Технологія блокчейн була створена, зокрема, щоб дозволити людям, які не довіряють один одному, ділитися цінними даними безпечним і захищеним способом. Це пов’язано з тим, що блокова ланцюжок зберігає дані, використовуючи складні математичні та інноваційні правила програмного забезпечення, які надзвичайно складно подолати за допомогою хакерської атаки для подальших маніпуляцій.
Але безпека блокчейна — навіть найдосконаліших систем — може потерпіти невдачу в тих місцях, де химерні математичні та програмні правила вступають в контакт з людьми, які є досвідченими читерамі. У реальному світі все набагато легше може втратити впорядкованості.
Щоб зрозуміти, чому, варто почати з спроби з’ясувати, що ж робить блокову технологію «безпечної» в принципі. Хорошим прикладом в цьому випадку є біткоіни. У його блокчейне зберігаються загальні дані — це історія кожної транзакції монет. Його базу даних також називають розподіленої книгою. Вона зберігається у великій кількості примірниках в мережі користувачів криптовалюта, званих «вузлами». Кожен раз, коли хтось відправляє транзакцію в регістр, вузли перевіряють, щоб переконатися, що вона дійсна.
Велика кількість таких користувачів конкурують за розміщення дійсних транзакцій в блоки і додавання їх в ланцюжок з попередніх. Власники таких мережевих вузлів називаються Майнер. В якості винагороди за участь в підтримці роботи мережі вони отримують виплати в біткоіни.
Систему роблять теоретично захищеною від несанкціонованого доступу дві речі: криптографічний код, унікальний для кожного блоку, і «консенсусний протокол». Це процес, за допомогою якого вузли в мережі узгоджуються із загальною історією транзакцій.
Унікальний код (хеш) вимагає багато часу і енергії для генерації. Він служить доказом того, що майнер, який додав блок в ланцюжок, виконав певний обсяг обчислювальної роботи, щоб заробити винагороду. З цієї причини алгоритм біткоіни носить назву «доказ виконання роботи». Він також служить свого роду печаткою, оскільки для зміни блоку потрібно генерація нового хешу. Перевірка хешу на відповідність певному блоку дуже проста, і як тільки вузли завершують цей процес, вони оновлюють свої відповідні копії блокової ланцюжка, після приєднання нового блоку. Цей алгоритм носить назву «консенсусний протокол».
Останній елемент безпеки полягає в тому, що всі хеші також служать зв’язками в блок-ланцюжку. Кожен блок включає в себе унікальний хеш попереднього блоку. Тому, для внесення змін до мережі буде потрібно обчислити новий хеш не тільки для блоку, в якому він знаходиться, але і для кожного наступного блоку. І зробити це потрібно до того, як інші вузли додадуть наступний блок в ланцюжок. Тому, такий процес вимагає величезної обчислювальної потужності, якої сучасні комп’ютери поки не володіють. Але навіть в цьому випадку гарантувати успіх неможливо. Додаються блоки будуть конфліктувати з існуючими, а інші вузли автоматично відхилять вносяться зміни. Це робить blockchain захищеним від несанкціонованого доступу і будь-яких спроб змінити зберігається в ньому інформацію.
Творчі способи обману
Незважаючи на велику теорію, реалізація всього цього обсягу теоретичних розрахунків на практиці набагато складніше, ніж здається. Сам факт того, що будь-яка система на базі блокчейна працює як біткоіни і багато інших криптовалюта, це не означає, що такі ресурси мають аналогічної безпекою.
Навіть коли мова заходить про використання перевірених криптографічних інструментів, їх безпеку легко можна пошкодити випадковим чином. Такої думки дотримується Неха Нарула, директор Digital Currency Initiative MIT. Він зазначає, що біткоіни існує довше всіх блокчейн-проектів, тому пройшов перевірку часом.
Однак люди знайшли творчі способи обдурити систему безпеки блокчейна. Емін Гюн Сіер і його колеги з Корнельського університету виявили спосіб прорвати захист блокової ланцюжка, навіть в разі контролю менше половини мережевих вузлів. За їх словами, нечесний на руку майнер здатний домогтися переваги, заманивши інші вузли в пастку для розгадки вже вирішених криптографічних головоломок.
