Истории о взломах бирж и сетей криптовалют появляются постоянно. Каждый год у самых крупных площадок и монет появляются проблемы, которые становятся известными всему блокчейн-сообществу. Хакеры не дремлют и постоянно пытаются найти уязвимости, а программисты бирж и создатели криптовалютных систем не всегда успевают их устранить.
Сегодня расскажем о самых громких уязвимостях, найденных в криптовалютах в 2018 году.
Отказы в транзакциях
Протокол Zerocoin содержит уязвимость, из-за которой злоумышленники могут останавливать реальные транзакции пользователей и запускать свои. Эта проблема была обнаружена исследователями из университета Эрлангена-Нюрнберга и Саарского Университета.
Сразу после обнаружения уязвимости программисты немецких университетов сообщили о ней на популярных криптовалютных и блокчейн-форумах. И это неудивительно, ведь проблема, найденная в Zerocoin, во-первых, очень существенна сама по себе, а во-вторых, затрагивает большое количество пользователей.
Уязвимость Zerocoin дает возможность злоумышленникам запускать свои транзакции, останавливая переводы других пользователей. Это расценивается системой как двойное расходование, причем недействительной будет признана та транзакция, которую перевел реальный пользователь. В итоге добросовестные держатели криптовалют теряют деньги.
Важно, что протокол Zerocoin в том или ином виде используется сразу в пяти криптовалютах: Zoin, SmartCash, ZCoin, PIVX и HexxCoin. Токены этих систем есть у десятков тысяч людей, каждый из которых из-за уязвимости оказывается в зоне риска.
Стоит отметить, что проблему начали решать достаточно быстро. Так, в Hexxcoin, SmartCash и PIVX протокол Zerocoin был оперативно деактивирован. Однако пользователи этих криптовалют столкнулись с заморозкой токенов. Этот вопрос разработчики разных криптовалют был решен по-разному. Например, в SmartCash вся замороженная криптовалюта возвратилась участникам, а разработчики PIVX решили дождаться устранения уязвимости в Zerocoin и затем вновь интегрировать этот протокол в свою систему.
Что же касается Zcoin и Zoin, то создателями этих криптовалют не были предприняты меры для защиты пользователей. Из-за этого держатели токенов сильно рисковали, когда совершали переводы.
Сегодня исследователи из немецких университетов сообщают, что уязвимость в Zerocoin устранена. Однако данный протокол является устаревшим и не поддерживается создателями уже несколько лет. И если кто-то еще продолжит им пользоваться, в будущем мы еще не раз услышим о проблемах с Zerocoin.
Нарушение анонимности
Страдают от уязвимостей и более новые и совершенные монеты. Так, недавно сотрудники Университетского колледжа в Лондоне нашли проблему в алгоритмах популярной криптовалюты ZCash.
Разработчики ZCash считают главным преимуществом своей монеты полную защищенность транзакций. Для в сети фнукционирует система “Z-адресов” (закрытых для публики) и “T-адресов”, транзакции по которым доступны для изучения всем желающим.
Исследователи многократно переводили монеты с “T-адресов” на “Z-адреса” и обратно. Накопленные таким образом сведения позволили вычислить всю информацию о владельцах якобы полностью анонимных “Z-адресов”.
Поскольку работники Университетского колледжа в Лондоне приняли решение не сообщать об уязвимости в ZCash на публике, а в первую очередь проинформировать создателей криптовалюты, то сейчас проблема с приватностью устранена. Ну а создатель ZCash Зуко Уилкокс и маркетинговый директора Джош Суихарт поблагодарили исследователей за обнаруженную уязвимость и выразили готовность продолжать сотрудничать с учеными.
Уязвимые смарт-контракты
В мае 2018 года криптовалютную общественность всколыхнули события на гонконгской криптовалютной бирже OKEx. За короткое время существенно выросли объемы торгов сразу по нескольким малоизвестным альткоинам, вследствие чего руководству площадки пришлось даже приостановить заключение сделок.
При внимательном изучении смарт-контрактов криптовалют, из-за которых возникла необычайная активность пользователей, была выявлена уязвимость, получившая название BatchOverFlow.
