Cybersecurity maakt me aan het huilen
Live-action shot van de Equifax-hack
We leven in een tijd van regelmatige spraakmakende datalekken en bezorgdheid over de veiligheid en privacy van digitale informatie, opgezadeld met een verouderende internetinfrastructuur die duidelijk de uitdaging niet aankan om geavanceerde cyberaanvallen te voorkomen. Van Equifax tot WannaCry, de illusie van cybersecurity lost voor onze ogen op.
Steeds vaker komt nieuws over het hacken of blootleggen van persoonlijke informatie aan het licht. Steeds meer blijkt dat degenen aan wie we de sleutels van onze gegevens hebben toevertrouwd, die gegevens misbruiken en ons vertrouwen beschamen. Het wordt steeds duidelijker dat de gecentraliseerde systemen die ons zo ver hebben gebracht, niet voldoende zullen zijn om ons vooruit te helpen.
Blockchain-technologie belooft deze problemen op te lossen door het vertrouwen dat betrokken is bij de opslag en toegang van onze digitale inhoud weg te nemen. Door gegevens naar de randen van het netwerk te verplaatsen en sterke cryptografie toe te passen om individuele controle over die gegevens te behouden, willen blockchains de macht weer in handen geven van de eindgebruikers en makers van de gegevens, niet de (duidelijk onhandige) handen van de platforms die we gebruiken om de gegevens te delen.
Blockchains zijn niet onkraakbaar
Hoe krachtig blockchains ook zijn, ze zijn niet immuun voor aanvallen. Elke technologie heeft zwakke punten en aanvalsvectoren, en de blockchain is geen uitzondering. Hier zullen we de verschillende aanvalsvectoren verkennen (in volgorde van toenemende dreiging) en enkele voorbeelden van elk bekijken uit de korte maar opwindende geschiedenis van cryptocurrency tot nu toe..
Sybil-aanval
Een Sybil-aanval is een aanval waarbij een groot aantal knooppunten op een enkel netwerk eigendom is van dezelfde partij en probeert de netwerkactiviteit te verstoren door het netwerk te overspoelen met slechte transacties of het doorgeven van geldige transacties te manipuleren.
Deze aanvallen zijn tot dusverre theoretisch en zullen voor het grootste deel misschien nooit worden gezien, aangezien een van de fundamentele ontwerpbeslissingen die worden genomen bij het ontwikkelen van een cryptocurrency-systeem is hoe Sybil-aanvallen kunnen worden voorkomen..
Bitcoin voorkomt ze door zijn Proof-of-Work-algoritme, waardoor knooppunten middelen (in de vorm van energie) moeten uitgeven om munten te ontvangen, waardoor het bezit van de overgrote meerderheid van de knooppunten erg duur wordt. Verschillende projecten gaan anders om met Sybil-resistentie, maar bijna allemaal.
Aanval routeren
Een routeringsaanval is een aanval die mogelijk wordt gemaakt door het compromitteren of samenwerken van een internetprovider (ISP). Hoewel het technisch mogelijk is om overal ter wereld een Bitcoin-knooppunt (of andere munten) te gebruiken, is de huidige realiteit dat knooppunten momenteel relatief gecentraliseerd zijn in termen van de ISP’s die het internetverkeer van en naar.
Volgens Onderzoek gedaan door ETHZurich, hosten 13 ISP’s 30% van het Bitcoin-netwerk, terwijl 3 ISP’s 60% van al het transactieverkeer voor het netwerk routeren. Dit is een belangrijk punt van mislukking als een ISP zou worden aangetast of beschadigd.
Een routeringsaanval werkt door het internetverkeer te onderscheppen dat wordt verzonden tussen autonome systemen, knooppunten op het hoogste niveau in de architectuur van internet, waarvan er maar weinig zijn om relatief gemakkelijk te onderscheppen. Dit is een fenomeen dat vaak, zelfs dagelijks, op internet in het wild voorkomt en zeker kan worden gebruikt tegen Bitcoin- of ander cryptocurrency-verkeer.
Met deze methode kan een cryptocurrency-netwerk worden opgedeeld in twee of meer afzonderlijke netwerken, waardoor beide zijden van de partitie worden blootgesteld aan aanvallen met dubbele uitgaven, omdat ze niet kunnen communiceren met het hele netwerk om transacties te valideren. Zodra munten aan één kant van het netwerk waren uitgegeven en goederen of diensten werden ontvangen, kon de partitie worden verwijderd en zou de kant van het netwerk met de kortere keten door het netwerk als geheel worden geweigerd en die transacties zouden worden weggevaagd.
