Пять угроз, которые нависли над блокчейном

Илья Шарапов
Илья Шарапов

Руководитель аналитического подразделения по информационной безопасности ООО «ТСС»

Расскажите друзьям
Виктория Кравченко

Илья Шарапов, руководитель аналитического подразделения по информационной безопасности ООО «ТСС», написал материал об опасностях, которые могут уничтожить блокчейн. Давайте разбираться.

У России есть шанс

Глава вневедомственной рабочей группы Госдумы РФ Элина Сидоренко во время регионального блокчейн-митапа в Казани заявила, что в сентябре 2017 года в парламент внесут законопроект о легализации криптовалют.


«Сейчас единственной страной, легализовавшей критовалюты, является Япония. В апреле 2017 года в стране приняли закон, приравнивающий их к обычным деньгам – криптовалюты получили статус платежного средства. Однако участниками рынка криптовалют в Японии могут быть только нерезеденты тех стран, законодательство которых близкое к законодательству Японии. Фактически весь легальный рынок замкнулся на Японии», — отметила она.



По словам эксперта, у России тоже есть шанс стать «мостиком» между биржевым Западом с его пониманием криптовалюты как коммодити (биржевого товара) и японским пониманием криптовалюты как средства платежа и обмена, установив при этом некоторые рамки законодательного регулирования. В частности, ожидается появление бирж криптовалют.


Другим направлением станет развитие и регулирование технологии блокчейна, лежащей в основе производства криптовалют.


Плюсы блокчейна

Блокчейн и криптовалюта биткоин как квинтэссенции технологии стали одним из главных трендов на рынке ИТ в последние 3-4 года. Большинство протоколов блокчейна разработаны как децентрализованные одноранговые сети, которые позволяют членам совместно хранить и запускать вычислительные операции с данными без ущерба для безопасности и конфиденциальности.



Технология блокчейна полезна в тех сферах, где задействованы множество участников и требуется минимум посредников, вот почему подобные проекты реализуются в страховании, здравоохранении, госуправлении.


Блокчейн позволяет сократить затраты на бюрократический аппарат и минимизировать риски коррупции, обеспечить сохранность и безопасность данных, устранить ненужные или избыточные операции. Неудивительно, что не только органы власти, но и бизнес активно прицениваются к блокчейну.


Кейс 1

Одним из самых ярких примеров стало создание банковского консорциума R3 CEV, который уже успел провести испытания технологии блокчейн для банковских структур. В них приняли участие BMO Financial Group, Credit Suisse, Commonwealth Bank of Australia, HSBC, Natixis, Royal Bank of Scotland, TD Bank, UBS, UniCredit и Wells Fargo, которые пять дней обменивались записями в распределенной базе данных по открытой блокчейн-технологии.


Кейс 2

Другой пример — канадский банк ATB Financial, благодаря интеграции платежного ИТ-решения и облачной платформы успешно осуществивший перевод в Германию за 20 секунд, в то время как традиционный процесс обработки подобной процедуры из-за расчетов с банком-контрагентом и выверки счетов обычно занимает от двух до шести рабочих дней.


Кейс 3

Впрочем, среди бизнесменов есть и скептики. Весной 2017 года дебетовая платежная онлайн-платформа PayPal отказалась использовать блокчейн, отдав предпочтение традиционным СУБД. Представители PayPal назвали биткоин «спекулятивным финансовым инструментом, подверженным высокой волатильности».


Однако это не отменяет популярность и востребованность биткоинов. Однако мало кто отдавал себе отчет в том, насколько технология блокчейна безопасна. А на рынке уже есть яркие примеры того, как блокчейном можно манипулировать.


Угроза 1. Картельный сговор

По данным blockchain.info, майнеры, добывающие биткоины, производят 450 тысяч трлн вычислений в секунду. Каждая попытка требует энергии. Ежегодно на производство биткоинов уходит от 2 тераватт-часов (это больше, чем потребляет 150-тысячный город в Калифорнии) до 40 тераватт-часов (это две трети от потребления 10-миллионного округа Лос-Анжелес).



В США каждая транзакция биткойна стоит около 6 долларов, и в результате большинство майнеров открывают «фермы» в странах с дешевой электроэнергией.


По данным bitcoinity.org, в феврале 2016 года ТОП-производителей биткоинов выглядел следующим образом:

  1. Antpool – 25,90%,
  2. F2pool – 22,60%,
  3. Bitfury – 15,09%,
  4. BtcChina – 12,78%,
  5. bw.com – 6,34%,
  6. прочие – 17,29%.

Четыре из пяти перечисленных майнеров, за исключением Bitfury, имеют китайскую «прописку». Это порождает риск «картельных сговоров» и «угрозы 51%», а также ставит вопрос о мотивации компаний, в действительности контролирующих систему, – их интересы могут отличаться от интересов людей, держащих активы в биткоинах. Наконец, никто не отменял политические риски и влияние китайских регуляторов на интернет-отрасль.


Угроза 2. Челночный бег

На данный момент главной угрозой для блокчейна, пускай и гипотетической, является «атака 51%», когда злоумышленник может сделать откат транзакций, печатая альтернативные блоки и гарантированно опровергая то, что происходит в обычном блокчейне. По сути, это похоже на челночный бег.



