Тем не менее, за последние пару месяцев хакеры несколько раз перехватывали управление половиной общей вычислительной мощи сети, чтобы извлечь из этого выгоду. Дважды это произошло в одном и том же блокчейне. Verge, ориентированная на конфиденциальность криптовалюта, пострадала от двух атак 51%, что позволило хакерам похитить $1 млн.
Во время первой атаки в апреле (всего за несколько недель до партнерства с Pornhub), хакер смог похитить 250 тысяч XVG. А во время последней – в середине мая – злоумышленнику удалось украсть криптовалюту на общую сумму $1,7 млн.
Согласно исследователям, вредоносные программы основываются на простом коде, на котором обычно строятся протоколы криптовалюты, чтобы быть способным предсказать непредусмотренные последствия этих изменений.
Конечно, разработчики Verge создавали криптовалюту, лучше подходящую для платежей. Однако некоторые характеристики, такие как продолжительность времени действительности блока, могут делать блокчейн открытым для атак.
Это блокчейн, построенный на очень ненадежных стимулах, посредством которых все акционеры работают вместе для достижения общей цели, чтобы избежать ситуации, когда одна группа полностью берет контроль в свои руки.
Все, очевидно, выглядит не очень хорошо. Проблемы, которые с самого начала незаметно стали частью базового кода, были результатом чистой беспечности – включения кода из другого программного обеспечения, находящегося в открытом доступе, без понимания его смысла.
Мне не нравится это говорить, но, если мне придется подвести итог: хакеры проявляют намного больше усердия, чем разработчики. На их месте я бы попытался переманить их.
— говорит техдиректор сайта по анализу криптовалюты The Abacus Дэниэл Голдмен.
Многие бывалые участники криптосообщества, включая создателя Litcoin Чарли Ли и ведущего разработчика Monero Рикардо Спаньи, долгое время спорили об изменениях платформы, имеющих очевидные недостатки, были атакованы группой энтузиастов, называющих себя “Армия Verge”. Аналитик исследовательского отдела Fidelity Investment Ник Картер, резюмируя общее состояние развития Verge, отметил, что из этого можно сделать много важных выводов.
Проблема
Один из уроков, которые можно вынести, состоит в том, что есть причины, по которым окно времени, в которое транзакция может быть действительна, довольно сильно ограниченно.
Например, в то время, как транзакции биткоина действительны всего 10 минут прежде чем они будут проверены, разработчики Verge расширили это окно до двух часов. В системе блокчейнов существует информационная ассиметрия, поскольку узлы передачи данных рассредоточены по всему земному шару. Из-за этого хакеры могут обмануть временные маркеры, привязанные к блокам, оставшись незамеченными.
Но дело не только в этом: другой частью атаки был алгоритм сложности Verge.Verge использует алгоритм под названием “Dark Gravity Wave” для автоматической адаптации к тому, как быстро майнеры находят блоки. В Verge это происходит каждые два часа; по сравнению с биткоином, где адаптация происходит раз в две недели.
Временные маркеры, которые удалось обойти, в совокупности с этим быстро адаптирующимся алгоритмом привели к проблеме “трагического усложнения протокола алгоритма адаптации майнинга”. Говоря другими словами, нападающие умно внедрили в блоки ложные временные маркеры, вынуждая криптовалюту адаптироваться быстрее. Таким образом похищают еще большее количество XVG.
Когда произошла первая атака, разработчики Verge сразу выпустили дополнение к программе, которое остановило нападавших и не позволило им украсть большую сумму денег. Тем не менее, учитывая атаку в прошлом месяце, это все, на что способен патч. Злоумышленники, в свою очередь, нашли другой способ произвести такой же взлом, демонстрируя, насколько трудным может быть построение распространенной системы, которая не была бы уязвима для атак.
Продолжающиеся атаки
По словам Голдмана, данные проблемы, скорее всего, не закончатся.
Атака явно была – и, вполне вероятно, еще будет предпринята попытка. Однако пока потенциальному злоумышленнику не удалось взломать сеть.
— добавил он.
На его взгляд, два из трех главных источника уязвимости в настоящее время решаемы.
В то время, как ни одна из монет XVG не была украдена непосредственно у пользователей, майнеры не должны уходить от правил, эффективно добывая валюту для одного человека за короткий промежуток времени.
Таким образом, разработчики активно работают над улучшением кода, чтобы “укрепить валюту против любых атак в будущем”.
Тем не менее, Голдман считает, что есть еще одна проблема. В отличие от многих существующих сегодня криптовалютных проектов, основанных на открытом исходном коде, кодовая база Verge строится в частном порядке и поэтому не будет проверена экспертами по блокчейну, которые могут помочь найти команде уязвимости.
Будущее Verge
До сих пор значительная часть криптосообщества поддерживает команду разработчиков и идею цифровых валют.
Пользователь под псевдонимом Verge Crypto Dog утвердил, что “нет необходимости паниковать”. Он уверен, что успех валюты будет продолжаться независимо от хакерских атак. Эксперт рассматривает валюту как пилотную, которая поможет “построить масштабный и эффективный проект”.
Однако она выглядит не сильно привлекательно, во многом и из-за своих партнеров, в том числе Pornhub. Тем более, что вице-президент Pornhub заявил, что Verge была выбрана в качестве способа оплаты для сайта для сохранения финансовой конфиденциальности клиентов.
Некоторые разработчики считают, что это вызовет повышенное чувство ответственности у организаций, которые будут эффективнее анализировать блокчейн.
Я не удивлюсь более пристальному вниманию к валюте в ближайшем будущем, и это приведет к большему количеству атак. А инвесторы будут точнее оценивать ценностные предложения небольших проектов.
— уверен инженер BitGo Марк Эрхардт.
По его словам, отсутствие атак не является доказательством безопасности системы. Возможно, системные недостатки просто не используются хакерами.
В то время как 51-процентные атаки обычно считались трудными для выполнения, Gervais Liquidity Network утверждал, что это проще, чем многие предполагают. Он указал на новое веб-приложение, 51crypto, которое отслеживает, насколько выгодно совершить 51-процентную атаку на различные блокчейны.
Суть статистики атак заключается в том, что чем меньше блокчейн, тем легче обойти его правила. Ведь, если злоумышленники увидят финансовый смысл в атаках, они нападут.