Kilalanin ang FumbleChain, ang Sinasadyang Maling Blockchain

Ginagawa ng FumbleChain na isang sport ang pagsira sa mga blockchain.

Ipinakita sa unang pagkakataon noong Huwebes sa Black Hat infosec event, ang sadyang may depektong Technology ay nilalayong kumilos bilang isang tool na pang-edukasyon para sa mga developer ng Crypto .

"Sa pangkalahatan, ito ang tinatawag ng mga tao na CTF, o 'kunin ang bandila,'" paliwanag ni Nils Amiet, isang senior security engineer sa Kudelski at ONE sa mga developer sa likod ng proyekto. "Sa tuwing malulutas mo ang isang hamon, iyon ay kapag nakuha mo ang bandila. … Ang mga hamon ay medyo teknikal."

Sa pamamagitan ng mga na-curate at gamified na hamon na ito, ang layunin ay turuan ang mga user tungkol sa mga kumplikado ng Technology ng blockchain .

Ayon kay Dan Guido, co-founder at CEO ng cybersecurity firm na Trail of Bits, na nag-audit sa mahigit 20 iba't ibang proyekto ng Cryptocurrency , ang FumbleChain ay katulad ng wargames ginagamit sa tradisyonal na software development.

"Ang mga kumpetisyon at pagsasanay sa pagsasanay ay ginagamit sa buong industriya ng seguridad, kung minsan sa mga live na kumpetisyon ng 30,000 o higit pang mga manlalaro sa ONE pagkakataon, upang makatulong na turuan at ipakita ang kaalaman na nakuha ng mga kalahok," sabi ni Guido, idinagdag:

"Matagal na para sa seguridad ng blockchain na magkaroon ng sarili nitong wargame."

Kinokolekta ng mga user ang mga puntos ng laro na tinatawag na "fumblecoins" sa tuwing sasamantalahin nila ang isang kahinaan sa FumbleChain blockchain at kumukuha ng ONE flag. (Ang mga barya ay may halaga lamang sa loob ng laro mismo.) Ang Amiet ng Kudelski ay nagsabi na ang CORE Technology ng FumbleChain ay “LOOKS kamukha ng Bitcoin,” mas simple lamang.

Sinabi ni Daryl Hok, COO ng blockchain cybersecurity company na CertiK, na ang FumbleChain ay idinisenyo upang gawing “approachable” ang blockchain para sa mga inhinyero na nagmumula sa magkakaibang hanay ng mga background.

"Nagbibigay ang [FumbleChain] ng isang gamified, model ng wargames na maaaring interesado sa malawak na madla sa pagiging madaling lapitan at mga insentibo nito," sabi ni Hok. "Kasalukuyang nakatuon ang proyekto sa mga pag-atake sa antas ng source code, kumpara sa mga pag-atake na nakatuon sa ekonomiya, ngunit maaaring iyon ay isang bagay na idaragdag sa hinaharap."

Sa katunayan, umaasa si Kudelski Head ng Cybersecurity Research Nathan Hamiel na magkakaroon ng sariling buhay ang FumbleChain ngayong open-sourced na ang code sa GitHub.

"Napakaraming proyekto tulad nito ay may posibilidad na matuyo habang ang mga tao ay lumipat sa iba pang mga bagay," sabi ni Hamiel. “Nararamdaman ko na ang tanging paraan para magkaroon ng matagumpay na proyektong tulad nito ay ang magkaroon ito ng open-source. … Umaasa kami na ang mga tao ay patuloy na hindi lamang gumamit ngunit bumuo ng mga bagong hamon at talagang sumama at maging bahagi ng proyekto.”

Mga aral mula sa labanan

Isinilang ang FumbleChain matapos makumpleto ni Kudelski ang ilang security audit para sa mga proyekto ng Cryptocurrency kabilang ang mga Privacy coins Monero at Zcash, sabi ni Hamiel.

Ang unang hamon sa FumbleChain ay ginagaya ang tinatawag na replay attack, kung saan ang mga duplicate na transaksyon ay nabuo sa dalawang magkahiwalay na chain. Ang attack vector na ito ay isang alalahanin noong 2017 sa panahon ng chain split sa pagitan ng Bitcoin at Bitcoin Cash.

Ang iba pang mga vector ng pag-atake ng blockchain na natukoy sa FumbleChain ay kinabibilangan ng pagpapatunay ng input ng transaksyon, pampublikong key at hindi pagkakatugma ng address ng wallet, pati na rin ang pagtanggi sa serbisyo o pag-atake ng "spam".

Sa pagsasalita sa mga kahinaan sa network na ito, sinabi ni Hamiel:

"Ang blockchain ecosystem ay may marami sa parehong mga kahinaan na mayroon ang isang tradisyunal na [software] ecosystem. Kung iisipin mo ito sa mababang antas, ang isang blockchain ay hindi masyadong kapaki-pakinabang kung wala ang ecosystem sa paligid nito ... exchange, wallet, ETC."

Dahil dito, nag-aalok din ang FumbleChain ng web wallet na nakabatay sa browser at explorer ng blockchain upang gulohin.

Higit pang pagpapalawak ng FumbleChain upang isama ang parehong mga hamon sa smart-contract at mga aralin Privacy ng blockchain ang mga susunod na hakbang na parehong inaasahan nina Hamiel at Amiet na makita sa mga darating na buwan.

Hindi bababa sa, sabi ni Marc Laliberte, isang senior security analyst sa WatchGuard Technologies, ang FumbleChain ay maaaring magkaroon ng epekto sa mga umiiral na blockchain application sa pamamagitan ng paglikha ng mga pagkakataon para sa "hands-on" na pag-aaral.

Sinabi ni Laliberte:

"Ang karanasan sa pagtukoy at pagsasamantala sa mga karaniwang kahinaan ay isang mahusay na paraan upang Learn kung paano hindi gumawa ng parehong mga pagkakamali sa iyong sarili. Nagbibigay ang FumbleChain ng pagkakataon para sa mga developer at mahilig Learn tungkol sa mga karaniwang pagkukulang at maglaro sa isang ligtas na ekosistema, at pagkatapos ay ibalik ang kaalamang iyon sa kanilang sariling mga aplikasyon."

FumbleChain na imahe sa pamamagitan ng Kudelski Security