Keselamatan siber membuat saya ingin menangis
Tangkapan aksi langsung dari hack Equifax
Kami ada pada masa pelanggaran data berprofil tinggi dan kebimbangan terhadap keselamatan dan privasi maklumat digital, dibebani dengan infrastruktur internet yang semakin tua yang jelas tidak sesuai dengan cabaran untuk mencegah serangan siber yang canggih. Dari Equifax hingga WannaCry, ilusi keselamatan siber semakin larut di depan mata kita.
Semakin kerap, berita mengenai penggodaman atau pendedahan maklumat peribadi menjadi terang. Semakin banyak, mereka yang telah kami percayai dengan kunci data kami dinyatakan menyalahgunakan data tersebut dan mengkhianati kepercayaan kami. Menjadi semakin jelas bahawa sistem terpusat yang membuat kita sejauh ini tidak akan cukup untuk melindungi kita bergerak maju.
Teknologi blockchain berjanji untuk menyelesaikan masalah ini dengan menghilangkan kepercayaan yang terlibat dalam penyimpanan dan akses kandungan digital kami. Dengan memindahkan data ke pinggir rangkaian dan menggunakan kriptografi yang kuat untuk mengekalkan kawalan individu terhadap data tersebut, blockchain bertujuan untuk mengembalikan kuasa ke tangan pengguna akhir dan pencipta data, bukan tangan (jelas kekok) platform yang kami gunakan untuk berkongsi data.
Rantaian Sekatan Tidak Boleh Dibongkar
Walau begitu, sekuat mungkin blockchain, mereka tidak kebal terhadap serangan. Mana-mana teknologi mempunyai titik lemah dan vektor serangan, dan blockchain tidak terkecuali. Di sini kita akan meneroka pelbagai vektor serangan (mengikut ancaman yang semakin meningkat) dan melihat beberapa contoh masing-masing dari sejarah cryptocurrency yang pendek tetapi menarik setakat ini.
Serangan Sybil
Serangan Sybil adalah serangan di mana sebilangan besar node pada satu rangkaian dimiliki oleh pihak yang sama dan berusaha untuk mengganggu aktiviti rangkaian dengan membanjiri rangkaian dengan urus niaga buruk atau memanipulasi penyampaian transaksi yang sah.
Serangan ini sejauh ini bersifat teori dan sebahagian besarnya, tidak pernah dapat dilihat, kerana salah satu keputusan reka bentuk asas yang dibuat ketika mengembangkan sistem cryptocurrency adalah bagaimana mencegah serangan Sybil.
Bitcoin menghalangnya melalui algoritma Proof-of-Work, yang memerlukan node menghabiskan sumber daya (dalam bentuk tenaga) untuk menerima duit syiling, sehingga menjadikan sebahagian besar nod sangat mahal. Projek yang berbeza menangani ketahanan Sybil secara berbeza, tetapi hampir semua mengatasinya.
Serangan Laluan
Serangan routing adalah serangan yang dimungkinkan oleh kompromi atau kerjasama Penyedia Perkhidmatan Internet (ISP). Walaupun secara teknikal mungkin untuk menjalankan nod Bitcoin (atau syiling lain) di mana sahaja di dunia, realiti semasa adalah bahawa node agak berpusat sekarang dari segi ISP yang membawa lalu lintas internet ke dan dari.
Menurut penyelidikan dilakukan oleh ETHZurich, 13 ISP mengehos 30% rangkaian Bitcoin, sementara 3 ISP mengarahkan 60% dari semua lalu lintas transaksi untuk rangkaian. Ini adalah titik kegagalan utama sekiranya ISP dikompromikan untuk rosak.
Serangan penghalaan berfungsi dengan memintas lalu lintas internet yang dihantar antara Sistem Autonomi, node tingkat tinggi dalam seni bina internet, di antaranya ada beberapa yang cukup untuk memintas dengan relatif mudah. Ini adalah fenomena yang biasa dilihat, bahkan setiap hari, di internet di alam liar dan tentunya boleh digunakan untuk melawan Bitcoin atau trafik cryptocurrency lain.
Dengan menggunakan kaedah ini, rangkaian cryptocurrency dapat dibahagikan kepada dua atau lebih rangkaian yang terpisah, memperlihatkan kedua-dua belah partisi serangan dua kali ganda kerana mereka tidak dapat berkomunikasi dengan seluruh rangkaian untuk mengesahkan transaksi. Setelah duit syiling dibelanjakan di satu sisi rangkaian dan barang atau perkhidmatan diterima, partisi dapat dikeluarkan dan sisi rangkaian dengan rantai yang lebih pendek akan ditolak oleh rangkaian secara keseluruhan dan transaksi tersebut akan dihapuskan..
