Уязвимость перед взломами — ключевая проблема всей индустрии информационных технологий, в том числе и блокчейн. Несмотря на то, что распределенные реестры надежнее других систем защищены от хакеров, и у них есть слабые места.
Разговоры о том, что блокчейн — панацея от большинства проблем, связанных с безопасностью, далеки от истины, но это связано не с самой технологией, а с устаревшей реализацией механизма достижения консенсуса в большинстве крупных сетей. Жертвами атаки 51% могут стать не только новые монеты, что уже происходит с определенной частотой, но и крупные блокчейны вроде Bitcoin.
В статье расскажем, что это такое, какие сети уже пострадали, как эта уязвимость может отразиться на индустрии, а также о том, почему блокчейну Universa этот тип атаки не страшен, и за счет чего это достигнуто.
Что такое атака 51% и двойная трата
Атака 51% подразумевает получение злоумышленниками контроля над более чем половиной мощностей платформы. Получив доступ к большей части хешрейта сети, хакеры могут самостоятельно выпускать новые блоки и единолично получать за это награду, контролировать и изменять время — устанавливать удобные им отметки о дате и времени проведения транзакций. Вместе с этим могут воспользоваться ошибкой двойной траты (расходование одних и тех же средств с кошелька внутри платежной системы дважды), обогащаясь за счет уязвимостей сети, что грозит платформе еще большими потерями.
Проще говоря, суть блокчейна в том, что данные обо всех транзакциях хранятся у всех участников сети сразу, поэтому в идеальном блокчейне невозможно потратить деньги дважды. Однако, если злоумышленник владеет большинством мощностей, то он сам решает, сколько раз может перевести одни и те же средства.
Какие сети уже пострадали и какие под угрозой
13 октября анонимный хакер провел публичную атаку 51% на криптовалюту Bitcoin Private. Чтобы добраться до точки, в которой можно продемонстрировать двойную трату, он потратил $100. Таким образом, хакер не только продемонстрировал уязвимость блокчейна, но подверг сомнению ценность монеты.
Утром 3 июня в блоге криптовалюты ZenCash появилось сообщение о проведенной на блокчейн атаке. Злоумышленник получил контроль над крупным майнинг-пулом, что позволило ему откатить несколько транзакций и воспользоваться ошибкой двойной траты.
Всего хакер откатил 38 блоков и воспользовался двойной тратой на четырех из них. В совокупности он получил 19600 монет ZEN, что по курсу на момент атаки составило $550 тысяч. Эксперты считают, что для осуществления подобной атаки хакер мог потратить на аренду оборудования не больше $30 тысяч. Этот взлом моментально повлек за собой падение курса криптовалюты на 7%.
В течение одного месяца жертвой атаки 51% два раза стал другой блокчейн — Verge. В результате хакеры смогли завладеть криптовалютой на сумму свыше 2$ млн.
Эксперты считают, что алгоритм майнинга Equilhash хоть и один из самых распространенных в индустрии, но одновременно и самый уязвимый, потому что позволяет использовать для добычи криптовалюты даже домашние компьютеры.
На основе Equilhash работает и один из двух самых успешных форков Bitcoin — Bitcoin Gold, который тоже уже пострадал от атаки 51%. В мае злоумышленники смогли с помощью объединения значительных вычислительных мощностей провести атаку 51% и многократно воспользоваться уязвимостью двойной траты до того, как атаку заметили разработчики.
В результате атаки на Bitcoin Gold хакеры смогли завладеть 388 тысячами монет, что по курсу на май составляло $18 млн. Атака подтолкнула разработчиков к смене алгоритма хеширования на более защищенный, но даже эта мера не способна исключить возможность повторения атаки полностью.
Теоретически, жертвой атаки может стать даже самый первый и крупный блокчейн — Bitcoin, а не только его форки. Если у кого-то хватит ресурсов на покупку множества последних моделей ASIC-майнеров, то злоумышленник сможет провести атаку на сеть. Сдерживающий фактор, который защищает сеть — неизбежное падение стоимости криптовалюты при разовом выводе большого объема монет. Однако это не значит, что никто не сможет осуществить успешную атаку 51%.
