Blockchain

Blockchain אינו מבוזר כמו שאתה חושב: דו"ח סוכנות ההגנה

06/22/2022
חדשות Ethereum של ביטקוין

טכנולוגיית ספר מבוזר (DLT) ו blockchains כולל ביטקוין ואת'ריום עלולים להיות פגיעים יותר לסיכוני ריכוזיות ממה שחשבו בתחילה, על פי Trail of Bits. 

חברת האבטחה ביום שלישי שוחרר הדו"ח שלו שכותרתו "האם בלוקצ'יין מבוזר?" אשר הוזמן על ידי הסוכנות לפרויקטי מחקר מתקדמים בתחום ההגנה (DARPA) של ממשלת ארצות הברית.

הדו"ח נועד לחקור אם בלוקצ'יין כמו ביטקוין ואת'ריום הם באמת מבוזרים, אם כי נראה שהדו"ח מתמקד בעיקר בביטקוין.

בין הממצאים העיקריים שלה, חברת האבטחה מצאה שצמתי ביטקוין מיושנים, מאגרי כריית בלוקצ'יין לא מוצפנים ורוב תעבורת רשת ביטקוין לא מוצפנת העוברת רק על מספר מצומצם של ספקי שירותי אינטרנט יכולים להשאיר מקום לשחקנים שונים להשיג שליטה מוגזמת וריכוזית על הרשת.

צומת ביטקוין

הדו"ח קבע כי תת-רשת של צמתים של ביטקוין אחראית במידה רבה להגיע להסכמה ולתקשורת עם כורים וכי "רובם המכריע של הצמתים אינם תורמים באופן משמעותי לבריאות הרשת".

הוא גם מצא ש-21% מצמתי הביטקוין מריצים גרסה ישנה יותר של לקוח ה-Bitcoin Core, שידוע כבעל חששות מפגיעות כמו שגיאות קונצנזוס. הוא קובע כי "חיוני שכל צמתי ה-DLT יפעלו על אותה גרסה עדכנית של תוכנה, אחרת, שגיאות קונצנזוס עלולות להתרחש ולהוביל למזלג בלוקצ'יין."

צומת ביטקוין הוא כל מחשב המאחסן ומאמת בלוקים בבלוקצ'יין. צמתים משמשים לניטור הבריאות והאבטחה של הבלוקצ'יין של ביטקוין ולאמת את דיוק העסקאות. הגרסה הנוכחית שכל הצמתים צריכים לרוץ היא ביטקוין Core 22.0.

עוד משהו שנלקח מהדו"ח מצא שפרוטוקול מאגר הכרייה של ביטקוין שכבה אינו מוצפן ובעיקרו לא מאומת.

משמעות הדבר היא שניתן לבצע התקפות זדוניות כדי "להעריך את ה-hashrate והתשלומים של כורה במאגר" ו"לתפעל הודעות שכבה כדי לגנוב מחזורי CPU ותשלומים ממשתתפי מאגר הכרייה".

משפך דרך ספקי אינטרנט

המחברים מצאו גם נקודות תורפה בתשתית, בהתבסס על העובדה שתעבורת פרוטוקול ביטקוין אינה מוצפנת ו-60% מתעבורת הרשת עוברת רק שלושה ספקי אינטרנט.

זו בעיה מכיוון ש"לספקי שירותי אינטרנט וספקי אירוח יש את היכולת לדרדר או לשלול שירות באופן שרירותי לכל צומת."

עשרים ושישה עמודים של מידע מפורט, נתונים ואינפוגרפיקה כלולים בדוח. DARPA החלה בשנת 1958 ואחראית לפיתוח טכנולוגיות מתפתחות לשימוש על ידי סוכנות משרד ההגנה של ארצות הברית וצבא ארה"ב. Trail of Bits היא חברת מחקר וייעוץ בנושא אבטחת סייבר שנרתמה על ידי DARPA לפיתוח הדו"ח.

מידע נוסף: רשתות דיגיטליות מרכזיות לעומת מבוזרות: הבדלים מרכזיים

הדו"ח מגיע בעיתוי מעניין, לאחר שחששות הריכוזיות הודגשו בסולנה.

ביום ראשון, מבוסס סולנה מימון מבוזר (DeFi) פרוטוקול ההלוואות סולנד הרכיב הצעת ממשל דחופה שמטרתה להשתלט על ארנק לוויתן שעמד בפני חיסול שאיים להעמיס על סולנד ומשתמשיה.

ההצעה, שהתקבלה על ידי לוויתן אחד, ראתה חזרה מיידית מטוויטר ויצירת הצבעת ממשל נוספת לביטול ההצעה שאושרה קודם לכן. משקיפים טענו כי המהלך עלול לגרום נזק לתדמית הכללית של DeFi שכן השתלטות על אחד מארנקיו של Solend פירושה שעקרונות היסוד של DeFi עולים בספק והיפוך הצבעה לא היה הרבה יותר טוב.