Однако учитывая ресурсоемкость решения хэш-функции и эмиссии новых биткоинов, пока что такой вариант кажется маловероятным. Сговор владельцев крупнейших майнинговых пулов тоже выглядит неубедительным (если не учитывать статистику крупнейших производителей биткоинов).


Но подобные примеры уже были: один из пулов – ghash.io – набрал мощность, близкую к 50%, после чего владельцы прекратили прием новых пользователей, чтобы не создавать компрометирующую ситуацию.


Угроза 3. Контрольный пакет

В разных технологиях блокчейна используются разные методы подтверждения блоков. Так, в биткоин применяется метод proof-of-work — подтверждение блоков вычислительной мощностью.



Другой вариант закрытия блоков – proof-of-stake, когда блоки печатаются не вычислительной мощностью, а с помощью денег, находящихся у людей на руках. В этом случае, чтобы провести «атаку 51%», необходимо иметь 51% монет, оборачивающихся в системе.


Как и в случае с «челночным бегом», если злоумышленник владеет более чем 51% монет, он также сможет создать альтернативную цепочку, которая превратится в основную. Эта ситуация напоминает голосование на собрании акционеров, когда у одного из собственников имеется на руках контрольный пакет, блокирующий голоса других держателей.


Угроза 4. Ключи от всех дверей

Если безопасность блокчейна вызывает минимум опасений, то сохранность биткоинов, напротив, порождает много вопросов, ведь, как и обычные бумажные деньги, криптовалюту тоже можно похитить. Ключ записи в блокчейне — это хэш-функция от публичного ключа.



Неуверенное или халатное хранение закрытого ключа может привести к краже или утере биткоинов. По данным Harvard Business Review, стоимость потерянных биткоинов уже составляет около $950 млн.


Самый простой способ обезопасить себя – создать пароль кошелька. Но если хакер похитит и ваш кошелек, и ваш пароль, восстановить похищенные биткоины будет практически невозможно, поскольку транзакции, представленные с украденными ключами, кажутся проверяющим узлам неотличимыми от законных транзакций.


Некоторые скептики утверждают, что хакеры смогут взломать ключ, используя сервисы, вычисляющие пароли по хэшу. Однако, учитывая нынешние вычислительные мощности, это выглядит маловероятным. Но если вдруг появится алгоритм, позволяющий эффективно факторизовать эллиптические кривые, то возникнет вероятность того, что к адресам-кошелькам, из которых тратились деньги, легко можно будет подобрать закрытые ключи.

Угроза 5. Атаки на биржи

Не меньше вопросов вызывает и надежность бирж, хранящих криптовалюты. В августе 2016 года с гонконгской биржи Bitfinex – одной из четырех крупнейших в мире площадок для криптовалютных торгов – похитили 119 756 биткоинов (около $65 млн).


За Bitfinex закрепилась репутация одной из самых надежных и безопасных организаций: большинство пользовательских средств хранились в кошельках с мультиподписью и в «холодных хранилищах». Несмотря на это, злоумышленникам удалось обойти защиту Bitgo, в том числе двухфакторную аутентификацию и механизм мультиподписи, и совершить массовую кражу с индивидуальных кошельков пользователей.


Детали взлома так и не были донесены до широкой общественности, однако в СМИ тиражировалось мнение о возможной причастности сотрудников Bitfinex ко взлому, что снова ставит вопрос о человеческом факторе.


To be continued...

Этим список проблем не ограничивается. Прошлым летом криптовалюта Ethereum, построенная на языке Тьюринга Виталиком Бутерином, пострадала от «контрагента» — Decentralized Autonomous Organization (децентрализованной автономной организации).


DAO – цифровая компания или виртуальный хедж-фонд, долю в котором можно получить путем вложения личных средств и покупки на них DAO-токенов – стала жертвой собственных недоработок. В коде DAO выявили уязвимости, которые позволили похитить токены.



Ethereum пришлось осуществить хардфорк и провести обратный возврат токенов. Проблем с безопасностью у Ethereum не было тем не менее проект понес репутационные потери из-за недостатков DAO.


Одновременно с блокчейном развиваются и другие технологии, и степень их влияния и опасности пока не до конца очевидна. Так, исследователи из Университета Ньюкасла представили механизм управления ботнетом для отправки сообщений ботам в сети биткоин.


Не исключено, что мало-помалу боты отодвинут людей от манинга биткоинов, как это произошло в случае с ботнетом интернета вещей Mirai. В апреле 2017 года специалисты IBM обнаружили, что Mirai активно устанавливает код майнинга биткоина на компьютеры некоторых из своих жертв. Так что «ботизация» майнинга – пока не до конца очевидная, но вполне осязаемая перспектива.


Материалы по теме:

ТОП-15 главных криптовалют на сегодня (объясняем, в чем фишка, по аналогии с реальным миром)

Эти страны в полушаге от создания национальной криптовалюты. А что крипторубль?

Почему главная угроза для юристов – блокчейн, а не машинное обучение

Блокчейн, виртуальная реальность и P2P: как технологии перевернули благотворительность

Самый реалистичный взгляд на блокчейн: 12 тезисов, которые вы должны знать по теме

Сможет ли блокчейн вернуть доверие народа к государству?



Комментарии

Комментарии могут оставлять только авторизованные пользователи.


Telegram канал @rusbase