Accueil Forums Blockchain et cryptomonnaies Oui, la Blockchain peut être piratée

Ce sujet a 0 réponse, 1 participant et a été mis à jour par  Fan de Crypto, il y a 2 semaines.

Affichage de 1 message (sur 1 au total)
  • Auteur
    Messages
  • #9780

    Cybersecurity me fait WannaCry

     Hacker hacking Equifax

    Capture d'action en direct du hack Equifax

    Nous existons dans une période de violations de données régulières de haut niveau et inquiétude sur la sécurité et la confidentialité de l'information numérique, Il s'agit d'une infrastructure Internet vieillissante qui n'est clairement pas à la hauteur de la prévention des cyberattaques sophistiquées. D'Equifax à WannaCry, l'illusion de la cybersécurité se dissout sous nos yeux.

    De plus en plus souvent, on découvre des nouvelles sur le piratage ou la divulgation d'informations personnelles. De plus en plus, ceux qui nous ont confié les clés de nos données se révèlent abuser de ces données et trahir notre confiance. Il devient de plus en plus clair que les systèmes centralisés qui nous ont amenés jusqu'ici ne suffiront pas à nous protéger.

    La technologie Blockchain promet de résoudre ces problèmes en supprimant la confiance liée au stockage et à l'accès à notre contenu numérique. En déplaçant les données sur les bords du réseau et en utilisant une cryptographie forte pour maintenir un contrôle individuel sur ces données, les blockchains visent à remettre le pouvoir entre les mains des utilisateurs finaux et des créateurs de données, et non les mains (clairement maladroites) du les plates-formes que nous utilisons pour partager les données.

    Les chaînes de blocs ne sont pas inébranlables

    Cependant, aussi puissants que soient les blockchains, ils ne sont pas immunisés contre les attaques. Toute technologie a des points faibles et des vecteurs d'attaque, et la blockchain ne fait pas exception. Ici, nous allons explorer les différents vecteurs d'attaque (en ordre de menace croissante) et examiner quelques exemples de chacun de l'histoire courte mais passionnante de la crypto-monnaie jusqu'à présent.

    Sybil Attack

    Une attaque de Sybil est une attaque dans lequel un grand nombre de nœuds sur un même réseau appartiennent à la même partie et tentent de perturber l'activité du réseau en inondant le réseau de mauvaises transactions ou en manipulant le relais de transactions valides.

    Ces attaques sont théoriques et La plupart d'entre elles ne seront peut-être jamais vues, car l'une des décisions de conception fondamentales prises lors du développement d'un système de cryptomonnaie est de savoir comment empêcher les attaques Sybil.

    Bitcoin les empêche grâce à son algorithme Proof-of-Work, obligeant les nœuds à dépenser des ressources (sous forme d'énergie) pour recevoir des pièces, ce qui rend très coûteux la possession de la grande majorité des nœuds. Différents projets traitent la résistance Sybil différemment, mais presque tous la gèrent

    Routing Attack

    Une attaque de routage est une attaque rendue possible par le compromis ou la coopération d'un fournisseur d'accès Internet (ISP). Bien qu'il soit techniquement possible d'exécuter un nœud Bitcoin (ou d'autres pièces de monnaie) n'importe où dans le monde, la réalité actuelle est que les nœuds sont relativement centralisés à l'heure actuelle en ce qui concerne les fournisseurs de services Internet.

    Selon recherche réalisée par ETHZurich, 13 FAI hébergent 30% du réseau Bitcoin, tandis que 3 FAI acheminent 60% du trafic de transaction pour le réseau. Ceci est un point majeur d'échec si un FAI devait être corrompu.

    Une attaque de routage fonctionne en interceptant le trafic Internet envoyé entre Systèmes Autonomes, nœuds de niveau supérieur dans l'architecture de l'Internet, dont il y en a assez peu intercepter avec une relative facilité. Il s'agit d'un phénomène commun, même quotidien, sur Internet dans la nature et qui peut certainement être utilisé contre Bitcoin ou autre trafic de crypto-monnaie.