Суть BatchOverFlow заключается в проблеме с переменной “amount”, которая вычисляется в одной из строк кода. Ее значение равно произведению “value” и “cnt”. Однако значение “value” может быть чрезвычайно большим, что не было замечено разработчиками смарт-контракта. При повышении “value” увеличивается и значение “amount”, однако в какой-то момент переменная переполняется и вследствие этого обнуляется. Дальше же очень большое значение переменной “value” выводится на кошелек пользователя, при этом никакая комиссия не платится - “amount” равна нулю.
Баг BatchOverFlow имел очень большие последствия для всей криптовалютной индустрии. В частности, из-за уязвимости хакерам удалось вывести 8 вигинтиллионов токенов BeautyChain (вигинтиллион - число с 63 нулями).
Поскольку атаке подверглось сразу несколько криптовалют, исследователи из компании LianAn Tech решили проверить смарт-контракты других систем и понять, устойчивы ли они к BatchOverFlow. Почти сразу выяснилось интересное: уязвимость есть в одной из самых популярных криптовалют последнего времени, EOS.
Понимая, к каким последствиям может привести использование хакерами бага BatchOverFlow в EOS, сотрудники LianAn Tech сразу связались с создателями криптовалюты. Правда, как ситуация разрешилась пока непонятно. Тем не менее, курс EOS продолжает расти, а значит злоумышленники пока не сумели воспользоваться уязвимостью.
Критический раскол
Не миновали уязвимости и криптовалюту, созданную на основе “прародителя” всех токенов - Bitcoin. Проблема была обнаружена в Bitcoin Cash анонимным исследователем.
Суть уязвимости заключалась в следующем: злоумышленники могли создавать транзакции, которые бы принимались только Bitcoin-ABC версии 0.17.0, при этом остальной софт для майнинга Bitcoin Cash такие переводы бы отклонял. В результате создавалась бы ситуация, которая при отсутствии вмешательства привела бы к непредвиденному хардфорку сети.
Разработчики Bitcoin Cash, которые в момент обнаружения неисправности как раз готовились к очередному разделению блокчейна, сразу же занялись вопросом и уже через несколько дней выпустили Bitcoin-ABC версии 0.17.1. Она устраняет уязвимость и не дает возможности провести хардфорк без ведома основателей сети.
Стоит отметить, что найденная проблема никак не повлияла на планы разработчиков Bitcoin Cash. Анонсированный хардфорк состоялся 15 мая 2018 года.
Атака на Monero
Двойное расходование средств, при котором деньги уходят злоумышленникам - любимый прием хакеров. Еще одной криптовалютой, пострадавших от действий взломщиков, стала Monero.
6-8 мая 2018 года пользователи сети испытывали проблемы с переводами денег через Monero. Затруднения, как сообщается, возникли из-за прошедшей в апреле реорганизации блокчейна Monero. Его глубина была изменена до 21 блока, что позволило решить проблему с ASIC-майнингом. Однако обратной стороной медали стала неустойчивость к двойному расходу средств.
Тем не менее, разработчики Monero заявили об отсутствии основании для паники. Как объяснил в своем Twitter Риккардо Спаньи, один из создателей Monero, проблемы действительно случились из-за реорганизации, но затронули 1-2 блока. При этом вся система в целом, по заявлению Спаньи, работала в штатном режиме.
Заключение
Создать криптовалюту, в которой уязвимостей не было бы вовсе, невозможно. В мире орудуют тысячи хакеров, главным желанием которых является найти проблему в каком-нибудь смарт-контракте и получить с этого выгоду. У них есть знания и техника, которые позволят им сделать это. И надеяться, что до той криптовалюты, которую выбрал инвестор, взломщики не доберутся никогда, не стоит.
В этой ситуации лучше обращать внимание на токены, создатели которых адекватно относятся к найденным уязвимостям и быстро их устраняют. Кроме того, можно вложиться в криптовалюты, недавно взломанные WhiteHat-хакерами: вероятность того, что проблемы в ближайшее время будут именно у них, низка.
