Ten nastolatek chce zaatakować twoją walutę metodą 51%

194
Jak chronić się przed atakami DNS podczas używania kryptowalut

Pierwszoroczniak z amerykańskiego college’u zamierza zaatakować twoją kryptowalutę – ale nie po to, aby ukraść monety, ale żeby pokazać, jak łatwo można to zrobić.

Ten entuzjasta krypto ukrywa się pod pseudonimem „geocold51” i mimo młodego wieku posiada już dużą wiedzę na temat bezpieczeństwa w sieci. Uważa on, że większość kryptowalut jest zagrożona najbardziej niebezpieczną luką w branży – atakiem 51%, który polega na przejęciu ponad połowy mocy wydobywczej kryptowaluty, by móc usunąć poprzednie transakcje i zastąpić je innymi. Takie działanie nazywamy podwójnym wydatkowaniem.

Podczas gdy ekosystem zbudowany wokół bitcoina i jego klonów z górnej półki kryptowalut czyni je odpornymi na tego typu ataki, nie można tego samego powiedzieć o monetach, które nie posiadają aż tak dużej kapitalizacji rynkowej.

Rzeczywiście, na mniejszych kryptowalutach takie sytuacje stają się coraz częstsze. Group-1B opublikowała ostatnio raport, w którym przedstawiła szokujące dane za 2018 rok – ponad 20 milionów dolarów zostało już utracone w takich atakach.

W sobotę 13 października geocold51 postanowił pokazać, jak łatwo to zrobić, transmitując na żywo swój atak metodą 51% na bitcoin private posiadający kapitalizację rynkową w wysokości około 50 milionów dolarów.

Nastolatek powiedział portalowi CoinDesk, że jeśli kryptowaluta może być tak łatwo zaatakowana, to nie posiada dostatecznej wartości, by w nią inwestować.

Geocold51 szauje, że wydał 100 $, aby dojść do momentu, w którym może zademonstrować swoim widzom problem podwójnego wydatkowania, ale nigdy tego nie zrobił, gdyż jego transmisja została zdjęta.

Dla jasności, nie był on zainteresowany kradzieżą, a jedynie pokazaniem całego procesu, w którym przesłałby swoje własny monety bitcoin private na dwa różne portfele, które też należą do niego. Tym sposobem żaden użytkownik ani giełda nie zostałyby okradzione.

Chodziło mu jedynie o to, by pokazać, że wiele monet jest podatnych na takie ataki, więc tym samym mogą być znacząco przewartościowane.

To powiedziawszy, geocold51 stwierdził, że aby zarobić na ataku metodą 51%, nieuczciwy napastnik musiałby wydać z grubsza dwukrotność wcześniej podanej kwoty – a więc około 200 $ – na kupno bitcoina za bitcoin private, a następnie cofnięcie tej transakcji w łańcuchu BTCP, by odzyskać swoje sprzedane monety i zostawić giełdę stratną na tej transakcji.

Mimo że taka opcja, w której giełda jest jedną ze stron, nie jest najbardziej opłacalna, to atak metodą 51% stał się bardziej popularny ze względu na rozwój technologii przetwarzania w chmurze. Według geocold51 ten sam atak bez dostępu do chmury obliczeniowej kosztowałby go 100 000 dolarów w samym sprzęcie komputerowym.

„Nicehash i możliwość wynajmowania mocy obliczeniowej znacząco zmieniły rzeczywistość ataku metodą 51%”, powiedział portalowi CoinDesk, dodając:

Jeśli kryptowaluta nie ma dużo mocy wydobywczej i jest wystarczająco cenna, to tam można się spodziewać ataku metodą 51%.

Ponieważ geocold51 rozgłośnił swoją transmisję na Reddicie, próba ataku na bitcoin private przykuła dużo uwagi – nawet twórca dogecoina Jackson Palmer napisał na twitterze, że zamierza ją oglądać.

Jednakże jego transmisja na żywo nie wyszła tak, jak „geocold51” sobie to zaplanował. Mimo to, zamierza on ponowić ten atak w późniejszym terminie. W tym tygodniu ma zamiar wykonać go bez transmisji na żywo, ale nagrać film, który następnie wrzuci na swój kanał na YouTubie.

Inspiracja

Młody badacz został zainspirowany przez jednego z najbardziej legendarnych hakerów ostatnich lat – człowieka kryjącego się pod pseudonimem „geohot” i będącego pierwszym, który wykonał tzw. „jailbreak” na iPhonie, czyli usunął ograniczenia w telefonie narzucone przez Apple.

Dzisiaj geohot dołączył do live streamerów i wyszukuje na żywo luki w zabezpieczeniach.

geocold51 stwierdził, że chciałby robić coś podobnego w środowisku kryptowalutowym.

Nastolatek posiada dobrą znajomość krypto. Kiedy ceny sprzętu GPU były ciągle lukratywne dla górników-hobbystów, geocold51 wykopał wiele bitcoinów. Następnie zaczynał trade’ować na Cryptsy. Było to zanim CEO giełdy zniknął z życia publicznego z pieniędzmi swoich klientów.

