Ar galima įsilaužti į Bitcoin? Bet kurią programinę įrangą galima nulaužti, tačiau tai nebūtinai yra blogas dalykas. Dėl įsilaužimų kriptovaliuta tampa saugesnė. Juk viskas, kas tavęs nežudo, tave stiprina, teisingai?

„Bitcoin Security“: „Bubble Boy“ ir kanalizacijos žiurkė

Andreas Antonopoulos pristato paskaitą „„Bitcoin Security“: „Bubble Boy“ ir kanalizacijos žiurkė.„Šioje paskaitoje jis tiria centralizuotas sistemas kaip„ burbulų berniuką “- sistemą, sukurtą saugiai ją izoliuoti nuo išorinių jėgų. Galiausiai burbulas sprogo, atskleidė sistemą ir gyveno atskirai, neleido šiai sistemai sukurti imuniteto atakoms.

Kita vertus, Andreasas teigia, kad atviros blokinės grandinės, tokios kaip „Bitcoin“, yra „kanalizacijos žiurkės“. Jie gyvena laukinėje gamtoje, kuriai nepasakomos priešiškos jėgos. Vadinasi, jie būtinai kuria imuninę sistemą. Įsilaužimų pasitaiko, tačiau sprendimai padeda apsaugoti sistemą nuo būsimų atakų.

Kaip Andreas sako pokalbio pabaigoje:

Gali būti sulaužytos visos kriptografijos formos. Visos kriptografijos formos galiausiai sulaužomos. Tai yra teisingumas … įskaitant tą, kuris šiuo metu yra už Bitcoin, taip. Vėlgi klausimas yra laiko skalė … Mes tikimės, kad kriptografija bus sugadinta. Mes tikimės, kad kiekviena „Bitcoin“ sistema ir posistemis galiausiai susilpnės. Ką turime padaryti, tai 1) įsitikinti, kad tokios silpnybės nėra sisteminės ir neišsamios. Tada [2)] nustatykite silpnybes pakankamai anksti, kad pradėtumėte jas spręsti, kad jos netaptų sisteminės. Geriausias būdas tai padaryti yra veikiant atviroje, bendradarbiaujančioje aplinkoje, kur sužinai apie tas silpnybes “.

ar gali būti nulaužtas Bitcoin vaizdas

Bitcoin yra kanalizacijos žiurkė

Atidarykite savo kodą ir leiskite saulei švystelėti

Kaip ir daugelis kriptovaliutų projektų, „Bitcoin“ yra atviro kodo projektas. Atvirojo kodo projektuose kiekvienas gali peržiūrėti kodą. Tiesiog atsisiųskite kodą ir jį ištirkite, kad sužinotumėte, ar į Bitcoin galima įsilaužti! Daugybei akių, žiūrinčių į kodą, problemos atsiskleidžia lengviau, o programuotojai išsprendžia problemas, kai žmonės jas nustato.

Tiesą sakant, vien tik ketinimas skiria saugumo pažeidžiamumą nuo klaidos. Vartotojas paspaudžia raktų seką, sugadindamas programą. Įsilaužėlis paspaudžia tą pačią raktų seką, kad užstrigtų programa. Vartotojas netyčia susidūrė su klaida. Įsilaužėlis pasinaudojo klaida, kad sutrikdytų sistemą. „Bitcoin“ veikia kaip programinė įranga, visoje programinėje įrangoje yra klaidų, o įsilaužėliai išnaudoja klaidas.

Pažeidžiamumo atskleidimas

Neseniai „MIT Media Lab“ kūrėjas, dirbantis su „Bitcoin“ skaitmeninės valiutos iniciatyvai aptiko „Bitcoin Cash“ pažeidžiamumą. „Bitcoin“ ir „Bitcoin Cash“ bendruomenės paprastai sutaria, taip pat su „Road Runner“ ir „Wile E. Coyote“, ir pasiekia maždaug tuos pačius rezultatus..

Šis pažeidžiamumas, jei jis būtų panaudotas, nuo to momento galėjo sunaikinti „Bitcoin Cash“ kaip mokėjimo sistemą. Programuotojas elgėsi garbingai ir privačiai informavo „Bitcoin Cash“ projektą apie trūkumą. Jie ištaisė klaidą, kol kas nors jos neišnaudojo, ir viešai paskelbė pataisymą 2018 m. Gegužės 7 d.

Protingos sutartys (arba ne tokios protingos)

Žvelgiant iš saugumo perspektyvos, sumanios sutartys kelia vieną didžiausių „blockchain“ iššūkių. Išmaniosios sutartys yra vykdomojo kodo dalys, skirtos valdyti operacijas, ir jos gyvena „blockchain“. Kadangi jie gyvena „blockchain“, jie gyvena amžinai. Kadangi jie gyvena amžinai, visos jose esančios klaidos ar saugumo spragos taip pat gyvena amžinai.

Prastai suprojektuotas ir įdiegtas išmaniosios sutarties kodas gali sukelti didžiulius finansinius nuostolius. Liūdnai pagarsėjęs „DAO“ įsilaužimas atsirado dėl prastai užkoduoto išmaniojo kontrakto.

