словами, если сегодняшние стандарты шифрования и расширение, обеспечивающие безопасность цепочки, не развиваючи новые технологии безопасности или стандарты шифрования, это будет практически бесполезно.

Хорошей новостью является то, что разработчики криптовалюты в долгосрочной перспективе на самом деле готовятся к этой возможности, и у них есть несколько трюков в рукаве.

Технологическая эволюция Биткоина

Криптовалюты используют множество инструментов для борьбы с быстро приближающейся угрозой квантовых компьютеров.

Одним из таких разработок является обновленная версия Bitcoin под названием qBitcoin. Можно использовать протоколы квантовой криптографии, такие как схема распределения квантовых ключей BB84, для передачи этих qBitcoins между пользователями.

Здесь есть ирония: та же самая технология, которую используют квантовые вычисления, чтобы угрожать безопасности Блокчейн, кубит, используется для защиты цепочки. К сожалению, в этом методе существуют препятствия. Было бы необходимо установить квантовую распределительную сеть для передачи этих кубитов, что в финансовом отношении невозможно в больших масштабах из-за высокой стоимости строительства. Со временем, однако, это может стать дешевле.

Другой предложенный метод — это квантово-стойкая книга , разработанная доктором Питером Уотерлендом. Эта новая техника была разработана с учетом постквантовой криптографии. Он направлен на борьбу с угрозой квантовых вычислений путем внедрения новых цифровых подписей в транзакции, что делает книгу устойчивой к квантовым вычислениям.

С использованием алгоритма Proof-of-Stake доказано, что этот метод имеет безопасные хеш-основанные псевдослучайные функции, которые иммунизируют от квантового анализа. В отличие от qBitcoins, ему не нужна дорогая инфраструктура для работы. Он может работать на устройствах с малой мощностью, таких как ноутбуки.

QRL также планирует внедрить квантово-безопасный уровень обмена сообщениями. С помощью технологии, основанной на решетчатой ​​криптографии, транзакции будут подписаны специальным открытым ключом, который может использоваться пользователями для набора защищенного средства связи, через который можно отправлять сообщения. Дополнительные планы включают связывание идентификаторов блок-чейнджей с этими квантово-безопасными адресами, называемыми транзакциями XMSS.

Существуют также существующие криптовыделения, которые планируют использовать постквантовую криптографию. IOTA , одна из крупнейших монет на рынке, использует Winternitz OTS или Lamport Signatures для защиты своих подписей от квантового анализа. Единственная проблема заключается в том, что каждый адрес можно использовать только один раз.

Протокол IOTA, Tangle, интуитивно, фактически ускоряет работу сети по мере поступления большего количества пользователей. Направленный ациклический график IOTA, отличный от блок-цепи, является заслуживающей внимания новой разработкой в ​​криптовалютной технологии. В этой сети отправитель транзакции должен проверить две другие транзакции. Это захватывающий новый протокол и заслуживает внимания.

Каков прогноз безопасности Блокчейн?

К счастью, это не слишком тревожно.

Да, квантовые вычисления могут потенциально вызвать катастрофу для криптовалюты, но индустрия уже принимает меры против этой угрозы. Это все еще очень рано в жизни обеих технологий, и это может даже помочь им в целом, если они соревнуются бок о бок. Неизбежное прибытие квантовых компьютеров вынуждает специалистов по шифрованию и криптовалютации готовиться к этому, что только улучшает его возможности и шансы на выживание.

Ответ заключается в том, что вам не нужно паниковать. Может случиться так, что выигрывают квантовые вычисления, но упреждающие усилия криптографических и криптовалютных экспертов выглядят многообещающими. По моему личному мнению, это не похоже, что квантовые вычисления разрушат рынок. Врожденная ценность Blockchain во многих отраслях промышленности — это благо, которое должно быть взято обеими руками. Трудно представить, чтобы кто-то хотел его отпустить. Кажется вероятным, что некоторая защита от квантовых вычислений будет обнаружена или изобретена в ближайшее время.

 

Если у вас есть собственные мысли о квантовых вычислениях, проблема безопасности или монеты, которые решают проблему постквантовой криптографии, сообщите нам в комментариях ниже.

crypto-house.net