Hakerski napadi na kriptovalute: Vektori napada na IOTA sistem.
Koliko su digitalne valute zaista bezbedne?
Dr Goran Kunjadić, specijalista za IT bezbednost i kriptozaštitu, u kolumni ove nedelje nam opasnosti koje vrebaju IOTA sistem.
U prethodnim nastavcima smo pisali o IOTA protokolu koji je zasnovan na Tangle strukturi podataka koja se oslanja na usmereni aciklični graf (Directed Acyclic Graph - DAG). Kriptovaluta koja koristi ovu tehnologiju takođe je nazvana IOTA i mnogi joj predviđaju blistavu budućnost. Neka razmatranja ukazuju da bi MIOTA (milion IOTA) sa sadašnjih 5 USD mogla porasti na 15 USD za jedan MIOTA do kraja ove godine.
IOTA tehnologija poseduje mnogobrojne prednosti od kojih je možda najbitnija ta što se procesi brže izvršavaju ukoliko ima više učesnika u lancu što joj daje značajnu prednost nad Blockchain tehnologijom. Ipak, nije sve baš tako sjajno kao što izgleda.
Nedavno se desio hakerski napad na IOTA koji je korisnicima prouzrokovao štetu od oko 4 miliona USD. Takođe, to nije prvi napad koji je izveden na novu tehnologiju. Napad je bio zasnovan na tehnologiji generisanja kriptografskih ključeva o čemu smo pisali. IOTA podrazumeva da korisnik sam generiše ključeve na svom uređaju kako privatni ključ nikada ne bi napustio uređaj i kako bi se izbeglo njegovo kompromitovanje.
Mnogi korisnici za generisanje ključeva koriste online generatore zbog njihove dostupnosti i jednostavnosti upotrebe. Upravo na tom mestu se napad i desio. Nakon što se ključevi generišu online, prenose se do samog korisnika kako bi korisnik mogao da ih upotrebljava. Na putu od generatora do korisnikovog uređaja mnogo je mesta na kome se ključevi mogu presresti. Napadači su se odlučili na najjednostavniju taktiku a to je da presretnu ključeve na samom izvoru, odnosno na online generatoru.
Dok pristalice IOTA tvrde da ovo nije greška u samoj tehnologiji, za koju kažu da je i dalje savršeno sigurna, kritičari odbacuju ovaj argument. U svakom slučaju korisnici su ti koji se odlučuju za jednostavniju i bržu varijantu koja ih na kraju skupo košta.
Za razliku od opisane, postoji mnogo ozbiljnija ranjivost koju će pre ili kasnije biti potrebno rešiti. Naime, uočeno je da ako se ispravni podaci pošalju više puta istom entitetu mogu dovesti do toga da napadač direktno preuzme kriptovalutu od vlasnika više puta. Vektor napada je relativno uobičajen i u terminologiji se naziva „Replay attack“.
Teorijski posmatrano, moguće je slanje transakcije više puta ukoliko se konekcija ne uspostavi odmah. Da se ne bi dešavalo da isti iznos bude prenet više puta, dozvoljen je samo jedan digitalni potpis, što deluje sasvim bezbedno. Ipak, u praksi se pokazalo da to baš i nije tako. Iako bi trebalo očekivati da se upotreba iste heš vrednosti dozvoli samo jednom u okviru praćenja transakcije, pokazalo se da je moguće istu heš vrednost koristiti više puta. To praktično znači da ukoliko se izvršava transakcija sa 100 MIOTA, a zatim se poruka ponovi 10 puta, iz kripto-novčanika će biti skinuto 1.000 MIOTA.
Ovu ranjivost je otkrio Joseph Rebstock. Kreatori IOTA sistema i dalje tvrde da opisani napad nije moguć i da neće ništa preduzimati po tom pitanju. Ipak, sve činjenice govor u prilog tome da je opisani napad moguć.
Sigurno će nove metode napada biti primenjivane a samim tim će se razvijati i nove metode odbrane. Cilj je uvek biti ispred onog drugog. Prednost je veoma promenljiva i u tome se često smenjuju jedna i druga strana. Novac je od svog postanka bio meta napada i pokušaja nelegalnog preuzimanja. Suština se nije promenila već se promenio oblik novca a samim tim i načini na koji se do novca pokušava doći na nelegalan način.
(Telegraf.rs)