Voor zover we weten, heeft dit soort aanvallen niet plaatsgevonden en zijn er stappen die kunnen worden genomen om munten immuun te maken voor dit gedrag.
Directe Denial of Service
Terwijl u gemakkelijk een domein met krachtige backlinks van https://www.spamzilla.io, maar een simpele Direct Denial of Service (DDoS) -aanval kan uw server lamleggen. DDoS is gewoon een poging die kan worden gedaan door een server met grote hoeveelheden verkeer te overspoelen. Dit is absoluut een van de meest voorkomende aanvallen in het wild, omdat het relatief eenvoudig is om een DDoS-aanval te kopen van een willekeurig aantal beruchte ‘hackers’ of bedrijven die er zijn.
In het geval van een website lijkt dit op een enorme hoeveelheid verzoeken naar de server die gedurende een bepaalde periode continu wordt verzonden, waardoor wordt voorkomen dat legitieme verzoeken de bronnen ontvangen die ze nodig hebben. In het geval van een Bitcoin-knooppunt lijkt dit op enorme hoeveelheden kleine of ongeldige transacties die worden verzonden in een poging het netwerk te overspoelen en te voorkomen dat legitieme transacties worden verwerkt.
Grote netwerken zoals Bitcoin worden voortdurend aangevallen door DDoS-pogingen, maar ontwerpbeslissingen die bij de ontwikkeling van het Bitcoin-netwerk worden genomen, zijn bedoeld om het risico van DDoS-pogingen te verkleinen. Bij een succesvolle DDoS-aanval is er geen dreiging van gestolen geld of gecompromitteerde beveiliging, alleen een stopzetting van netwerkactiviteit.
Bitcoin’s Backlog Blues
Hoewel het geen beveiligingsrisico vormt, kan deze onderbreking van de service worden gebruikt voor andere agenda’s. Er is iets van een saga als het gaat om ‘spam’-transacties (DDoSing op het netwerk met veel transacties) en Bitcoin die zich afspeelde van 2015 tot 2017.
In juni 2015 voerde Coinwallet.eu (een inmiddels opgeheven portefeuillemaatschappij) een “stresstest‘Van het Bitcoin-netwerk door duizenden transacties op het netwerk te verzenden in een poging om het controversiële debat over verandering van blokgrootte dat op dat moment woedde te beïnvloeden, waarbij ze in hun aankondigingspost verklaarden dat ze’ een duidelijk pleidooi wilden houden voor de toegenomen blokgrootte door de eenvoud van een grootschalige spamaanval op het netwerk aan te tonen. “
Een maand later, in wat de ‘overstromingsaanval’ wordt genoemd, werden 80.000 kleine transacties tegelijkertijd op het Bitcoin-netwerk verzonden, waardoor een enorme achterstand ontstond die alleen werd weggewerkt door de inspanningen van F2Pool, een van de grootste mijnbouwpools op dat moment. die een heel blok wijdde aan het combineren van alle spamtransacties en het opruimen ervan.
Volgens analyse van LaurentMT, de maker van de Bitcoin-analysetool OXT, werden in de loop van het volgende jaar vele duizenden of zelfs miljoenen spamtransacties (meestal kleine, nutteloze transacties die onmogelijk legitiem konden zijn) verzonden, waardoor de achterstand van Bitcoin UTXO, maar deze transacties werden voor het grootste deel genegeerd door de grote mining pools.
Plotseling, in de tweede helft van 2016 en goed rond dezelfde tijd, begonnen de toenmalige grote mining-pools deze spamtransacties in blokken te accepteren, waardoor de verwerkingscapaciteit van legitieme transacties werd verminderd, net toen het debat over de blokgrootte weer op gang kwam en veel van de poelen gingen geruchten dat ze zich aansloten bij de “grote blokkers” boven de kleine blokkers.
Het Bitcoin-netwerk heeft sindsdien deze achterstand weggewerkt en neuriet mee, terwijl de big-block fans hun aandacht hebben verlegd naar Bitcoin Cash, een project waar Jihan Wu (oprichter van Bitmain verreweg de grootste eigenaar van Bitcoin hashpower) volledig achter staat. . Doe je eigen onderzoek.
