Безопасность Блокчейн Апр 20, 2021

Атаки на Blockchain: Vector Attack 76

По мере роста крипто-рынка, криптовалюты продолжают подвергаться атакам со стороны хакеров. Все новые и новые киберугрозы подвергают испытаниям тот или иной блокчейн. Одна из них — это Vector Attack 76.

Что такое Vector Attack 76?

Vector Attack 76 — это тип атаки с двойным расходом, который использует небольшую ошибку в системе консенсуса Bitcoin для запуска. В результате злоумышленник может похитить средства и нанести ущерб своим жертвам.

Несмотря на развитые технологии, включая блокчейн, у них есть векторы атак, которыми киберпреступники могут воспользоваться в своих интересах. В криптовалютном мире одной из наименее известных таких атак, является Vector Attack 76.

С появлением цифровых валют и криптовалют, возникла серьезная проблема — двойные расходы. В централизованных цифровых валютах эту проблему легко решить, если весь контроль находится в одном ядре. Но в децентрализованных валютах, таких как Биткойн, проблема гораздо серьезнее. Фактически, дизайн Биткойна позволяет минимизировать проблему двойных расходов. Можно даже сказать, что он «удаляет» его, но из-за децентрализованного характера ВТС всегда будет некоторая точка отказа, которую можно использовать для удвоения расходов.

Именно там начнется действие Vector Attack 76. Эта атака позволяет злоумышленнику включить транзакцию с двойным расходом в один блок, и использовать его в своих интересах. Это достигается путем отправки самостоятельно созданного блока в сеть, чтобы дать подтверждение того, что блок действителен. Таким образом, злоумышленник может захватить определенную сумму средств до того, как сеть осознает проблему. Впервые эта атака была описана пользователем vector76 на форуме Bitcointalk.

Но, чтобы понять природу этой атаки, необходимо глубже понять, как она работает.

Как работает Vector Attack 76?

Эта атака на самом деле основана на атаке Финни. Ее основная цель — биржи или обменные пункты, где злоумышленники могут покупать и продавать свои криптовалюты и токены, не будучи быстро обнаруженными.

Но как это возможно? Что ж, давайте более подробно рассмотрим анатомию этой угрозы.

Как выполняется эта атака?

Vector Attack 76 выполняется, когда недобросовестный майнер, который контролирует сеть с двумя полными узлами, подключает один из них (узел A) напрямую к службе обмена. Затем второй полный узел (узел B) соединяет его с другими узлами, которые расположены в сети цепочки блоков. Чтобы знать, к каким узлам подключаться, майнер должен отслеживать момент, в который узлы передают транзакции, и то, как они затем распространяют их на другие узлы в сети. Таким образом, вы сможете узнать, какие узлы первыми передают операции, и сможет подключиться к целевой службе и к хорошо позиционированным узлам.

После установления необходимых соединений, майнер в частном порядке генерирует действительный блок. В этот момент создается пара транзакций, которые будут иметь разные значения: транзакция с высокой стоимостью, и транзакция с низкой стоимостью. Например, первая транзакция может составлять 25 BTC или более, а вторая транзакция может составлять всего 0,1 BTC. Впоследствии майнер удерживает добытый блок в режиме ожидания и назначает узлу A транзакцию с высокой стоимостью, то есть транзакцию 25 BTC. Это транзакция, которая будет направлена на внесение депозита в обменном сервисе.

Когда майнер обнаруживает в сети предлагаемый блок, он немедленно передает прерванный им блок непосредственно в службу обмена вместе с недавно сгенерированным блоком в сети. Это в надежде, что остальные узлы сочтут свой блок действительным и примут его как часть основной цепочки. Таким образом, этот блок будет подтвержден, и, следовательно, транзакция 25 BTC, включенная в него, будет подтверждена.

