Som cryptocurrency industrien fortsetter å ekspandere og blir et stadig mer attraktivt mål for hackere, har Pentagon bestilt en studie som har oppdaget noen angående sårbarheter, beskrevet i en medfølgende rapport.
Faktisk, rapporten, publisert 21. juni med tittelen "Er blokkjeder desentralisert? Utilsiktede sentraliteter i distribuerte hovedbøker," har oppdaget at "en undergruppe av deltakere kan få overdreven, sentralisert kontroll over hele systemet."
Studien, som fokuserer på Bitcoin (BTC) og Ethereum (ETH), ble utført av sikkerhetsforskningsfirmaet Trail of Bits under ledelse av Pentagon's Defense Advanced Research Projects Agency (DARPA).
Ifølge rapporten:
"Antallet tilstrekkelige enheter til å forstyrre en blokkjede er relativt lavt: fire for Bitcoin, to for Ethereum og mindre enn et dusin for de fleste PoS-nettverk."
60 % av Bitcoin-trafikken går gjennom bare 3 Internett-leverandører
Videre sa rapporten at "av all Bitcoin-trafikk, går 60% bare tre Internett-leverandører," med henvisning til internettleverandører. På toppen av det, "det store flertallet av Bitcoin-noder ser ut til å ikke delta i gruvedrift, og nodeoperatører står ikke overfor noen eksplisitt straff for uærlighet."
Som analytikerne advarer, "utplassering av en ny node krever bare én rimelig skyserverforekomst - ingen spesialisert gruvemaskinvare er nødvendig." Dette åpner for muligheten for å oversvømme en blokkjedes konsensusnettverk med nye, ondsinnede noder kontrollert av en enkelt part i det som kalles et Sybil-angrep.
Ytterligere problemer inkluderer utdaterte og ukrypterte protokoller og programvare, som alle utsetter nettverket for angrep. Som rapporten forklarer:
"Sikkerheten til en blokkjede avhenger av sikkerheten til programvaren og protokollene til dens off-chain-styring eller konsensusmekanismer."
Uforsiktige gruvebassenger
Rapporten oppdaget også at alle gruvebassengene analytikerne testet "enten tildeler et hardkodet passord for alle kontoer eller rett og slett ikke validerer passordet som ble gitt under autentisering."
Som et eksempel brukte rapporten praksisen til den globale gruvepoolen for kryptovaluta ViaBTC med tilsynelatende å tildele passordet '123' til alle kontoene. Et annet gruveselskap, Poolin, "ser ikke ut til å validere autentiseringslegitimasjon i det hele tatt", mens Slushpool "eksplisitt instruerer brukerne om å ignorere passordfeltet."
I følge de tilgjengelige dataene står disse tre gruvebassengene for omtrent 25 % av Bitcoin-hashraten.
Cybersecurity forskere advarer ofte om potensielle kryptorelaterte svakheter som kan føre til hendelser som den som finbold rapportert i midten av april, hvor en angriperen klarte å stjele hele samlingen til en person av kryptoer og ikke-fungible tokens (NFT-er) verdt over $650,000 XNUMX fra deres MetaMask krypto lommebok.
Kilde: https://finbold.com/pentagon-paper-warns-of-major-vulnerabilities-in-the-bitcoin-blockchain/