Как взламывают блокчейн и криптовалюты: 6 успешных атак «51 процента»

Изображение: Unsplash ^[1]

Одна из главных угроз информационной безопасности для криптовалют, созданных на технологии блокчейна – это так называемые атаки 51%. Они позволяют злоумышленникам контролировать сеть и проходящие в ней транзакции. В 2018 году жертвами такой атаки стали ^[2] шесть криптовалютных проектов.

Что такое «атака 51%»

Криптовалюты основаны на блокчейн-сетях, то есть распределенных реестрах, хранящих информацию обо всех когда-либо совершенных транзакциях в блоках. Работу этих реестрах поддерживают майнеры – они занимаются подтверждением транзакций, генерацией новых блоков и добавлением их в блокчейн. За эту работу им полагается вознаграждение в криптовалюте.

В сетях, основанных на алгоритме консенсуса PoW (Proof-of-Work), для добавления нового блока майнерам нужно проводить сложные вычисления, чтобы доказать совершение работы. Тот, кому удается решить задачу первым, получает вознаграждение. Чем больше у майнера вычислительных мощностей, тем выше вероятность решить задачу первым.

Такая важность вычислительных мощностей делает возможным проведением атаки 51%. Ее суть заключается в том, что несколько майнеров со значительными вычислительными мощностями (хешрейтом), могут получить «контрольный пакет» в сети, то есть у них оказывется больше всех хешрейта. В результате они могут создавать блоки по своему усмотрению, манипулировать двусторонними операциями, не подтверждать транзакции – это отрывает возможность для многократной траты одних и тех же денег (double spending).

В текущем году жертвами такой атаки стали шесть известных криптовалютных проектов.

Electroneum

Проект подвергся ^[3] атаке в апреле 2018 года. Этот альткоин был запущен на базе алгоритма CryptoNight. После атаки разработчикам удалось повысить уровень безопасности проекта.

Monacoin

Популярная в Японии криптовалюта была атакована ^[4] в мае текущего года. На момент атаки проект использовал алгоритм Lyra2Rev2. Злоумышленникам удалось его взломать, ущерб от их действий был оценен в $90 000.

Bitcoin Gold

Монета Bitcoin Gold была атакована дважды – в первый раз 16 мая, а затем три дня спустя. В результате ущерб со превысил $18 млн, а криптовалютные биржи начали исключать ^[5] Bitcoin Gold из листинга.

Verge

Взломщикам удалось использовать алгоритм Lyra2Re для атаки на сеть криптовалюты Verge. В результате было похищено ^[6] около $1,4 млн.

Litecoin Cash

В конце мая под атакой оказалась ^[7] сеть монеты Litecoin Cash. При этом разработчикам удалось довольно быстро с ней справиться, что предотвратило масштабные потери.

ZenCash

В начале июня произошла еще одна атака «51 процента» – на этот раз жертвой стала сеть ZenCash. Злоумышленнику удалось ^[8] захватить контроль над сетью на несколько часов. В результате ему удалось дважды потратить криптовалюты на $30 000.

Как защититься

Технология распределенных реестров, яркий пример которой — блокчейн, постепенно реализуется в различных секторах экономики, в том числе в органах государственной власти. На рост интереса к блокчейну влияет в том числе и миф о его защищенности. Считается, что раз она построена на базе сложных криптоалгоритмов, то дополнительных мер по обеспечению безопасности не требуется.

Атаки вроде описанных выше, показывают, что проблемы безопасности существуют и в случае блокчейна. Это значит, что всем, кто решит использовать эту технологию, нужно будет задуматься об обеспечении информационной безопасности.

В четверг, 11 октября в 14:00 заместитель директора по развитию бизнеса в России Иван Мелехин в ходе бесплатного вебинара расскажет о безопасности блокчейна. На вебинаре будут подробно рассмотрены устройство блокчейна, его компоненты и присущие им риски и угрозы. Также Иван приведет примеры реальных инцидентов и уязвимостей, обнаруженных в ходе работ по анализу защищенности, проводимых исследовательским центром Positive Technologies.

Вебинар будет интересен руководителям подразделений ИТ и ИБ, которые рассматривают возможность применения блокчейна в своей организации, руководителям проектов и специалистам, отвечающим за внедрение блокчейна.

Для участия в вебинаре нужно зарегистрироваться ^[9].

Автор: ptsecurity

Источник ^[10]