Как только обменный сервис подтверждает транзакцию 25 BTC, злоумышленник снимает с биржи то же количество криптовалют, которое они внесли в предыдущую транзакцию (25 BTC). Затем злоумышленник отправляет вторую созданную транзакцию, транзакцию 0,1 BTC, в сеть с узла B, чтобы создать вилку, которая заставляет сеть отклонять и аннулировать первую транзакцию. Если этот форк выживет, первая транзакция с депозитом в 25 BTC будет признана недействительной, но вывод средств будет произведен. Таким образом, злоумышленник добьется успеха, и биржа потеряет 25 BTC.

Вероятность успеха атаки

Вероятность успеха атаки

Все эти процессы происходят сразу и одновременно, поэтому очень вероятно, что транзакция 0,1 BTC будет принята в качестве основной цепочки. Но через пару блоков транзакция депозита в 25 BTC становится недействительной. Это связано с тем, что узел B, который передает транзакцию 0,1 BTC, подключен к хорошо расположенным узлам, передающим эту транзакцию намного быстрее в сети. В то время как узел A, содержащий транзакцию депозита 25 BTC, напрямую подключен только к сервису обмена. Этот узел должен будет повторно передать указанную транзакцию другим узлам, что сделает ее намного медленнее, чем узел B.

Объяснив это, можно обнаружить, что существует высокая вероятность успеха при выполнении этого типа атаки. Но даже в этом случае это не является обычным делом, потому что от биржи требуется согласие на вывод средств после одного подтверждения, а для подавляющего большинства бирж обычно требуется от 2 до 6 подтверждений.

Однако компании, предлагающие цифровые товары или услуги, также могут стать жертвой этого типа атаки.

Все системы имеют уязвимости из-за их инфраструктуры, но знание этих ошибок и их устранение важно для повышения безопасности. Биткойн является лучшим примером этого. Атака Vector 76 является чем-то структурным, но это возможно только в том случае, если указанная структура не является достаточно обширной и децентрализованной.

Как защитить себя от атаки Vector 76?

Чтобы обезопасить себя от подобных атак, следует учесть некоторые рекомендации:

  • Используйте системы, которые не принимают транзакции с однократным подтверждением. Vector Attack 76 требует, чтобы это было возможно для успешного проведения атаки. Вместо этого, как минимум, вы должны ожидать 2 или даже 6 подтверждений, как это настоятельно рекомендуется.
  • Используемый вами узел должен избегать включения входящих подключений или, если это не удается, определять входящие подключения от хорошо известных компьютеров. Это предотвращает ввод злоумышленником ложной информации о блокчейне в наш узел.

Исходящие соединения узлов также должны контролироваться и разрешаться только к хорошо известным узлам. Это не позволяет вашим узлам предоставлять информацию о состоянии цепочки, которую вы обрабатываете.

С помощью этих мер Вы можете без особых проблем защитить себя от атак такого типа.

Прогнозы крипто-безопасности на 2021 год

Крипто-индустрия испытала свою долю кибератак и нарушений безопасности в 2020 году. Хакеры украли миллионы у крипто-компаний, таких, как биржа KuCoin, в то время как несколько платформ DeFi (децентрализованное финансирование) столкнулись с нарушениями кибербезопасности. Эксперты по кибербезопасности и крипто-индустрии прогнозируют, что в текущем году будет наблюдаться рост кибератак, нацеленных на платформы DeFi, отдельных пользователей и смарт-контракты. Между тем, увеличение институциональных инвестиций в кибербезопасность улучшит стандарты и меры безопасности на большинстве бирж.

DeFi — новая цель

DeFi - новая цель

Эксперты прогнозируют, что атаки на крипто-биржи останутся стабильными или даже уменьшатся, особенно среди существующих бирж. Между тем, атаки на платформы и протоколы DeFi неизбежно будут усиливаться, и большинство хакеров нацелены на новые платформы. Убытки от взломов, краж и мошенничества с криптовалютами снизились до 1,8 млрд долларов за первые 10 месяцев 2020 года, по сравнению с 2019 годом.