    En utilisant cette méthode, un réseau de cryptomonnaie peut être partitionné en deux ou plusieurs réseaux distincts, exposant côté de la partition pour les attaques à double dépense, car ils ne peuvent pas communiquer avec l'ensemble du réseau pour valider les transactions. Une fois les pièces dépensées d'un côté du réseau et les biens ou services reçus, la partition pourrait être supprimée et le côté du réseau ayant la chaîne la plus courte serait rejeté par le réseau dans son ensemble et ces transactions seraient effacées. [19659005] Pour autant que nous le sachions, ce type d'attaque n'a pas eu lieu, et des mesures peuvent être prises pour immuniser les pièces contre ce comportement

    Direct Denial of Service

     Schéma de l'attaque directe par déni de service

    ] Une attaque de déni de service direct (DDoS) est une tentative par de mauvais acteurs pour paralyser un serveur, n'importe quoi d'un site Web à un noeud de Bitcoin, en l'inondant avec de grands volumes de trafic. C'est certainement l'une des attaques les plus courantes dans la nature, car il est relativement facile d'acheter une attaque DDoS à partir de n'importe quel nombre de «hackers» ou d'entreprises peu recommandables.

    Dans le cas d'un site web, cela ressemble à énorme volume de requêtes envoyées au serveur en continu sur une période donnée, empêchant les demandes légitimes de recevoir les ressources dont elles ont besoin. Dans le cas d'un noeud Bitcoin, cela ressemble à d'énormes volumes de transactions petites ou invalides envoyées dans le but d'inonder le réseau et d'empêcher le traitement de transactions légitimes.

    Les principaux réseaux comme Bitcoin sont constamment attaqués par les attaques DDoS, mais les décisions de conception prises dans le développement du réseau Bitcoin agissent pour atténuer le risque de tentatives de DDoS. Face à une attaque DDoS réussie, il n'y a aucune menace de vol de fonds ou de sécurité compromise, simplement un arrêt de l'activité du réseau.

    Backlog Blues de Bitcoin

    Cependant, sans risque de sécurité, cette interruption de service peut être utilisé pour d'autres agendas. Il y a quelque chose d'une saga quand il s'agit de "spam" des transactions (DDoSing le réseau avec beaucoup de transactions) et Bitcoin qui a joué de 2015 à 2017.

    En Juin 2015, Coinwallet.eu (une société de portefeuille maintenant défunte) , a effectué un « stress test » du réseau Bitcoin en envoyant des milliers de transactions sur le réseau dans le but d'influencer le controversé débat sur le changement de taille des blocs qui faisait rage à cette époque, déclarant que ils ont entrepris de «démontrer clairement la taille accrue des blocs en démontrant la simplicité d'une attaque de spam à grande échelle sur le réseau.»

    Un mois plus tard, lors de ce qu'on appelle «l'attaque des inondations», en même temps envoyé sur le réseau Bitcoin, créant un énorme backlog qui a été effacé seulement par les efforts de F2Pool, l'un des plus grands pools miniers de l'époque, qui a consacré un bloc entier à combiner toutes les transactions de spam et de compensation

    Au cours de l'année prochaine, selon l'analyse de LaurentMT, le créateur de l'outil d'analyse Bitcoin OXT, plusieurs milliers voire plusieurs millions de transactions de spam (pour la plupart de petites transactions inutiles qui n'auraient pas pu être légitimes) ont été envoyés, bloquant le backlog Bitcoin UTXO, mais ces transactions ont été pour la plupart ignorées par les principaux bassins miniers.

     Bitcoin Mempool 2017

    Soudain, dans la seconde moitié de 2016 et tout à peu près en même temps, les grands bassins miniers de l'époque ont commencé à accepter ces transactions de spam en blocs, réduisant le débit de transactions légitimes juste au moment où le débat de la taille des blocs reprenait et de nombreux bassins étaient censés prendre le parti des «gros bloqueurs» les petits bloqueurs.

