Чтобы выжить на Диком Западе, людям приходилось не только носить с собой револьвер (а то и два) но и быть намного быстрее противника.
Если вы один из тех, кто решил инвестировать в криптовалюту под названием Биткоин (Bitcoin), то вы сродни героя вестерна, который оказался один на один с более сильным противником… и вам лучше быть быстрее его, чтобы остаться в живых. С того самого момента, когда вы купили несколько биткоинов, вы ввязались в состязание с грабителями и злодеями, которые стремятся отследить переводы средств в этой системе и перехватить средства, до того, как они дойдут до адресата.
У кого более мощный компьютер? У вас или у них? Кто из вас более опытен в этом деле?
Одно неловкое движение – и ваш кошелек моментально могут продырявить будто стрельбой из пулемета. Не так давно, интернет наполнился разговорами о том, как сайт под названием Silk Road 2.0 (шелковый путь), знаменитый тем, что продает запрещенные наркотики за биткоины, был взломан, а с его счетов было похищено биткоинов на общую сумму $2.7 миллиона. Прям как ограбление поезда в американском вестерне.
Недавние хакерские атаки
Трудно точно сказать, когда началась эта волна хакерских атак на счета в системе Bitcoin, но если посмотреть на котировки криптоалюты, можно заметить, что ее стоимость начала стремительно снижаться утром 6 февраля. За 8 последующих дней криптовалюта потеряла в стоимости более 25% на бирже Bitstamp (упала с $800 до $600), а на бирже MtGox она и вовсе обвалилась на 58% (с $900 до $375).
Если вы пытались вывести средства с этих бирж в тот момент, то наверняка заметили, что у вас ничего не получилось по разного рода причинам, включая DDoS-атаки, трояны и прочие уловки онлайн злоумышленников. Иными словами, систему взломали (или выражаясь хакерским языком, “хакнули”).
Все сводится к изощренным объяснениям, которые с трудом могут понять даже некоторые компьютерные специалисты. Давайте попробуем разобраться в ситуации так, чтобы у нас не взорвались мозги.
Атаки связанные с гибкостью транзакций
Любая транзакция в системе Bitcoin получает уникальный код, состоящий из 64 символов, включая цифры и буквы. Этот код называется хэш. Часть этого кода содержит электронную подпись отправителя платежа, указывая на то, откуда пришли средства. Но проблема самой системы Bitcoin состоит в том, что она не проверяет хэш код на наличие ошибок в его формате. Поэтому все, что нужно вору, это изменить формат электронной подписи отправителя, чтобы создать совершенно новый ID транзакции.
Изменение формата подписи не меняет саму личность отправителя, а лишь влияет на то, в каком виде эта личность вписывается в хэш.
Как только подпись отправителя изменена, система думает, что это новая транзакция, и создает новый хэш. Получается, что для одной транзакции теперь существует два разных хэша. Оба хэша содержат одинаковую информацию (тот же отправитель и получатель, та же сумма транзакции), но так как подпись имеет два разных варианта, генерируется два разных ID.
И вот здесь начинается неравная дуэль хакера и истинного владельца. Вору нужно успеть верифицировать свой хэш в блочной цепи компьютеров первым, то есть до того, как будет верифицирован исходный хэш. (Блочная цепь – это сеть компьютеров, которые публикуют транзакции онлайн, чтобы все остальные компьютеры видели доказательства существования транзакций. Это как штамп на конверте с указанием времени отправки письма).
Если вор сможет сделать так, чтобы его клон исходного хэша был верифицирован первым (а это возможно при наличии сверх мощных компьютеров для майнинга/добычи биткоинов), система воспринимает его как истинный код. А когда появится исходный хэш, система заметит, что он содержит информацию идентичную той, которая была только что обработана, и воспримет его как ошибку. Таким образом, исходный хэш не будет зарегистрирован в системе.
Теперь все, что нужно вору, это обратиться к отправителю и сообщить ему, что средства не были получены им. Когда отправитель будет проверять блочную цепь, он будет искать оригинальный хэш, но он вряд ли догадается, что его исходный хэш не был зарегистрирован в системе, и что вор создал клон хэша, а адресат на самом деле получил средства.
Даже если отправитель заметит, что перевод средств был осуществлен под поддельным хэшем, он не сможет доказать тот факт, что отправитель получил средства.
Но и это еще не все. Воры могут также препятствовать проверке баланса. Они могут послать большое количество запросов на вывод средств, тем самым не давая системе возможности проверить баланс на достаточное количество средств.
