Aangezien de cryptocurrency-industrie blijft uitbreiden en een steeds aantrekkelijker doelwit wordt voor hackers, heeft het Pentagon opdracht gegeven voor een onderzoek waarin enkele kwetsbaarheden zijn ontdekt, die in een begeleidend rapport worden beschreven.
Inderdaad, het rapport, gepubliceerd op 21 juni en getiteld “Zijn blockchains gedecentraliseerd? Onbedoelde centraliteiten in gedistribueerde grootboeken”, heeft ontdekt dat “een subset van deelnemers buitensporige, gecentraliseerde controle over het hele systeem kan krijgen.”
De studie, die zich richt op Bitcoin (BTC) en Ethereum (ETH), werd uitgevoerd door het beveiligingsonderzoeksbureau Trail of Bits onder leiding van het Defense Advanced Research Projects Agency (DARPA) van het Pentagon.
Volgens het rapport:
"Het aantal entiteiten dat voldoende is om een blockchain te verstoren is relatief laag: vier voor Bitcoin, twee voor Ethereum en minder dan een dozijn voor de meeste PoS-netwerken."
60% van het Bitcoin-verkeer gaat via slechts 3 ISP's
Bovendien zei het rapport dat "van al het Bitcoin-verkeer 60% slechts drie ISP's doorkruist", verwijzend naar internetproviders. Bovendien "lijkt de overgrote meerderheid van Bitcoin-knooppunten niet deel te nemen aan mijnbouw en worden knooppuntexploitanten niet expliciet bestraft voor oneerlijkheid."
Zoals de analisten waarschuwen: "het implementeren van een nieuw knooppunt vereist slechts één goedkope cloudserverinstantie - er is geen gespecialiseerde mining-hardware nodig." Dit maakt het mogelijk om het consensusnetwerk van een blockchain te overspoelen met nieuwe, kwaadaardige knooppunten die worden beheerd door een enkele partij in wat een Sybil-aanval wordt genoemd.
Andere problemen zijn onder meer verouderde en niet-versleutelde protocollen en software, die het netwerk allemaal blootstellen aan aanvallen. Zoals het rapport uitlegt:
"De veiligheid van een blockchain hangt af van de veiligheid van de software en protocollen van zijn off-chain governance of consensusmechanismen."
Onzorgvuldige mijnbouwpools
Het rapport ontdekte ook dat alle door de analisten geteste mining-pools "ofwel een hard-coded wachtwoord voor alle accounts toekennen of het wachtwoord dat tijdens de authenticatie is verstrekt gewoon niet valideren".
Als voorbeeld gebruikte het rapport de praktijk van de wereldwijde cryptocurrency-miningpool ViaBTC om schijnbaar het wachtwoord '123' toe te wijzen aan al zijn accounts. Een ander mijnbouwbedrijf, Poolin, "lijkt de authenticatiereferenties helemaal niet te valideren", terwijl Slushpool "zijn gebruikers expliciet instrueert het wachtwoordveld te negeren."
Volgens de beschikbare gegevens zijn deze drie mining pools goed voor ongeveer 25% van de Bitcoin-hashrate.
Cybersecurity onderzoekers waarschuwen vaak voor potentiële crypto-gerelateerde zwakheden die kunnen leiden tot incidenten zoals die finbold medio april gemeld, waarin een aanvaller erin geslaagd om de volledige collectie van een persoon te stelen van crypto's en niet-fungibele tokens (NFT's) ter waarde van meer dan $ 650,000 van hun MetaMask crypto portemonnee.
Bron: https://finbold.com/pentagon-paper-warns-of-major-vulnerabilities-in-the-bitcoin-blockchain/