    Le réseau Bitcoin a depuis éliminé ce retard et fredonne, tandis que les fans du big-block se tournent vers Bitcoin Cash, un projet que Jihan Wu (fondateur de Bitmain le plus grand propriétaire de Bitcoin hashpower de loin) est entièrement favorable. Faites votre propre recherche.

    51% ou Majority Attack

    Comme la sécurité d'une blockchain est directement liée à la puissance de l'ordinateur qui construit la chaîne, il y a la menace d'un attaquant qui prend le contrôle de la majorité le réseau. Cela permettrait à l'attaquant d'extraire des blocs plus rapidement que le reste du réseau, ouvrant ainsi la porte à une double dépense.

    La double-dépense est une méthode de frauder une crypto-monnaie qui implique de soumettre des transactions à la chaîne. le bien ou le service pour lequel cette transaction a été payée, et l'utilisation subséquente du hashpower majoritaire pour forer la blockchain à un point antérieur à la transaction. Cela efface effectivement cette transaction de l'historique de la chaîne, permettant à l'attaquant de traiter une deuxième fois avec ces mêmes pièces.

    Obtenir une majorité de hashpower ne permettrait pas à un attaquant de créer des pièces, accéder aux adresses ou compromettre le réseau autrement , ce qui limite les dommages que cette méthode permet. Le plus grand effet d'une telle attaque pourrait bien être la perte de confiance dans le réseau attaqué, et une chute du prix des actifs de tout jeton sur le réseau.

    Ce genre d'attaque majoritaire coûte très cher, et en conséquence, en réalité, seules des pièces de monnaie relativement petites et de faible puissance sont sensibles à ce vecteur d'attaque. Les pièces majeures comme Bitcoin ont peu à craindre d'une attaque à 51% car tout attaquant ayant la plus grande partie de hash aurait plus de motivation à extraire tous les blocs et à recevoir le Bitcoin que de tenter une attaque, surtout si l'on considère le prix de leur Bitcoin volé s'effondrerait si la nouvelle d'une attaque s'éteignait.

    51% à l'état sauvage

    L'un des exemples les plus intéressants d'attaques à 51% dans la nature vient d'un groupe de hackers qui ont appelé Au cours de la deuxième moitié de 2016, le 51 Crew a commencé à détenir de petits clones Ethereum en échange d'une rançon, profitant de leur faible taux de hachage et de la distribution minière centralisée pour louer assez de matériel pour accaparer le réseau. l'intention n'est pas de détruire un projet "et ils faisaient cela juste faire de l'argent, ils ont demandé Bitcoin en échange de la fermeture de leur opération et de laisser les projets en paix. Si les demandes n'étaient pas satisfaites, ils verrouilleraient la blockchain de la pièce avant les grosses ventes que l'équipe avait déjà effectuées sur les échanges.

    Les projets en question, Krypton (maintenant disparu) et Shift (toujours échangé à petit volume) , les deux ont refusé de payer la rançon et ont ensuite eu leurs blockchains fourchus. Les équipes du projet se sont efforcées de consolider la décentralisation du réseau et d'apporter des modifications aux protocoles pour prévenir de tels abus, mais pas avant d'avoir été très touchés.

    Cryptographic Vulnerabilities

    Les attaques décrites jusqu'ici portent principalement sur le double dépenses ou réduction du service réseau. Les attaques coûtent cher et sont rapidement corrigées par les propres fonctions d'auto-réparation du réseau. Bien qu'elles puissent constituer de réelles menaces à la confiance dans une crypto-monnaie et entraîner une perte minimale de fonds, elles sont relativement petites.

    Comme tout système informatique ou réseau, le vecteur d'attaque le plus important est l'erreur humaine. Les pertes majeures de fonds vus jusqu'ici dans le cryptoland sont le résultat de bugs dans le logiciel de la monnaie elle-même. Les erreurs cryptographiques dans la sécurité des cryptocurrences laissent des failles de sécurité qui peuvent être découvertes et exploitées par des hackers sophistiqués pour miner un projet

    The DAO

    L'infâme bidouillage DAO d'Ethereum est peut-être l'exemple le plus visible d'un hack activé Cela a engendré une toute nouvelle crypto-monnaie et hante encore aujourd'hui le projet Ethereum

    La DAO (Organisation Autonome Décentralisée) était une organisation sans leader construite sur Ethereum en utilisant des contrats intelligents. L'idée était de donner à n'importe qui la possibilité d'investir dans l'entreprise et de voter sur les projets qu'ils souhaitaient financer, tous gérés de manière sécurisée et automatique par le code DAO intelligent.