Электронные карманники
Если существуют электронные кошельки, то должны быть и те, кто жаждет полакомиться их содержимым. Давайте будем называть их электронные карманники. С конца декабря прошлого года хакеры начали активно внедрять вредоносный код в ПК пользователей системы Bitcoin через различное ПО. Данные вредоносные программы попадают на жесткий диск вашего ПК и ждут того момента, когда вы войдете в свой кошелек в системе Bitcoin, чтобы узнать ваш логин и пароль и передать его злоумышленникам по сети. Те в свою очередь могут войти в ваш счет и перевести деньги, куда им вздумается и без каких либо последствий.
Но существуют воры и на более высоком уровне. Они в состоянии взломать целую биржу. Они смогли добраться даже до MtGox и кошельков нашумевшего сайта по продаже запрещенных наркотиков и оружия Silk Road 2.0, который использует систему Bitcoin из-за ее полной анонимности.
Проблемы? Какие проблемы?
Очевидно , что недавняя волна хакерских атак и похищений биткоинов на миллионы долларов породила ответную волну скептицизма по отношению к надежности и состоятельности самой платежной системы. Энтузиазм многих рядовых пользователей сменился сомнениями, отчаянием и страхом. Но хуже всего то, что создатели, скорее всего, знали об этих уязвимостях с самого начала. Встает ряд очень интересных вопросов:
Если они создали систему, которая проверяет и перепроверяет каждый кусочек кода, как они могли упустить такой важный момент как проверка цифровой подписи отправителя? Кому это выгодно? Люди периодически пополняют биржевые счета с помощью биткоинов. Если биржа изменяет хэш, она может получать средства без надобности пополнять счета клиентов и при этом оставаться безнаказанной. Более того, биржа может сослаться на проблемы, вызванные, например, выдуманной (или заказной) DDoS атакой или взломом, и параллельно снять со счета клиентов определенную сумму, и никто даже не сможет расследовать и доказать сам факт хищения и личности злоумышленников (по причинам, указанным выше в статье).
Без надзора не обойтись
Нравится вам это или нет, но лишь контроль и регулирование поможет выжить биткоину в качестве платежного средства. Ну сами посудите:
Если, например, крупный производитель автомобилей выпустил новое транспортное средство с изъянами, которые были известны заранее, но проигнорированы или скрыты, что в результате привело к многочисленным авариям, что будет дальше? Не нужно быть семи пядей во лбу, чтобы догадаться, что компания утонет в судебных исках! Вот почему ни один автопроизводитель не допустит выпуска автомобиля с ЗАРАНЕЕ ИЗВЕСТНЫМ серьезным изъяном.
Но дело с Bitcoin обстоит иначе, ведь в суд подавать фактически не на кого. Есть ли в системе изъяны помимо уже упомянутых? Хорошо, вы получили на счет пару (десяток, сотню) биткоинов. Что вы будете делать с ними? Вот то-то и оно! На них особо ничего не купишь, да и обменять на другую электронную валюту достаточно проблематично. Так что свои кровные лучше приберечь для более надежных инвестиций и не ввязываться в эту грязную игру без правил в системе Bitcoin.
А нужна ли нам вообще Bitcoin?
Глядя на весь этот бардак, включая бреши в системе безопасности, неудачные транзакции, волатильность самой валюты и многие другие проблемы, нам осталось задать еще один критический вопрос: А зачем нам вообще биткоины?
Вы знаете хоть один магазин в реальности или в онлайне, который бы не принимал других видов оплаты кроме биткоинов? (Ну кроме нашумевшего Silk Road 2.0. Вы же там не покупаете ничего, правда? Осторожнее с ответом!) Неужели биткоины настолько ценны, чтобы терпеть всю эту волатильность, бесконечные часы ожиданий при пополнении счетов, а теперь еще и (временная?) невозможность вывести средства из системы? Неужели люди готовы на все это (включая отсутствие безопасности средств) только, чтобы показаться другим ультра-современным человеком?
Ну если вы один из таких людей, то смею вас заверить, что ваш энтузиазм быстро исчезнет, когда в одно прекрасное утро вы войдете в свой счет и не обнаружите там средств или увидите, что ваша драгоценная валюта обесценилась наполовину за ночь.
Я вас уверяю, что лучше принести свои кровные в любую инвестиционную компанию, чем оставлять их на счете в системе Bitcoin, потому что чаша весов под названием РИСКИ слишком сильно наклонена в сторону биткоинов.
