Som cryptocurrency industrin fortsätter att expandera och blir ett alltmer attraktivt mål för hackare, har Pentagon beställt en studie som har upptäckt några angående sårbarheter, detaljerad i en medföljande rapport.
Faktum är att rapporten, publicerad den 21 juni med titeln "Är blockkedjor decentraliserade? Oavsiktliga centraliteter i distribuerade reskontra," har upptäckt att "en delmängd av deltagare kan få överdriven, centraliserad kontroll över hela systemet."
Studien, som fokuserar på Bitcoin (BTC) och Ethereum (ETH), utfördes av säkerhetsforskningsföretaget Trail of Bits under ledning av Pentagon's Defense Advanced Research Projects Agency (DARPA).
Enligt rapporten:
"Antalet enheter som är tillräckligt för att störa en blockchain är relativt lågt: fyra för Bitcoin, två för Ethereum och mindre än ett dussin för de flesta PoS-nätverk."
60 % av Bitcoin-trafiken går via bara 3 internetleverantörer
Dessutom sa rapporten att "av all Bitcoin-trafik passerar 60% bara tre internetleverantörer", med hänvisning till internetleverantörer. Utöver det, "den stora majoriteten av Bitcoin-noder verkar inte delta i gruvdrift och nodoperatörer möter inga explicita straff för oärlighet."
Som analytikerna varnar, "att distribuera en ny nod kräver bara en billig molnserverinstans - ingen specialiserad gruvmaskinvara behövs." Detta möjliggör möjligheten att översvämma en blockkedjas konsensusnätverk med nya, skadliga noder som kontrolleras av en enda part i vad som kallas en Sybil-attack.
Ytterligare problem inkluderar inaktuella och okrypterade protokoll och programvara, som alla utsätter nätverket för attacker. Som rapporten förklarar:
"Säkerheten för en blockchain beror på säkerheten för programvaran och protokollen för dess off-chain-styrning eller konsensusmekanismer."
Slarva gruvpooler
Rapporten upptäckte också att alla gruvpooler som dess analytiker testade "antingen tilldelar ett hårdkodat lösenord för alla konton eller helt enkelt inte validerar lösenordet som angavs under autentiseringen."
Som ett exempel använde rapporten praxis från den globala kryptovalutagruvpoolen ViaBTC att till synes tilldela lösenordet "123" till alla sina konton. Ett annat gruvföretag, Poolin, "tycks inte validera autentiseringsuppgifter alls", medan Slushpool "explicit instruerar sina användare att ignorera lösenordsfältet."
Enligt tillgängliga data står dessa tre gruvpooler för cirka 25% av Bitcoin-hashratet.
Cybersäkerhet forskare varnar ofta för potentiella kryptorelaterade svagheter som kan leda till incidenter som den som finbold redovisas i mitten av april, där en angriparen lyckades stjäla en persons hela samling av kryptor och icke-fungibla tokens (NFT) värd över $650,000 XNUMX från deras MetaMask krypto plånbok.
Källa: https://finbold.com/pentagon-paper-warns-of-major-vulnerabilities-in-the-bitcoin-blockchain/