Інша можливість — це так звана «атака затемнення». Вузли блокової ланцюжка повинні залишатися в постійному зв’язку, щоб порівнювати дані. Зловмисник, якому вдасться управляти зв’язком одного вузла і обманювати його в прийнятті помилкових даних, які будуть нібито надходити з іншої мережі, потенційно може обдурити його в процесі витрачання ресурсів або шляхом підтвердження підроблених транзакцій.
Нарешті, незалежно від того, наскільки безпечний протокол блокчейна, він існує не у вакуумі. Кріптовалютние баги зазвичай представляють собою збої в тих місцях мережі, де блокові системи з’єднуються з реальним світом. Наприклад, в клієнтських програмах і сторонніх додатках.
Так, хакери можуть проникнути в «гарячі гаманці» (підключення до інтернету додатки для зберігання приватних ключів) і перевести кошти на свій цифровий гаманець. Гаманці, належать онлайн-сервісів, які займаються обміном криптовалюта, стали основними цілями хакерів. Багато біржі заявляють, що тримають велику частину грошей своїх клієнтів в «холодних» апаратних гаманцях (пристрої зберігання, відключені від інтернету). Але випадок з японською біржею Coincheck в січні 2018 року, коли зловмисники викрали понад $ 500 млн, свідчить, що торгові майданчики не завжди дбають про безпеку коштів трейдерів.
Можливо, найскладнішими контактними точками між блоковими ланцюгами і реальним світом є смарт-контракти. Вони являють собою комп’ютерні програми, що зберігаються в певних типах блокчейнов, які можуть автоматизувати транзакції. У 2016 році хакери використовували непередбачений баг в смарт-контракті, написаному на блокчейне Ethereum, щоб вкрасти токенов ETH на суму близько $ 80 млн (за курсом на той момент) з децентралізованою автономної організації (DAO).
Оскільки код DAO розміщувався на blockchain, спільноті Ethereum довелося піти на спірне оновлення програмного забезпечення — хардфорк. Це дозволило їм повернуть свої гроші назад, створивши нову версію історії блокової ланцюжка, в якій крадіжки грошей не було.
питання централізації
Однією з імовірних гарантій безпеки блок-системи є децентралізація. Якщо копії блок-ланцюга зберігаються на великий і широко розподіленої мережі вузлів і немає жодної слабкої точки для зовнішніх атак, то хакерам дуже важко зібрати воєдино достатній обсяг обчислювальної потужності для проникнення в мережу.
Однак недавня робота вчених говорить про те, що ні біткоіни, ні Ефіріум НЕ децентралізовані, як прийнято вважати. Вони виявили, що в чотирьох найбільших операціях з видобутку BTC було зосереджено понад 53% середнього обсягу емісії токенов в тиждень. У мережі Ethereum в аналогічній ситуації на трьох великих Майнер припала частка в 61% від середнього тижневого обсягу.
Дехто каже, що альтернативні протоколи консенсусу, які не покладаються на традиційну емісію цифрових валют шляхом Майнінг, можуть бути більш безпечними. Але ця гіпотеза не була протестована в широких масштабах, і нові протоколи, швидше за все, також будуть мати свої проблеми з безпекою.
Інші бачать майбутній потенціал у розвитку блокових ланцюжків, яким потрібен дозвіл на приєднання, на відміну від блокчейна біткоіни, де будь-хто, хто завантажує програмне забезпечення, може стати учасником мережі. Такі системи є анафемою анти-ієрархічної етики кріптоконверсій, але цей підхід привертає фінансові та інші інститути, які хочуть використовувати переваги єдиної криптографічного бази даних.
Однак впровадження і таких систем викликає чимало запитань. Хто матиме право видавати дозвіл? Як система забезпечить верифікацію і контроль валідаторів мережі? Система отримання дозволів може забезпечити деяке відчуття безпеки користувачів, але насправді такий підхід просто забезпечить їм більше контролю. Це, в свою чергу, означає, що вони зможуть вносити зміни незалежно від того, чи згодні з ними інші учасники мережі. У такій ситуації фанати криптовалюта напевно побачать порушення основ самої ідеї децентралізації цифрових грошей.
Таким чином, в кінцевому підсумку дуже важко говорити однозначно про безпеку блокчейна. Від кого слід захищати мережу? У чому виражається ця безпеку? Як вважають експерти, «все залежить вашої перспективи».
джерело:
https://www.technologyreview.com/