Sejauh yang kita ketahui, serangan semacam ini belum terjadi, dan ada langkah-langkah yang dapat diambil untuk membuat koin kebal terhadap tingkah laku ini.
Penolakan Perkhidmatan Langsung
Walaupun anda dapat dengan mudah membeli domain dengan pautan balik yang kuat dari https://www.spamzilla.io, tetapi serangan Direct Denial of Service (DDoS) yang sederhana dapat melumpuhkan pelayan anda. DDoS hanyalah percubaan yang dapat dilakukan dengan membanjiri pelayan dengan trafik yang banyak. Ini pasti merupakan salah satu serangan yang paling biasa dilihat di alam liar, kerana agak mudah untuk membeli serangan DDoS dari sebilangan besar “penggodam” atau firma yang tidak dapat dipertikaikan di luar sana.
Dalam hal laman web, ini sepertinya banyak permintaan ke pelayan yang dikirim terus menerus dalam jangka waktu tertentu, sehingga permintaan yang sah dari menerima sumber yang mereka perlukan. Dalam kes simpul Bitcoin, ini kelihatan seperti jumlah transaksi kecil atau tidak sah yang dihantar dalam usaha membanjiri rangkaian dan mencegah transaksi yang sah daripada diproses.
Rangkaian utama seperti Bitcoin sentiasa diserang oleh percubaan DDoS, tetapi keputusan reka bentuk yang dibuat dalam pengembangan rangkaian Bitcoin bertindak untuk mengurangkan risiko percubaan DDoS. Dalam menghadapi serangan DDoS yang berjaya, tidak ada ancaman dana yang dicuri atau keamanan yang terganggu, hanya menghentikan aktiviti rangkaian.
Backlog Blues Bitcoin
Namun, walaupun bukan risiko keselamatan, gangguan perkhidmatan ini dapat digunakan untuk agenda lain. Terdapat sesuatu kisah mengenai transaksi “spam” (DDoSing rangkaian dengan banyak transaksi) dan Bitcoin yang dimainkan dari 2015 hingga 2017.
Pada bulan Jun 2015, Coinwallet.eu (sebuah syarikat dompet yang kini tidak berfungsi), melakukan “ujian tekanan“Dari rangkaian Bitcoin dengan mengirimkan ribuan transaksi di rangkaian dalam usaha mempengaruhi perdebatan perubahan ukuran blok kontroversi yang sedang berlangsung pada waktu itu, dengan menyatakan di pos pengumuman mereka bahawa mereka menetapkan” untuk membuat kes yang jelas untuk peningkatan sekat dengan menunjukkan kesederhanaan serangan spam berskala besar di rangkaian. “
Sebulan kemudian, dalam apa yang disebut “serangan banjir,” 80.000 transaksi kecil secara serentak dikirimkan di rangkaian Bitcoin, mewujudkan tunggakan besar yang dibersihkan hanya dengan usaha F2Pool, salah satu kolam penambangan terbesar pada masa itu, yang mendedikasikan keseluruhan blok untuk menggabungkan semua transaksi spam dan membersihkannya.
Sepanjang tahun berikutnya, menurut analisis oleh LaurentMT, pencipta alat analisis Bitcoin OXT, beribu-ribu bahkan berjuta-juta transaksi spam (kebanyakannya transaksi kecil dan tidak berguna yang mungkin tidak sah) dihantar, menyumbat tunggakan Bitcoin UTXO, tetapi urus niaga ini sebahagian besarnya diabaikan oleh kumpulan perlombongan utama.
Tiba-tiba, pada separuh kedua 2016 dan hampir bersamaan, kumpulan perlombongan utama pada masa itu mula menerima transaksi spam ini menjadi blok, mengurangkan pengeluaran transaksi yang sah sama seperti perbahasan ukuran blok yang meningkat lagi dan banyak kolam dikhabarkan berpihak kepada “penyekat besar” di atas penyekat kecil.
Rangkaian Bitcoin sejak itu membersihkan tunggakan ini dan bersenandung, sementara peminat blok besar mengalihkan perhatian mereka ke Bitcoin Cash, sebuah projek yang Jihan Wu (pengasas Bitmain pemilik terbesar hashpower Bitcoin sejauh ini) menyokong penuh . Lakukan kajian anda sendiri.