51% of meerderheidsaanval
Omdat de beveiliging van een blockchain direct is gekoppeld aan de computerkracht die de keten opbouwt, bestaat de dreiging dat een aanvaller controle krijgt over een meerderheid van de hash-stroom op het netwerk. Dit zou de aanvaller in staat stellen om blokken sneller te minen dan de rest van het netwerk bij elkaar, waardoor de deur opengaat naar ‘dubbele uitgaven’.
Dubbel uitgeven is een methode om een cryptocurrency te bedriegen, waarbij transacties naar de keten worden verzonden, het goed of de service waarvoor de transactie betaalt, worden ontvangen en vervolgens de meerderheid van de hashpower wordt gebruikt om de blockchain te splitsen op een punt voorafgaand aan de transactie. Hiermee wordt die transactie effectief uit de ketengeschiedenis gewist, waardoor de aanvaller een tweede keer met diezelfde munten kan handelen.
Het verkrijgen van een meerderheid van hashpower zou een aanvaller niet toestaan om munten te creëren, toegang te krijgen tot adressen of op een andere manier het netwerk in gevaar te brengen, wat de schade die deze methode mogelijk maakt beperkt. Het grootste effect van een dergelijke aanval is wellicht het verlies van vertrouwen in het netwerk dat wordt aangevallen en een daaropvolgende sterke daling van de activaprijs van een token op het netwerk..
Dit soort meerderheidsaanvallen is erg duur om uit te voeren, en als gevolg daarvan zijn in werkelijkheid alleen relatief kleine munten met een laag hashpower vatbaar voor deze aanvalsvector. Grote munten zoals Bitcoin hebben weinig te vrezen van een aanval van 51% vanwege het feit dat elke aanvaller met de overgrote meerderheid van hashpower meer prikkels zou hebben om gewoon alle blokken te minen en de Bitcoin te ontvangen dan om te proberen een aanval uit te voeren, vooral gezien het feit dat de prijs van hun gestolen Bitcoin zou instorten als het nieuws van een aanval bekend werd.
51% in het wild
Een van de interessantere voorbeelden van 51% aanvallen in het wild is te danken aan een groep hackers die zichzelf de ’51 Crew ‘noemden.In de tweede helft van 2016 begon de 51 Crew kleine Ethereum-klonen vast te houden voor losgeld, gebruikmakend van hun lage hash-tarieven en gecentraliseerde mijnbouwdistributie om voldoende hardware te huren om het netwerk in het nauw te drijven.
Bewerend dat het hun “niet is om een project te verwoesten” en ze deden dit gewoon om geld te verdienen, eisten ze Bitcoin in ruil voor het stopzetten van hun activiteiten en het met rust laten van de projecten. Als niet aan de eisen werd voldaan, zouden ze de blockchain van de munt splitsen tot een punt voorafgaand aan grote verkopen die de bemanning al op beurzen had gedaan.
De projecten in kwestie, Krypton (inmiddels opgeheven) en Shift (nog steeds verhandeld tegen een klein volume), weigerden allebei het losgeld te betalen en lieten vervolgens hun blockchains splitsen. De projectteams haastten zich om de decentralisatie van het netwerk te ondersteunen en wijzigingen aan te brengen in de protocollen om dergelijk misbruik te voorkomen, maar niet voordat ze een behoorlijke hit kregen.
Cryptografische kwetsbaarheden
De tot nu toe geschetste aanvallen hebben voornamelijk betrekking op dubbele uitgaven of vermindering van netwerkdiensten. De aanvallen zijn duur om uit te voeren en worden snel gecorrigeerd door de zelfherstellende functies van het netwerk. Hoewel ze een reële bedreiging kunnen vormen voor het vertrouwen in een cryptocurrency en kunnen resulteren in een minimaal verlies aan geld, zijn het relatief kleine aardappelen.
Zoals bij elk computersysteem of netwerk, is de grootste aanvalsvector een menselijke fout. De grote verliezen aan geld die tot nu toe in cryptoland zijn opgetreden, zijn het gevolg van bugs in de software van de munt zelf. Cryptografische fouten in de beveiliging van cryptocurrencies laten gaten in de beveiliging achter die kunnen worden ontdekt en misbruikt door geavanceerde hackers om een project te ondermijnen.
