Sebagai industri cryptocurrency terus berkembang dan menjadi sasaran yang semakin menarik kepada penggodam, Pentagon telah menugaskan kajian yang telah menemui beberapa tentang kelemahan, yang diperincikan dalam laporan yang disertakan.
Malah, laporan itu, diterbitkan pada 21 Jun dan bertajuk “Adakah Rantaian Sekat Terdesentralisasi? Pusat yang Tidak Diingini dalam Lejar Teragih," telah mendapati bahawa "subset peserta boleh memperoleh kawalan terpusat yang berlebihan ke atas keseluruhan sistem."
Kajian itu, yang memberi tumpuan kepada Bitcoin (BTC) dan Ethereum (ETH), telah dijalankan oleh firma penyelidikan keselamatan Trail of Bits di bawah arahan Agensi Projek Penyelidikan Lanjutan Pertahanan (DARPA) Pentagon.
Menurut laporan itu:
"Bilangan entiti yang mencukupi untuk mengganggu blokchain adalah agak rendah: empat untuk Bitcoin, dua untuk Ethereum, dan kurang daripada sedozen untuk kebanyakan rangkaian PoS."
60% daripada trafik Bitcoin melalui hanya 3 ISP
Selain itu, laporan itu mengatakan bahawa "daripada semua trafik Bitcoin, 60% merentasi hanya tiga ISP," merujuk kepada penyedia perkhidmatan internet. Selain itu, "sebahagian besar nod Bitcoin nampaknya tidak mengambil bahagian dalam perlombongan dan pengendali nod tidak menghadapi penalti yang jelas untuk ketidakjujuran."
Seperti yang diberi amaran oleh penganalisis, "mengeluarkan nod baharu hanya memerlukan satu contoh pelayan awan yang murah - tiada perkakasan perlombongan khusus diperlukan." Ini membolehkan kemungkinan membanjiri rangkaian konsensus blockchain dengan nod berniat jahat baharu yang dikawal oleh satu pihak dalam apa yang dipanggil serangan Sybil.
Masalah selanjutnya termasuk protokol dan perisian yang lapuk dan tidak disulitkan, yang semuanya mendedahkan rangkaian kepada serangan. Seperti yang dijelaskan oleh laporan:
"Keselamatan rantaian blok bergantung pada keselamatan perisian dan protokol tadbir urus luar rantaian atau mekanisme konsensusnya."
Kolam perlombongan yang cuai
Laporan itu juga mendapati bahawa semua kumpulan perlombongan yang diuji oleh penganalisisnya "sama ada memberikan kata laluan berkod keras untuk semua akaun atau hanya tidak mengesahkan kata laluan yang diberikan semasa pengesahan."
Sebagai contoh, laporan itu menggunakan amalan kumpulan perlombongan mata wang kripto global ViaBTC yang seolah-olah memberikan kata laluan '123' kepada semua akaunnya. Firma perlombongan lain, Poolin, "nampaknya tidak mengesahkan kelayakan pengesahan sama sekali," manakala Slushpool "secara jelas mengarahkan penggunanya untuk mengabaikan medan kata laluan."
Menurut data yang ada, ketiga-tiga kumpulan perlombongan ini menyumbang kira-kira 25% daripada kadar hash Bitcoin.
Keselamatan siber penyelidik sering memberi amaran tentang potensi kelemahan berkaitan kripto yang boleh membawa kepada insiden seperti yang finbold dilaporkan pada pertengahan April, di mana an penyerang berjaya mencuri keseluruhan koleksi seseorang daripada cryptos dan token tidak boleh digunakan (NFTs) bernilai lebih $650,000 daripada MetaMask mereka dompet crypto.
Sumber: https://finbold.com/pentagon-paper-warns-of-major-vulnerabilities-in-the-bitcoin-blockchain/