Но в секторе DeFi количество атак увеличилось. Взломы DeFi составили 21% от объема краж и взломов в 2020 году. На долю DeFi пришлось почти 50% всех взломов и краж, произошедших во второй половине 2020 года, на сумму 47,7 миллиона долларов или 14% от объема взломов.

Эксперты связывают большой объем атак на платформы DeFi с ажиотажем, окружающим сектор, который похож на повальное увлечение ICO в 2017 году. Проблема в том, что многие основатели DeFi слишком быстро запускают свои платформы, не выполнив предварительно необходимые аудиты безопасности смарт-контрактов.

Проблемы DeFi будут только усугубляться в 2021 году, потому что децентрализованное финансирование — это серьезная инновация, которая будет значительно расти в будущем. DeFi сталкивается с проблемами слишком быстрого роста в среде, где имеется всего несколько квалифицированных авторов и аудиторов смарт-контрактов, что приводит к проблемам с обеспечением качества.

Еще одна проблема, которая повлияет на платформы DeFi — это рост атак на смарт-контракты, которые большинство платформ DeFi используют в своей деятельности. Разработка смарт-контрактов аналогична созданию оборудования, и индустрии программного обеспечения потребуется время, чтобы адаптироваться к новой методологии.

Наиболее уязвимы стартапы, которые спешат извлечь выгоду из бума DeFi. Компании с небольшими командами не могут писать безопасные смарт-контракты или создавать надежные децентрализованные биржи. Люди будут продолжать вкладывать средства в эти системы, даже если они не прошли достаточную проверку безопасности и экспертную оценку.

Напротив, количество атак на биржи будет продолжать снижаться, поскольку фирмы конкурируют за привлечение институциональных и розничных клиентов. Давление рынка и повышенные нормативные требования снизят уязвимость бирж. Правительства всего мира будут настаивать на введении правил, аналогичных правилам традиционных платежных организаций.

Кибератаки будут нацелены на пользователей

Стоимость крипто-активов выросла в последние годы, что позволяет биржам и игрокам инвестировать в безопасность. Высокие цены будут привлекать злоумышленников к криптовалютам, биржам и держателям, но усиление регулирования и институционализация существенно улучшили крипто-кибербезопасность.

Следствием этих двух событий является то, что кибератаки все чаще будут нацелены на владельцев и отдельных пользователей. Основная проблема безопасности будет заключаться в разработке систем, которые будут достаточно безопасными, чтобы пользователи не могли раскрыть свои активы. Большинство атак будет совершаться с помощью социальной инженерии и обмана пользователей для установки уязвимого программного обеспечения. Эксперты отмечают, что фишинг-мошенничество будет самой большой проблемой безопасности.

Также существует риск инвестиционного мошенничества, нацеленного на сектор DeFi. Мошенники воспользуются страхом пользователей криптовалюты упустить возможность (Fomo) и привлекательностью быстрого обогащения, чтобы побудить их присоединиться к мошенническим инвестиционным платформам.

Проблемы будут усугубляться нормативными неопределенностями, связанными с DeFi, которые могут увеличить риск взлома за счет снижения ответственности. Существует множество нормативных вопросов, касающихся протоколов DeFi, например, следует ли рассматривать их как централизованное финансирование (CeFi). Регулирующим органам необходимо решить проблемы, связанные с привлечением к ответственности за халатность, несоблюдение требований, взломы и отмывание денег.

Растущая угроза кибератак только увеличит спрос на услуги кибербезопасности, поскольку недавние данные прогнозируют, что инвестиции в этот сектор к 2023 году достигнут 250 миллиардов долларов. Другие факторы включают строгие требования к защите данных и повышенную угрозу кибертерроризма, которая, согласно прогнозам, нанесет ущерб почти в 6 трлн долларов в 2021 году.

Заключение

Блокчейн продолжит подвергаться кибератакам и нарушениям безопасности в 2021 году. Большинство атак будут нацелены на быстрорастущий сектор DeFi, который все еще борется с несовершенными системами и неадекватным человеческим капиталом. В то же время возросшая стоимость крипто-активов побудит злоумышленников нацеливаться на пользователей с помощью методов социальной инженерии. Между тем ужесточение регулирования заставит компании вкладывать средства в кибербезопасность и стимулировать рост и инновации в этом секторе.

