Kako je brucoš izveo nemoguć napad na kriptovalute u prenosu uživo
Dr Goran Kunjadić, specijalista za IT bezbednost i kriptozaštitu, nam u kolumni ove nedelje otkriva pozadinu spektakularnog napada 51% na bitcoin.
Haker sa aliasom geocold51 o kome se malo zna osim onoga što je sam objavio a to je da je brucoš jednog univerziteta. Svoju inspiraciju je pronašao u hakeru čiji je alias geohot, a koji je, između ostalog, uspeo da razbije zaštitu kompanije Apple i na iPhone neovlašćeno instalira neproverenu aplikaciju.
Postupak koji je geocold51 izveo je gotovo neverovatan, pogotovo imajući u vidu da se radi o brucošu fakulteta.
Objavio je najpre koncept napada a koji se sastojao u tome da se najpre obezbedi 51% procesorske snage koja se koristi za rudarenje ciljne kriptovalute. Očigledno je da prvi zadatak nije ni malo lako ispuniti. Kupovina hardvera koji bi posedovao željenu snagu bilo bi preskupo i napad ne bi bio isplativ.
Ipak, rešenje je pronašao u korišćenju cloud computinga. Koliko god iznajmljivanje računarskih kapaciteta bilo korisno i isplativo za kompanije koje na taj način smanjuju svoje troškove za hardver, u ovom slučaju se pokazalo i kao benefit za napadače. Investicija u neophodne kapacitete, odnosno zakupljivanje dovoljno procesorskih kapaciteta iznosila je svega 100 USD, da bi se do kraja eksperimenta popela do 200 USD.
S obzirom na ostvarene rezultate, investicija se pokazala, za većinu, lako dostupnom i više nego isplativom.
Nakon što je obezbedio dovoljno računarskih kapaciteta geocold51 je izveo napad tako što je obrisao blok u blockchainu i zamenio ga novim u kome se kripto valuta usmerava na željeni račun napadača. U osnovnom lancu je ostalo zabeleženo da je jedan te isti novac potrošen dva puta. Tom prilikom je otkrivena ranjivost blockchain-a koja do sada nije primećena.
Vladalo je uverenje da je to nemoguć postupak, ali se ipak pokazalo suprotno. Otkrivena činjenica je izazivala zabrinutost.
Da stvari budu povod za još veću zabrinutost napadač je najavio svoj napad i vršio javni streaming svog napad preko reddit web sajta. Sam napad kao i javno prikazivanje su izvršeni pre nekih desetak dana. Nakon toga, snimak se pojavio i na YouTube platformi.
Prilikom demonstracije napada detaljno je objašnjavan svaki korak. Svoj sledeći napad geocold51 je već najavio i očekuju se dalja poboljšanja taksonomije samog napada.
Srećom, geocold51 nije imao niti ima nameru da dođe do kripto koina na nelegalan način, već mu je cilj da ukaže na slabosti samog sistema. Na isti način se ponaša i njegov uzor geohot koji i dalje pronalazi bezbednosne propuste za Apple platforme i javno ih objavljuje. Objavljene informacije i direktan prenos samog hakovanja su pružili mnoštvo opasnih informacija za vlasnike kripto valuta a istovremeno korisnih za napadače.
Podsetimo se još jednom na preduslov napada a to je da je potrebno obezbediti barem 51% procesorske snage koja se koristi za rudarenje ciljne kripto valute.
Jasno se nameće zaključak da su kripto valute sa manjom kapitalizacijom u većoj opasnosti jer se za njihovo rudarenje koristi manje računarskih kapaciteta. Sa druge strane, ukoliko sagledamo mogućnosti iznajmljivanja hardverskih kapaciteta u cloud computing-u, mogućnosti su gotovo beskonačne. Korišćenjem većih kapaciteta moguć je napad na bilo koju od kripto valuta.
Ukoliko je jedan brucoš uspeo da izvede opisani napad i detaljno ga obrazloži, postavlja se pitanje: Šta je sve moguće izvesti ukoliko napad vrši organizovani tim eksperata? Odgovor ne znamo pouzdano ali ga možemo jasno naslutiti.
(Telegraf.rs)
Video: Vujanić: U Srbiji je propisano da odeća ne sme da ometa bezbednost upravljanja
Telegraf.rs zadržava sva prava nad sadržajem. Za preuzimanje sadržaja pogledajte uputstva na stranici Uslovi korišćenja.
Djuro Apatin
Ovaj takozvani 51% attack je izveden sada pocetkom oktobra ali na BTCP valutu, tj Bitcoin Private. Bitcoin je moze se reci potpuno bezbedan po pitanju ove ranjivosti, jer 51% hashratea ne moze da obezbedi ni nekoliko najvecih drzava, a ne pojedinac. Nakon ovog napada na BTCP blockchain, ugrozen je tj. napadnut u BTG (Bitcoin Gold) sto je rezultovalo da mnoge menjacnice izbaci se liste ove valute i samim krahom njihove cene.
Podelite komentar
Sany
Definitivno poraditi na bezbednosti
Podelite komentar
Milos
Da ali koja je svrha uloziti ogroman novac u 51% napadi dodati sebi novcice kada ce na taj nacin valuta izgubiti vrednost i poverenje i ti uzeti novcici nece vredeti nista. Satosi se i nadao da ce svi korisnici raditi u cilju bitkoina sto se i desava od kada je btc nastao pa sve do sada :) Napisao sam vec za Horizen i EtherGem :)
Podelite komentar