    Si vous investissiez dans le DAO (en achetant des jetons DAO) et puis a décidé plus tard de se retirer, il y avait un mécanisme par lequel vous pourriez avoir votre Ethereum retourné à vous en échange de vos jetons DAO. C'est le mécanisme appelé 'Split Return' qui a été exploité par un DAOist pionnier le 17 juin 2016.

    Le Split Return est un processus en deux étapes: renvoyer la quantité appropriée d'Ethereum au porte-jeton déclenchant le retour, Ensuite, prenez les jetons et enregistrez la transaction sur la chaîne de blocs pour mettre à jour le solde de jeton DAO. Le pirate inconnu s'est rendu compte qu'il pouvait tromper le système en répétant la première étape sans passer à la seconde, ce qui leur permettait de siphonner 50 millions d'Ethereum hors du DAO et en un DAO séparé contrôlé uniquement par l'attaquant.

    De toute évidence enflammé la communauté Ethereum, et un plan de fourchette et de récupérer les fonds a été faite. Une fourchette souple aurait été minimalement invasive, rétrocompatible et aurait simplement «effacé» le hack DAO de la blockchain. Une fois que le plan a été fait, cependant, il a été réalisé qu'il ne volerait pas et une fourchette dure serait nécessaire. Cela a été controversé et a abouti à la création d'Ethereum Classic (ETC), une continuation de la chaîne Ethereum originale avec le DAO hack en place, et Ethereum (ETH), le nouveau projet fourchu qui a continué à DAO un autre jour.

    La ​​vraie menace, ce sont les utilisateurs, pas les hackers

    La technologie Blockchain est robuste et prometteuse, et même avec toutes ces approches d'attaque possibles, très peu d'attaques réussies ont échoué dans l'histoire. Cela n'empêche pas que de vastes sommes d'argent soient volées aux utilisateurs.

    Alors que la sécurité de la plupart des crypto-monnaies reste intacte, la sécurité des portefeuilles, des échanges et des comptes de services tiers autour de ces cryptocurrences reste presque ridiculement mauvaise . Des millions et des millions de dollars de Bitcoin et d'autres crypto-monnaies ont été volés des comptes compromis d'individus et d'échanges au cours des années.

    Alors que les attaques décrites ci-dessus sont essentiellement théoriques et sont activement défendu, le trou flagrant de la sécurité de Bitcoin et de toute autre crypto-monnaie est le fait que les humains ne sont pas si bons à prêter attention et à être vigilants. Réutiliser les mots de passe, être victime d'escroqueries par hameçonnage, d'opérateurs de sites Web négligents et d'employés d'échange négligents continue d'être le point d'échec le plus dangereux en ce qui concerne la santé de l'économie cryptographique.

    attaques de niveau blockchain perpétré. Ceux-ci peuvent provenir d'énormes puissances comme les gouvernements ou les entreprises qui cherchent à contrôler ou à miner ces nouveaux moyens prometteurs de stockage et de transfert de richesse et de valeur. À long terme, cependant, des attaques comme celles-ci ne feront que renforcer et faire évoluer la technologie pour qu'elle soit plus résistante et robuste.

    Mais bien plus que cela, il faudra faire de grands progrès dans la facilité d'utilisation. et la sécurité des produits crypto grand public avant leur adoption réelle. Tant que l'on a accidentellement partagé un mot de passe ou laissé un ordinateur portable ouvert peut signifier la perte de vos économies, nous ne pouvons pas entrer dans un monde avec crypto.

    Lire la suite en anglais sur CoinCentral

Affichage de 1 message (sur 1 au total)

Vous devez être connecté pour répondre à ce sujet.

Aller à la barre d’outils