51% atau Serangan Majoriti
Oleh kerana keselamatan blockchain secara langsung dihubungkan dengan kekuatan komputer yang membina rantaian, ada ancaman penyerang untuk mendapatkan kawalan ke atas sebahagian besar kekuatan hash di rangkaian. Ini akan membolehkan penyerang melombong blok lebih cepat daripada gabungan rangkaian yang lain, membuka pintu untuk ‘perbelanjaan berganda’.
Perbelanjaan berganda adalah kaedah untuk menipu cryptocurrency yang melibatkan menyerahkan transaksi ke rantai, menerima barang atau perkhidmatan yang dibayar oleh transaksi, dan kemudian menggunakan kekuatan hash mayoritas untuk membelenggu blockchain pada suatu titik sebelum transaksi. Ini dengan berkesan menghapus transaksi tersebut dari sejarah rantai, yang membolehkan penyerang bertransaksi dengan duit syiling yang sama untuk kali kedua.
Mendapatkan sebahagian besar kekuatan hash tidak akan membenarkan penyerang membuat duit syiling, mengakses alamat atau menjejaskan rangkaian dengan cara lain, yang membatasi kerosakan yang memungkinkan kaedah ini. Kesan terbesar dari serangan seperti itu adalah hilangnya kepercayaan pada rangkaian yang diserang, dan penurunan harga aset berikutnya dari mana-mana token di rangkaian.
Serangan majoriti semacam ini sangat mahal untuk dilakukan, dan sebagai hasilnya, pada kenyataannya, hanya duit syiling yang berukuran kecil dan rendah daya yang terdedah kepada vektor serangan ini. Wang syiling utama seperti Bitcoin tidak perlu ditakuti dari serangan 51% kerana fakta bahawa mana-mana penyerang dengan sebahagian besar kekuatan hash akan mempunyai lebih banyak insentif untuk hanya melombong semua blok dan menerima Bitcoin daripada cuba menyerang, terutamanya dengan mempertimbangkan harga Bitcoin mereka yang dicuri akan runtuh sekiranya berita serangan keluar.
51% di Liar
Salah satu contoh serangan 51% yang lebih menarik di alam liar datang dari sekumpulan penggodam yang menggelarkan diri mereka sebagai ‘Kru 51.’ Pada separuh kedua 2016, Kru 51 mula memegang klon Ethereum kecil untuk tebusan, memanfaatkannya kadar hash yang rendah dan pengedaran perlombongan berpusat untuk menyewa perkakasan yang mencukupi untuk menyusun rangkaian.
Mengklaim “niat mereka bukan untuk merosakkan projek” dan mereka melakukan ini hanya menghasilkan wang, mereka menuntut Bitcoin sebagai pertukaran untuk menghentikan operasi mereka dan meninggalkan projek-projek tersebut dengan aman. Sekiranya tuntutan tidak dipenuhi, mereka akan membuat blockchain koin itu mencapai titik sebelum penjualan besar yang telah dibuat kru di bursa.
Projek-projek yang dimaksud, Krypton (sekarang tidak berfungsi) dan Shift (masih diperdagangkan dalam jumlah kecil), keduanya menolak untuk membayar tebusan dan kemudiannya melakukan rantai blok mereka. Pasukan projek bergegas mendapatkan desentralisasi jaringan dan membuat perubahan pada protokol untuk mencegah penyalahgunaan seperti itu, tetapi tidak sebelum mendapat cukup banyak.
Kerentanan Kriptografi
Serangan yang digariskan sejauh ini kebanyakannya berkaitan dengan perbelanjaan dua kali ganda atau pengurangan dalam perkhidmatan rangkaian. Serangan itu mahal dan cepat dibetulkan oleh ciri pembaikan diri rangkaian itu sendiri. Walaupun mereka boleh menjadi ancaman nyata terhadap kepercayaan terhadap cryptocurrency dan mengakibatkan kehilangan dana yang minimum, mereka adalah kentang yang agak kecil.
Seperti sistem komputer atau rangkaian mana pun, vektor serangan terbesar adalah kesalahan manusia. Kerugian besar dana yang dilihat setakat ini di cryptoland adalah hasil daripada bug dalam perisian koin itu sendiri. Kesalahan kriptografi dalam keselamatan mata wang kripto meninggalkan lubang keselamatan yang dapat ditemui dan dieksploitasi oleh penggodam yang canggih untuk melemahkan projek.
