Bilang cryptocurrency industry patuloy na lumalawak at nagiging mas kaakit-akit na target sa mga hacker, ang Pentagon ay nag-atas ng isang pag-aaral na natuklasan ang ilan tungkol sa mga kahinaan, na detalyado sa isang kasamang ulat.
Sa katunayan, ang ulat, na inilathala noong Hunyo 21 at pinamagatang "Desentralisado ba ang mga Blockchain? Mga Hindi Sinasadyang Sentral sa Mga Naipamahagi na Ledger," ay natuklasan na "isang subset ng mga kalahok ay maaaring makakuha ng labis, sentralisadong kontrol sa buong sistema."
Ang pag-aaral, na nakatutok sa Bitcoin (BTC) at Ethereum (ETH), ay isinagawa ng security research firm na Trail of Bits sa ilalim ng direksyon ng Defense Advanced Research Projects Agency (DARPA) ng Pentagon.
Ayon sa ulat:
"Ang bilang ng mga entity na sapat upang makagambala sa isang blockchain ay medyo mababa: apat para sa Bitcoin, dalawa para sa Ethereum, at mas mababa sa isang dosenang para sa karamihan ng mga network ng PoS."
60% ng trapiko ng Bitcoin ay dumadaan sa 3 ISP lamang
Bukod dito, sinabi ng ulat na "sa lahat ng trapiko ng Bitcoin, 60% ay dumadaan lamang sa tatlong ISP," na tumutukoy sa mga nagbibigay ng serbisyo sa internet. Higit pa rito, "lumulutang ang karamihan sa mga node ng Bitcoin ay hindi lumahok sa pagmimina at ang mga operator ng node ay hindi nahaharap sa tahasang parusa para sa hindi katapatan."
Tulad ng babala ng mga analyst, "ang pag-deploy ng bagong node ay nangangailangan lamang ng isang murang cloud server instance - walang espesyal na hardware sa pagmimina ang kinakailangan." Nagbibigay-daan ito para sa posibilidad ng pagbaha sa consensus network ng blockchain ng mga bago, malisyosong node na kinokontrol ng isang partido sa tinatawag na Sybil attack.
Kasama sa mga karagdagang problema ang mga hindi napapanahon at hindi naka-encrypt na mga protocol at software, na lahat ay naglalantad sa network sa mga pag-atake. Tulad ng ipinaliwanag ng ulat:
"Ang kaligtasan ng isang blockchain ay nakasalalay sa seguridad ng software at mga protocol ng off-chain na pamamahala nito o mga mekanismo ng pinagkasunduan."
Walang ingat na mga pool sa pagmimina
Natuklasan din ng ulat na ang lahat ng mga pool ng pagmimina ay sinubukan ng mga analyst nito "alinman sa magtalaga ng isang hard-coded na password para sa lahat ng mga account o simpleng hindi patunayan ang password na ibinigay sa panahon ng pagpapatunay."
Bilang halimbawa, ginamit ng ulat ang pagsasanay ng pandaigdigang cryptocurrency mining pool na ViaBTC ng tila pagtatalaga ng password na '123' sa lahat ng mga account nito. Ang isa pang kumpanya ng pagmimina, si Poolin, ay "tila hindi nagpapatunay ng mga kredensyal sa pagpapatunay," samantalang ang Slushpool "ay tahasang nagtuturo sa mga gumagamit nito na huwag pansinin ang field ng password."
Ayon sa magagamit na data, ang tatlong mining pool na ito ay nagkakahalaga ng humigit-kumulang 25% ng Bitcoin hashrate.
Cybersecurity madalas na nagbabala ang mga mananaliksik sa mga potensyal na kahinaan na nauugnay sa crypto na maaaring humantong sa mga insidente tulad ng isang iyon finbold iniulat noong kalagitnaan ng Abril, kung saan ang isang Nagawa ng attacker na nakawin ang buong koleksyon ng isang tao ng cryptos at non-fungible token (NFTs) na nagkakahalaga ng mahigit $650,000 mula sa kanilang MetaMask crypto wallet.
Pinagmulan: https://finbold.com/pentagon-paper-warns-of-major-vulnerabilities-in-the-bitcoin-blockchain/