Hakeriai mėgsta sudėtingą kodą, nes ten gyvena klaidos. Ir atvirkščiai, saugumas mėgsta paprastumą. „Bitcoin“ bendruomenė sukūrė „Bitcoin Script“ kalbą kaip paprastą ir ribotą kaip saugumo priemonę.

Arba „Ethereum“ stengiasi suteikti decentralizuotą programavimo platformą, todėl sukūrė „Solidity“ programavimo kalbą, kad ji būtų „Turing Complete“, t..

„Capture the Flag“ (CTF) nuotykiai paverčia žaidimus saugumo tyrimais, o „Security Innovation“ suteikia juos nemokamai dėl blokinių grandinių išmaniųjų sutarčių, „Blockchain CTF“. Žaidimų tikslas yra surasti visus nurodyto kodo saugumo trūkumus.

„Ethereum Solidity“ išmaniųjų sutarčių programavimo reikalavimai geros programavimo praktikos, atsižvelgiant į saugumą. Ar galima įsilaužti į „Ethereum“? Taip, taip pat gali ir „Bitcoin“.

2018 m. Liepos 27 d. „Ethereum“ projekto ICO žinomas kaip „KICKICO“ dėl įsilaužimo prarado 7,7 mln. Įsilaužėliai gavo privatų projekto raktą ir pasinaudojo išmaniąja sutartimi. Teisybės dėlei, tai skamba kaip kaltė apsaugant privatų raktą, o ne pačioje išmaniojoje sutartyje.

Meskite jį prieš piniginę ir pažiūrėkite, ar ji prilimpa

Piniginės yra atsakingos už privačių raktų valdymą, nes jose saugomi jūsų privatūs raktai. Naudokitės internetine pinigine, o jūsų privatūs duomenys gyvena kažkieno serveryje, atsižvelgiant į jų pažeidžiamumą. Bet jei kietajame diske naudojate piniginę, tas diskas gali mirti. Neprisijungus naudojamos aparatinės piniginės užtikrina geriausią saugumą.

Prieš piniginę

Kripto saugojimas internetinėse piniginėse kviečia išpuolius.

Vienu būdu įsilaužėliai tai daro pirmiausia jie gauna jūsų el. pašto adresą ir telefono numerį, daugumai žmonių lengvai prieinamą informaciją. Tada jie inicijuoja jūsų paskyros slaptažodžio nustatymą iš naujo. Tada jie naudojasi Signaling System 7 (SS7) telefonijos protokolo pažeidžiamumais.

Pagrindinės mobiliųjų telefonų kompanijos, tokios kaip AT&T ir „Verizon“ naudoja šį protokolą. Naudodamiesi šiuo protokolu, įsilaužėliai perima autorizacijos žetoną, kurį įmonė siunčia į aukos sąskaitą.

Tai atlikę įsilaužėliai dabar pasiekia dviejų veiksnių autentifikavimo kodus, siunčiamus į aukos telefoną. Tuo jie naudojasi vartotojo sąskaita tokioje sistemoje kaip „Coinbase“ ir prieina prie aukos lėšų.

Sugadintas privatumas

Kas vyksta aplink, atsiranda ir ironiškai, kai kurie kripto trūkumai įkando įsilaužėliams.

Tyrėjai iš daugelio universitetų, įskaitant Prinstono, Carnegie Mellon, Bostono universiteto ir MIT aptiko privatumo trūkumą Moneryje. Priešingai nei Monero tikslas, šis trūkumas leido kam nors pamatyti išsamią operacijų informaciją ir nustatyti, kas tas operacijas atliko.

Kadangi „blockchain“ duomenys yra nuolatiniai, naudojant tokį trūkumą, tyrėjai gali atskleisti visą ankstesnių operacijų informaciją. Įsivaizduokite, kad vagis jus apiplėšė, manydamas, kad jo poelgiai liko paslėpti, tada pamatėte, kad jį paveikė programinės įrangos klaida!

Paskutinės mintys – ar galima įsilaužti į Bitcoin?

Programinė įranga niekada nesibaigia, klaidos užkrėtė programinę įrangą, o saugumo spragos apibrėžia tam tikrą klaidų klasę. Kai kurie įsilaužimai atsiranda dėl sumanaus manipuliavimo kodu. Tačiau kai kurie įsilaužimai visiškai nepaiso technologijos.

2017 m. Gruodžio mėn, „NiceHash“ sustabdė operacijas dėl įsilaužimo tai kainavo 64 milijonus dolerių. „NiceHash“ teigė, kad ataka buvo „labai profesionali“ ir apėmė „sudėtingą socialinę inžineriją“.

Socialinė inžinerija nereiškia nieko kito, kaip senamadiški apgavikų šenaniganai. Įsilaužėliai naudojasi socialine inžinerija, kad įtikintų žmones atsisakyti slaptažodžių, suteikti prieigą ar atsisakyti kitos naudingos informacijos.

Ar galima įsilaužti į Bitcoin? Leisk man suskaičiuoti būdus. Bet kiekvienas atrastas ir pašalintas trūkumas stiprina sistemą į gerąją pusę.