SPACEBOT

Автор статьи

Как разместить мою монету / токен в SPACEBOT?

Форма заявления о включении в листинг

Пожалуйста, ответьте на следующие вопросы:

  1. 1. Рекомендации по монетам
    1. 1.1 Кто посоветовал вам SPACEBOT?
    2. 1.2 Имя партнера, почтовый ящик, учетная запись в Telegram
  2. 2. Введение в проект
    1. 2.1 Название проекта, поддерживающее как русский, так и английский языки
    2. 2.2 Официальный сайт
    3. 2.3 Ссылка на документацию (api для разработчиков)
    4. 2.4 Символ (URL-адрес: coinmarketcap.com,coinpaprika.com и т. д.) Внимание: это обязательное условие! Если информация о вашей монете недоступна на этом ресурсе, мы можем прийти к соглашению и перечислить ее на coinmarketrate.com. Цена листинга от 10 ETH.
    5. 2.5 Цена предложения (url: coinmarketcap.com,coinpaprika.com и т.д.)
    6. 2.6 Общая сумма сбора средств (url: coinmarketcap.com,coinpaprika.com и т.д.)
    7. 2.7 Краткое введение вашего проекта, охватывающее его позиционирование , особенности и т. д.
    8. 2.8 Ожидается торговля парами с BTC, USDT, ETH (URL-адрес: coinmarketcap.com,coinpaprika.com и т. д.)
    9. 2.9 Кто несет ответственность за проект
    10. 2.10 Контактное лицо руководителя проекта
    11. 2.11 Канал продвижения проекта (сайт, официальный аккаунт Wechat, Twitter и т. д.)
    12. 2.12 Вложение исходного файла логотипа токена
    13. 2.13 Токены проекта основанны на ERC20 (или другом блокчейне)?
    14. 2.14 Имеется ли управление рыночной стоимостью?
  3. 3. Маркетинг проекта и масштаб его пользователей
    1. 3.1 Предполагаемая дата листинга
    2. 3.2 Пользователи, сообщества в Telegram, Twitter, Reddit, Slack, WeChat, QQ группы и т. д. и свои ссылки и данные
    3. 3.3 Упоминания в СМИ и ссылки
    4. 3.4 Время и место проведения Roadshow или другой маркетинговой кампани
    5. 3.5 Маркетинговый бюджет на SPACEBOT и маржа установления цены токена
  4. 4. Квалификации
    1. 4.1 Основная информация о членах команды
    2. 4.2 Консультанты или общественные деятели
    3. 4.3 Ранние инвестиции
    4. 4.4 Представлены ли на платформах, таких как Feixiaohao ,CoinMarketCap и т. д.
  5. 5. Заметки для листинга
  6. 1. SPACEBOT уникальное программное обеспечение, для совместной разработки криптовалют. SPACEBOT предоставляет возможность получать ежемесячный прирост производительности криптоэлектрической чеканки PRIZM, BIP и других криптовалют за счет суммарного увеличения баланса в сети блокировок через систему «Proof-of-Stake».
  7. 2. SPACEBOT несет ответственность только за проверку подлинности и легитимности проектов. SPACEBOT не будет оценивать проект и не даст никакого морального и ценностного одобрения. Команда разработчиков цифровых активов будет нести полную ответственность за все незаконные нарушения, такие как незаконный сбор средств, продажа пирамид, отмывание денег, азартные игры, злоупотребление наркотиками, мошенничество, быть банкиром актива и т.д.
  8. 3. Команды цифровых активов должны принять превентивные меры с помощью SPACEBOT, чтобы препятствовать обвалу рынка. В противном случае мы прекратим сотрудничество.
  9. 4. Команды цифровых активов способны управлять и поддерживать проект, а также своевременно раскрывать информацию, сохранять подлинность.
  10. 5. SPACEBOT удалит проект из списка, если: расформирование команды препятствует майнингу клиентами, передаче, блочным запросам и т. д. Никакие инвесторы не торгуют, не держат, не используют этот токен; технический сбой, который влияет на майнинг, передачу, блокировку запросов и т. д. У команды есть незаконные нарушения, такие как несанкционированный сбор средств, создание пирамид, отмывание денег, азартные игры, злоупотребление наркотиками, мошенничество, приобретение актива в больших объемах и т. д.»

