Пентагонът предупреждава за сериозни уязвимости на Биткойн (BTC)

Тъй като индустрията на криптовалутите продължава да се разраства и става все по-привлекателна цел за хакерите, Пентагонът поръча проучване, което откри някои опасни уязвимости, подробно описани в придружаващ доклад.

Всъщност докладът, публикуван на 21 юни, се разкрива, че „подгрупа от участници може да придобие прекомерен, централизиран контрол върху цялата система“.

Проучването, което се фокусира върху Биткойн (BTC) и Етериум (ETH), е извършено от фирмата за изследвания в областта на сигурността Trail of Bits под ръководството на Агенцията за перспективни изследователски проекти в областта на отбраната (DARPA) към Пентагона.

Според доклада:

Броят на субектите, достатъчен за разрушаване на блокчейн, е сравнително малък: четири за Биткойн, два за Етериум и по-малко от дузина за повечето PoS мрежи.

60% от трафика на Биткойн преминава само през три интернет доставчика

Освен това в доклада се казва, че „60% от целия трафик на Биткойн преминава през само трима доставчици на интернет услуги“. Освен това „огромното мнозинство от Биткойн нодове изглежда не участват в добива и операторите им не са изправени пред изрично наказание за нечестност“.

Както предупреждават анализаторите, „разгръщането на нов нод изисква само една евтина инстанция на облачен сървър – не е необходим специализиран хардуер за добив“. Това дава възможност за наводняване на консенсусната мрежа на блокчейна с нови, злонамерени нодове, контролирани от една страна, в рамките на т.нар. атака Sybil.

Допълнителни проблеми включват остарели и некриптирани протоколи и софтуер, като всички те излагат мрежата на атаки. Както се обяснява в доклада:

Безопасността на един блокчейн зависи от сигурността на софтуера и протоколите на неговите механизми за управление или консенсус извън веригата.

ПРОЧЕТИ ОЩЕ: MicroStrategy купува Биткойн (BTC) за още $10 милиона

Небрежни майнинг пулове

Докладът също така открива, че всички майнинг пулове, които неговите анализатори са тествали, „или задават твърдо кодирана парола за всички акаунти, или просто не потвърждават паролата, предоставена по време на удостоверяването“.

Като пример в доклада е използвана практиката на глобалния пул за добив на криптовалути ViaBTC, който привидно задава парола „123“ за всички свои акаунти. Друга фирма за добив, Poolin, „изглежда изобщо не потвърждава данните за удостоверяване“, докато Slushpool „изрично инструктира потребителите си да игнорират полето за парола“.

Според наличните данни на тези три криптодобивни пула се падат около 25% от хеширащата мощност на Биткойн.

Изследователите в областта на киберсигурността често предупреждават за потенциални слабости, свързани с криптовалутите, които могат да доведат до най-различни инциденти.