Скам-проект разработчиков протокола Backdoors/Rogue

Одна из необычных, но в то же время крайне серьезных проблем с блокчейнами - это возможность массовых незапланированных выпусков токенов. Самый яркий пример этого произошел в октябре 2018 года с Oyster Protocol (PRL). Основатель проекта и главный разработчик, известный как Bruno Block, придумал мошенническую схему - вывел $300,000 PRL через смарт-контракты платформы, а затем продал на KuCoin.

Расследование этого инцидента продемонстрировало серьезный недостаток безопасности блокчейнов по трем основным направлениям. Во-первых, никто не знал, что у Бруно Блока была возможность сделать это без предупреждения. Во-вторых, это показало, что один человек может полностью снизить стоимость проекта по криптовалюте. Наконец, это вызвало бурю негодования из-за того, что проект ранее был одним из наиболее перспективных в криптовалютном пространстве. По сравнению с другими мошенничествами с криптовалютой, Oyster Protocol не показал ни одного из классических признаков.

Основные ошибки

Даже практически полностью децентрализованные блокчейны сталкиваются с постоянными угрозами безопасности. Это особенно верно для тех, кто запускает обновления кода с ошибками. Например, Ethereum планировал запустить обновление Константинополь в январе 2019 года. Однако фирма ChainSecurity, занимающаяся аудитом смарт-контрактов, обнаружила серьезную ошибку примерно за два дня до предполагаемой даты запуска.

Согласно ChainSecurity, эта проблема могла привести к «атаке с повторным входом». По сути, это означало, что кто-то мог войти в одну и ту же функцию несколько раз, не сообщая пользователю о состоянии дел. При таком сценарии взломщик может в основном выводить средства навсегда. Следовательно, команда разработчиков ядра Ethereum решила отложить запуск до февраля 2019 года. Несмотря на то, что разработчики исправили ошибку и предотвратили потенциальный кризис безопасности, ясно, что баги в коде блокчейнов иногда бывает трудно обнаружить даже при огромных ресурсах.

Атаки большинства

В 2018 году рост числа атак большинства показал, что можно взломать мейннет и получить контроль над большей частью хэш-мощности. Многие блокчейны, которые когда-то считались слишком дорогими для захвата с помощью атаки 51%, стали впоследствии их жертвами. На медвежьих рынках стоимость организации этих атак значительно снижается. Конструктивно блокчейны Proof-of-Work с меньшим количеством майнеров и меньшей хэш-мощностью особенно уязвимы.

Конечно, существует несколько возможных решений. Некоторые примеры включают требование большего количества подтверждений или создание объединенного майнинга. Кроме того, возможное решение может представить использование другого типа консенсусного механизма. Тем не менее, тот факт, что многие из ведущих блокчейнов сегодня используют Proof-of-Work, продолжает представлять проблему.

Конечные пользователи

Вышеупомянутые проблемы демонстрируют проблемы с централизованным контролем и потенциальными ошибками. Тем не менее, это не единственные проблемы безопасности, о которых нужно беспокоиться. Во многих случаях проблемы безопасности появляются на стороне пользователя. Например, доступность криптовалютных средств продолжает оставаться серьезной проблемой. Несмотря на предупреждения от крипто-бирж, проектных групп и других криптокомпаний, фишинговые атаки продолжают приводить к тому, что многие люди теряют средства в криптовалюте.

Кроме того, существуют проблемы с тем, как пользователи должны взаимодействовать с криптовалютными кошельками. С одной стороны, некоторые люди хранят средства в автономном режиме в аппаратных кошельках, сохраняют начальные фразы в безопасных местах и принимают меры для повышения безопасности средств. С другой стороны, многие пользователи просто держат средства онлайн, запертые в обменных кошельках. Да, обычно проще получить доступ к средствам, выбрав последний вариант. Тем не менее, в этом случае, вероятность кражи средств хакерами гораздо выше. Одна из самых важных технических задач для разработчиков заключается в том, чтобы найти лучший способ увеличения доступности средств без ущерба для безопасности.

Хотя аппаратные кошельки обеспечивают большую безопасность для конечных пользователей, они не так доступны, как другие типы кошельков.

Законодательные проблемы

Регулирование блокчейна - это еще одна проблема, которая стоит перед разработчиками. На этом фронте еще предстоит ответить на несколько вопросов. Например, какие законы применяются к технологии блокчейн? Если блокчейн доступен в любой точке земного шара, то как разработчикам соблюдать законы в разных юрисдикциях?

GDPR

Законодательство, такое как GDPR в ЕС, изначально задумывалось как нейтральное и защищало данные конечных пользователей. Тем не менее, может быть трудно определить, как именно закон работает с новыми технологиями, такими как блокчейн. Как пример, кто контролирует данные в публичной цепочке блоков?

Поскольку консенсус децентрализован и распределяется между валидаторами, ни одна организация не несет ответственности.

По сравнению с крупными технологическими компаниями Web 2.0 (Google, Facebook, Amazon и т. Д.), в ПО Web 3.0 на основе цепочки блоков гораздо сложнее определить, кто контролирует и управляет данными. В процессе обработки данных блокчейна, что считать персональными данными? Например, открытые ключи не обладают теми же функциями, что и анонимные данные, а их характеристики больше похожи на псевдоанонимные данные.

В будущем, возможно, разработчики создадут блокчейн-решения, которые будут отвечать всем требованиям безопасности и законодательным нормам. Но вопрос, возможно ли достижение и того и другого одновременно, пока остается. Как и в случае с любой новой технологией, формирование стандартизированного регулирования блокчейна, вероятно, займет некоторое время. Между тем сама технология продолжает быстро развиваться во многих аспектах.

Централизация против децентрализации

По мере того как правительства начинают устанавливать стандарты регулирования блокчейнов, возникают вопросы помимо владения данными и их конфиденциальности. Большинство наиболее известных сегодня блокчейнов общедоступны и глубоко децентрализованы. Однако возможно, что блокчейны будущего станут более централизованными, особенно те, которые используются крупными корпорациями и/или правительствами.

Централизация может представлять несколько интересных реальных проблем безопасности. Блокчейны, которые контролируются центральным органом или большинством валидаторов, или принадлежат одному человеку, по существу открывают возможность цензуры. Это идет вразрез с принципиальным понятием блокчейна в 2019 году.

Если блокчейны будущего будут более централизованными, это может упростить злоумышленникам (например, хакерам) получение контроля над конфиденциальными данными. Хотя централизованные блокчейны, вероятно, все еще будут более безопасными, чем старые технологии баз данных, они не смогут достичь уровня внутренней безопасности, обеспечиваемой децентрализованными.