DAO
Mungkin contoh peretasan yang paling ketara yang diaktifkan melalui kod buruk adalah peretasan Ethereum DAO yang terkenal, begitu buruk sehingga melahirkan cryptocurrency baru dan menghantui projek Ethereum hingga ke hari ini.
DAO (Decentralized Autonomous Organisation) adalah organisasi tanpa pemimpin yang dibina di atas Ethereum menggunakan kontrak pintar. Ideanya adalah untuk memberi sesiapa sahaja kemampuan untuk melabur dalam syarikat dan memilih projek yang ingin dibiayai, semuanya dikendalikan dengan selamat dan automatik oleh kod kontrak pintar DAO.
Sekiranya anda melabur dalam DAO (dengan membeli token DAO) dan kemudian memutuskan untuk menarik diri, ada mekanisme untuk ini yang membolehkan Ethereum anda dikembalikan kepada anda sebagai pertukaran untuk token DAO anda. Inilah mekanisme yang disebut ‘Split Return’ yang dieksploitasi oleh DAOist perintis pada 17 Jun 2016.
Split Return adalah proses dua langkah: kembalikan jumlah Ethereum yang betul kepada pemegang token yang memicu pengembalian, kemudian ambil token dan daftarkan transaksi di blockchain untuk mengemas kini baki token DAO. Penggodam yang tidak diketahui menyedari bahawa dia dapat menipu sistem agar mengulangi langkah pertama tanpa bergerak ke langkah kedua, yang membolehkan mereka menyedot Ethereum bernilai $ 50 juta dari DAO dan memasuki DAO berasingan yang hanya dikendalikan oleh penyerang.
Ini jelas menyusahkan komuniti Ethereum, dan rancangan untuk meringankan dan mendapatkan kembali dana telah dibuat. Garpu lembut mungkin sedikit invasif, serasi ke belakang dan hanya ‘menghapus’ peretasan DAO dari blockchain. Namun, setelah rancangan itu dibuat, disedari bahawa ia tidak akan terbang dan garpu keras diperlukan. Ini kontroversial dan mengakibatkan penciptaan Ethereum Classic (ETC), kesinambungan rantai Ethereum yang asal dengan penggodaman DAO, dan Ethereum (ETH), projek bercabang keras yang baru dilanjutkan ke DAO pada hari lain.
Ancaman Sebenar adalah Pengguna, Bukan Penggodam
Teknologi blockchain kuat dan menjanjikan, dan walaupun dengan semua pendekatan serangan ini, sangat sedikit serangan yang berjaya dalam sejarah. Ini tidak menghalang sejumlah besar wang dicuri daripada pengguna.
Walaupun keselamatan kebanyakan cryptocurrency tetap utuh, keselamatan dompet, pertukaran, dan akaun perkhidmatan pihak ketiga di sekitar cryptocurrency ini tetap buruk. Bitcoin berjuta-juta dolar dan cryptocurrency lain telah dicuri dari akaun individu dan pertukaran yang telah dikompromikan selama bertahun-tahun.
Walaupun serangan yang dijelaskan di atas kebanyakannya bersifat teori dan dipertahankan secara aktif, lubang keselamatan Bitcoin dan mata wang kripto lain adalah kenyataan bahawa manusia tidak begitu hebat dalam memberi perhatian dan waspada. Menggunakan semula kata laluan, menjadi mangsa penipuan pancingan data, pengendali laman web yang cuai dan pekerja pertukaran yang cuai terus menjadi titik kegagalan paling berbahaya ketika datang ke kesihatan ekonomi kripto.
Ketika kita bergerak maju, mungkin ada beberapa serangan tingkat blockchain yang dilakukan. Ini mungkin berasal dari kekuatan besar seperti pemerintah atau syarikat yang mengatur untuk mengawal atau merosakkan cara baru yang menjanjikan ini untuk menyimpan dan memindahkan kekayaan dan nilai. Namun, dalam jangka masa panjang, serangan seperti ini hanya akan bertindak untuk memperkuat dan mengembangkan teknologi agar lebih tahan dan kuat.
Tetapi lebih daripada itu, perlu ada banyak kemajuan yang dibuat dalam kemudahan penggunaan dan keselamatan produk crypto pengguna sebelum penggunaan sebenar dapat berlaku. Selagi seseorang itu secara tidak sengaja berkongsi kata laluan atau komputer riba yang dibiarkan terbuka boleh menyebabkan kehilangan wang simpanan anda, kita tidak boleh memasuki dunia yang dikendalikan di crypto.