Как зарегистрировать нового пользователя в SPACEBOT?

Регистрация в SPACEBOT происходит только по партнерской ссылке, ее вы можете получить только после того как делегировали 100 монет в пул.

Для получения ссылки через телеграм бот:
1. Переведите на выданный ботом кошелек 100 монет: Кошелек — внести
2. Делегируйте 100 монет в пул: Кошелек — внести на парамайнинг
3. Перейдите в раздел: Партнерская программа и скопируйте адрес вашей ссылки
4. Теперь вы можете делиться ссылкой и приглашать новых участников

Для получения ссылки через приложение iOS/Android:
1. Переведите на выданный приложением кошелек 100 монет: Основной экран — Пополнить
2. Делегируйте 100 монет в пул: Основной экран — Делегировать
3. Перейдите в раздел: Партнерская программа и скопируйте адрес вашей ссылки
4. Теперь вы можете делиться ссылкой и приглашать новых участников

Как установить приложение iOS?

Для установки приложения:

1. Перейдите по ссылке:

https://apps.apple.com/ru/app/spacebot/id1498907599

2. Нажмите кнопку установить далее следуйте стандартным пунктам установки приложений вашего устройства
3. Если вы новый пользователь — нажмите кнопку зарегистрироваться (для регистрации требуется ввести вашего пригласителя, как получить ссылку или ID пригласителя читайте раздел — «Как зарегистрировать нового участника?»)
4. Если у вас уже есть аккаунт в телеграм версии SPACEBOT вам необходимо выполнить привязку почты, как это сделать читайте в разделе «Как привязать почту к аккаунту SPACEBOT?»

Как установить приложение Android?

Для установки приложения:

1. Перейдите по ссылке:

https://play.google.com/store/apps/details?id=space.bot.mobile

2. Нажмите кнопку установить далее следуйте стандартным пунктам установки приложений вашего устройства
3. Если вы новый пользователь — нажмите кнопку зарегистрироваться (для регистрации требуется ввести вашего пригласителя, как получить ссылку или ID пригласителя читайте раздел — «Как зарегистрировать нового участника?»)
4. Если у вас уже есть аккаунт в телеграм версии SPACEBOT вам необходимо выполнить привязку почты, как это сделать читайте в разделе «Как привязать почту к аккаунту SPACEBOT?»

Как пополнить баланс?

Для пополнения баланса через телеграм бот:
1. Перейдите в раздел: Кошелек
2. Нажмите кнопку: Внести
3. Скопируйте полученные кошельки (обратите внимание на то, чтобы не скопировать лишние символы)
4. Переведите монеты на скопированные вами адреса.

Для пополнения баланса через приложение iOS/Android:
1. На основном экране нажмите кнопку Пополнить
2. Скопируйте полученные кошельки (обратите внимание на то, чтобы не скопировать лишние символы)
3. Переведите монеты на скопированные вами адреса.

*Отслеживайте транзакцию через блокчейн:
Для PRIZM — https://prizmexplorer.com
Для BIP/BTT — https://explorer.minter.network

**Обращаем ваше внимание, что на зачисление монет требуется определенное количество подтверждений в сети и время на обработку транзакции нашим алгоритмом (обычно не более 1 часа, в пиковую нагрузку не более 2 часов)

*** Также учтите, что многие биржи и сервисы кошельков производят отправку с задержкой (на некоторых биржах это может занять до 72 часов), не стоит переживать — это стандартная процедура.