De DAO
Misschien wel het meest zichtbare voorbeeld van een hack die mogelijk wordt gemaakt door middel van slordige code is de beruchte Ethereum DAO-hack, zo erg dat het een geheel nieuwe cryptocurrency heeft voortgebracht en het Ethereum-project tot op de dag van vandaag achtervolgt.
De DAO (Decentralized Autonomous Organization) was een leiderloze organisatie die bovenop Ethereum was gebouwd met behulp van slimme contracten. Het idee was om iedereen de mogelijkheid te geven om in het bedrijf te investeren en te stemmen op projecten die ze wilden financieren, allemaal veilig en automatisch beheerd door de DAO smart contract code.
Als je in de DAO had geïnvesteerd (door DAO-tokens te kopen) en later besloot om je terug te trekken, was er een mechanisme waarmee je je Ethereum naar je terug kon sturen in ruil voor je DAO-tokens. Dit is het mechanisme dat de ‘Split Return’ wordt genoemd en dat op 17 juni 2016 werd uitgebuit door een baanbrekende DAOist.
De Split Return is een proces in twee stappen: retourneer de juiste hoeveelheid Ethereum naar de tokenhouder die de retour activeert, neem vervolgens de tokens en registreer de transactie op de blockchain om het DAO-tokensaldo bij te werken. De onbekende hacker realiseerde zich dat hij het systeem kon misleiden om de eerste stap te herhalen zonder naar de tweede over te gaan, waardoor ze $ 50 miljoen aan Ethereum uit de DAO konden overhevelen naar een afzonderlijke DAO die alleen door de aanvaller werd beheerd..
Dit deed de Ethereum-gemeenschap duidelijk ontvlammen en er werd een plan gemaakt om het geld terug te vorderen en terug te vorderen. Een zachte vork zou minimaal invasief, achterwaarts compatibel zijn geweest en de DAO-hack eenvoudig uit de blockchain hebben ‘gewist’. Toen het plan eenmaal was gemaakt, realiseerde men zich echter dat het niet zou vliegen en dat een harde vork nodig zou zijn. Dit was controversieel en resulteerde in de oprichting van Ethereum Classic (ETC), een voortzetting van de originele Ethereum-keten met de DAO-hack op zijn plaats, en Ethereum (ETH), het nieuwe hard-fork-project dat op een andere dag doorging met DAO.
De echte bedreiging zijn gebruikers, niet hackers
Blockchain-technologie is robuust en veelbelovend, en zelfs met al deze mogelijke aanvalsbenaderingen zijn er maar heel weinig succesvolle aanvallen de geschiedenis ingegaan. Dit heeft echter niet voorkomen dat er enorme hoeveelheden geld van gebruikers zijn gestolen.
Hoewel de beveiliging van de meeste cryptocurrencies intact blijft, blijft de beveiliging van de wallets, exchanges en accounts van services van derden rond deze cryptocurrencies bijna lachwekkend slecht. Miljoenen en miljoenen dollars aan Bitcoin en andere cryptocurrencies zijn in de loop der jaren gestolen uit de gecompromitteerde accounts van individuen en uitwisselingen.
Hoewel de hierboven beschreven aanvallen meestal theoretisch zijn en actief tegen worden verdedigd, is het flagrante gat in de beveiliging van Bitcoin en elke andere cryptocurrency het feit dat mensen niet zo goed opletten en waakzaam zijn. Wachtwoorden hergebruiken, slachtoffer worden van phishing-aanvallen, onzorgvuldige website-exploitanten en nalatige uitwisselingsmedewerkers blijven het gevaarlijkste punt van mislukking als het gaat om de gezondheid van de crypto-economie.
Naarmate we verder gaan, kunnen er mogelijk enkele aanvallen op blockchain-niveau worden uitgevoerd. Deze kunnen afkomstig zijn van grote mogendheden zoals regeringen of bedrijven die deze veelbelovende nieuwe manieren om rijkdom en waarde op te slaan en over te dragen, willen beheersen of ondermijnen. Op de lange termijn zullen dergelijke aanvallen echter alleen werken om de technologie te versterken en te ontwikkelen om resistenter en robuuster te zijn.
Maar veel meer dan dit, er zullen grote sprongen moeten worden gemaakt in het gebruiksgemak en de veiligheid van cryptoproducten voor consumenten voordat echte acceptatie kan plaatsvinden. Zolang iemand per ongeluk een wachtwoord deelt of een laptop open laat staan, het verlies van uw spaargeld kan betekenen, kunnen we geen wereld betreden die op crypto draait.