Эффективного и полностью исключающего возможность атаки 51% способа защиты сетей, в которых в качестве алгоритма достижения консенсуса используется Proof of Work, на данный момент не существует. Под угрозой как Bitcoin, так и другие крупные сети, включая Ethereum и Litecoin.
Так, например, была доказана уязвимость сети Bitcoin. В 2014 году крупный майнинг-пул GHash.io смог завладеть 55% всего хешрейта сети. Пользователи криптовалюты забили тревогу еще в момент, когда пул обладал 30% всех мощностей, но его представители успокоили общественность заявлениями, что атаку совершать не планируют. Несмотря на то, что атаку они, действительно, не проводили, сам факт владения большинством мощностей заставляет серьезно задуматься о безопасности сети и развитием принципов децентрализации.
Другая категория особенно уязвимых монет — новые криптовалюты с низкой сложностью майнинга. В этом случае злоумышленникам не нужны колоссальные ресурсы для атаки, потому что совокупность всех генерирующих новые блоки мощностей еще мала. Сильной финансовой выгоды такая атака не принесет, но она может практически полностью лишить еще неокрепшую криптовалюту доверия пользователей и каких-либо перспектив дальнейшего развития.
Крупные криптовалюты, в основе которых масштабный и популярный блокчейн, хоть и серьезно защищены от атаки в силу ее высокой стоимости и низкой рентабельности, все-таки могут стать потенциальными жертвами, если цель злоумышленников заключается не в прибыли, а в том, чтобы скомпрометировать блокчейн-сеть.
Как можно защитить блокчейн от атаки
Главный и наиболее действенный принцип, позволяющий надежно защитить сеть от угрозы атаки 51%, — большой размер и масштабируемость блокчейна. Чем больше блокчейн, тем более серьезные затраты на электричество и обслуживание оборудования понесет злоумышленник при попытке получить контроль над большей частью хешрейта сети.
Другой способ защиты от атаки 51% заключается в использовании более современного, хоть и тоже не идеального алгоритма Proof of Stake вместо Proof of Work. В PoS блоки создаются не за счет владения вычислительными мощностями, а за счет владения самой криптовалютой.
В таких сетях проведение атаки становится еще более затратным и еще менее выгодным, потому что скупить сразу больше половины всех выпущенных в сети монет — очень и очень дорого, даже когда речь идет о еще не сильно развитых сетях. Однако относительная сложность проведения атаки все-таки не может считаться надежной защитой.
Второй способ защиты использует платежная система Peercoin (PPC). Капитализация PPC на ноябрь составляет $40 млн, что не так много, как у лидеров рынка, но уже достаточно, чтобы сделать атаку 51% крайне дорогой и невыгодной. На PoS в будущем перейдет и Ethereum, который занимает вторую строчку по капитализации с $53 миллиардами. Переход с PoW на PoS был заранее предусмотрен стратегией развития.
Почему блокчейну Universa атака не страшна
Оптимальный вариант защиты от атаки 51% — отказ от механизма достижения консенсуса за счет майнинга, так как это ненадежный и далеко не самый безопасный механизм достижения консенсуса. Особенно, с учетом постоянно развивающейся индустрии оборудования для добычи монет. Отказ от Proof of Work имеет массу преимуществ не только в отношении масштабируемости и даже экологичности, но и в безопасности.
В блокчейне Universa создание новых блоков, а также подтверждение осуществляемых транзакций и их запись — прерогатива не случайных майнеров по всему миру, чьи мощности злоумышленники могут консолидировать для атаки, а сертифицированных партнерских узлов, что полностью исключает вероятность атаки 51% и использования хакерами ошибки двойной траты. Это означает, что перед добавлением ноды необходимо пройти внутреннюю проверку на объем нод у конкретного участника. Если это количество превышает 10%, заведение в сеть новой ноды отклоняется.
Мы в Universa уверены, что блокчейн — растущая технология, которая открывает много новых возможностей и способна решать самые разные задачи не только за счет высоких скоростей и низких издержек, но и за счет высочайшего уровня безопасности, который невозможно поддерживать при устаревшем механизме достижения консенсуса за счет майнинга.