Tego dnia geocold51 stracił prawie wszystkie swoje bitcoiny.

Jednakże ciągle był zainteresowany rynkiem i nieustannie uczył się nowych rzeczy na jego temat. A ponieważ pojawiło się setki nowych kryptowalut, geocold51 pomyślał, że być może uda mu się rzucić trochę światła na pułapki bezpieczeństwa w tej strefie.

Inni też byli zainteresowani tym zagadnieniem. Jego post na reddicie zebrał ponad 1500 głosów, a sam autor otrzymał 888 $ z donacji.

Dzień ataku

Co ciekawe, bitcoin private nie był jego pierwszym celem.

Zamiast tego geocold51 zamierzał zaatakować einsteinium, fork litecoina z kapitalizacją rynkową w wysokości około 20 milionów dolarów i dziennym wolumenem obrotu około 600 tysięcy dolarów.

Ogłosił swój zamiar publicznie, a gdy był gotowy do ataku, komentujący na jego kanale Twitcha zauważyli, że hash rate kryptowaluty wyjątkowo wzrósł.

Ponieważ atak został zakomunikowany dużo wcześniej, społeczność einsteinium przygotowała się do niego i zwiększyłą moc obliczeniową, bojąc się konsekwencji, którą mogło być rozdzielenie łańcucha i stworzenie drugiego blockchaina, w którym utknęliby niektórzy użytkownicy sieci – jak tłumaczył Ben Kurland, jeden z członków zarządu einsteinium. W tym czasie sieć była też w trakcie aktualizacji swoich portfeli i jeśli ludzie lub giełdy nie przeszliby na nową wersję o czasie, mogło dojść do straty znacznej ilości środków.

Widząc zwiększoną moc sieci, geocold51 zdecydował się zamiast tego zaatakować bitcoin private.

geocold51 twierdził, że osiągnął 60 000 wyświetleń podczas transmisji na żywo, zanim jego stream został zamknięty. Zespół Twitcha powiedział, że tymczasowo zawiesił go, podążając za swoimi wytycznymi.

Pół godziny później włączył nowy stream, tym razem na Stream.Me.

Podczas tej transmisji zatrudnił górników z NiceHash, by wykopywali bitcoin private. Prawie natychmiastowo wykopał pierwszy blok, a wkrótce kontrolował ponad 50% mocy sieci.

Niedługo potem konto o nazwie „CommunityWatch” pojawiło się na streamie i napisało: „Szybkie pytanie: zakładam, że wszystko, co tu robimy, jest legalne?”

Minuty później także ta transmisja została zdjęta.

Geocold51 powiedział portalowi CoinDesk, że w krótkim czasie zdobył około dwóch-trzecich mocy wydobywczej bitcoina private. Wysłał pierwszą transakcję do jednego z portfeli, które kontrolował. Następnie wykonał kolejną transakcję na nieaktywnym łańcuchu, która powędrowała do innego portfela.

Miał już zamiar wysłać dłuższy łańcuch do sieci, ale ponieważ całą ideą projektu było pokazanie ludziom, jak łatwo wykonać taki atak, to zatrzymał się na tym kroku, gdy tylko jego transmisje zostały przerwane.

Chronione w inny sposób

Mimo to geocold51 jest zdeterminowany, by kontynuować swoją misję, i wkrótce nagra kolejny atak, który tym razem pojawi się na YouTubie.

I choć ta luka może być niepokojąca dla wielu osób w społeczności, geocold51 zauważył, że istnieje inny sposób ochrony tych monet w oparciu o teorię gier.

Gdyby ktoś spróbował sprzedać znaczną ilość monet, ich cena prawdopodobnie by spadła, ponieważ społeczność nie jest wystarczająco silna i nie ma ogromnej płynności. W związku z tym, jak argumentował geocold51, nawet jeśli łatwo jest kupić siłę hashującą i przejąć sieć, to można nie zarobić dużych pieniędzy na takim ataku.

Niemniej jednak, geocold51 postanowił kontynuować swój cel, korzystając z darowizn, które otrzymał, aby wykonać atak metodą 51% na więcej kryptowalut.

Powiedział portalowi CoinDesk, że może celowo zaatakować niektóre monety, które ustanowiły środki zapobiegawcze przeciw atakom 51% – po to, by przetestować, jak bardzo są skuteczne. Na przykład zespół rozwijający Horizen (dawniej zencash) uważa, że znalazł sposób na zniechęcenie do ataków 51% poprzez wprowadzenie pewnych kar dla górników.

Geocold51 powiedział, że byłby zadowolony, gdyby te środki ochronne zawiodły.

Prywatne nagrywanie filmów, a następnie ich edycja mogą stworzyć produkt bardziej estetyczny, jednak nastolatek jest ciągle zawiedziony tym, że jego oryginalny plan nie wypalił.

Powiedział portalowi CoinDesk:

Jest coś fajnego w tym, że możesz przeprowadzić to na żywo.

 

Twitch, Stream.Me i bitcoin private nie odpowiedziały na prośbę o komentarz do tej historii.