Gli attacchi blockchain di Verge meritano una seconda attenta analisi

Il famigerato attacco del 51%: è il principale errore nei protocolli Criptovaluta , ma si verifica raramente, soprattutto tra le criptovalute più popolari.

Eppure, negli ultimi due mesi, l'exploit, in cui un singolo miner (o un gruppo di miner) prende il controllo di oltre la metà della potenza di calcolo totale della rete e può quindi piegare le regole del protocollo a proprio favore, è stato visto due volte. E sulla stessa blockchain.

In effetti, Verge, una Criptovaluta orientata alla privacy, è recentemente salita alla ribalta da una partnership con il famoso sito di intrattenimento per adulti Pornhub, ha subito due attacchi informatici perpetrati tramite attacchi del 51%, che hanno visto gli aggressori fuggire con milioni di dollari in Criptovaluta nativa, XVG.

Durante il primo attacco ad aprile (solo un paio di settimane prima della partnership con Pornhub), l'hacker è riuscito a farla franca con 250.000 XVG. E durante l'ultimo, a metà maggio, un aggressore è riuscito a sfruttare 1,7 milioni di dollari di Criptovaluta dal protocollo.

Secondo i ricercatori, gli exploit sono il prodotto di semplici modifiche al codice sottostante su cui sono solitamente basati i protocolli Criptovaluta e della difficoltà di prevedere quali conseguenze indesiderate potrebbero derivare da tali modifiche.

Certo, gli sviluppatori Verge stavano solo cercando di progettare una Criptovaluta migliore per i pagamenti, ma modificando piccoli parametri, come la durata di validità di un blocco, il gruppo ha esposto la sua blockchain ad attacchi.

"Ottenere gli incentivi giusti e mantenerli tali è difficile", ha affermato Arthur Gervais, professore associato presso l'Imperial College di Londra e fondatore di Liquidity Network.

Ciò significa che le blockchain si basano su incentivi molto precariamente combinati, in base ai quali tutte le parti interessate lavorano insieme per raggiungere un obiettivo comune, in modo da eliminare la possibilità che ONE assuma il controllo totale.

"Le cose ovviamente T sembrano andare bene", ha detto Daniel Goldman, CTO del sito di analisi Criptovaluta The Abacus che ha monitorato gli attacchi. "I problemi che inizialmente si sono insinuati nella base di codice erano il risultato di pura disattenzione, ovvero l'incorporazione di codice da altri software open source senza comprenderne le implicazioni".

Goldman ha aggiunto:

"Mi dispiace dirlo, ma se dovessi riassumere: l'attaccante sta facendo una due diligence migliore degli sviluppatori. Se fossi in loro, proverei a prenderlo di mira."

E poiché gli sviluppatori veterani di blockchain, incluso il creatore Litecoin Charlie Lee e sviluppatore capo di Monero Riccardo Spagni, hanno a lungo sostenuto che i tipi di modifiche apportate dalla piattaforma presentano evidenti svantaggi, tali detrattori, prontamente attaccati da un gruppo di appassionati che si autodefinisce "Verge Army", si sentono giustificati.

"Ci sono così tante lezioni importanti da imparare da questo", ha twittato l'analista di ricerca sugli investimenti di Fidelity Nic Carter,riassumendolo stato generale di sviluppo del verge.

I rappresentanti del team di sviluppo Verge non hanno risposto alla Request di commento di CoinDesk.

Il problema

ONE di queste lezioni è che ci sono delle ragioni per cui l'intervallo di tempo entro il quale una transazione può essere valida è limitato in modo piuttosto rigido.

Ad esempio, mentre le transazioni Bitcoin sono valide solo per circa 10 minuti prima di essere verificate in un blocco, gli sviluppatori Verge hanno esteso quella finestra a due ore. E poiché c'è una certa asimmetria informativa nei sistemi blockchain, poiché i nodi sono distribuiti in tutto il mondo, l'attaccante è stato in grado di "falsificare" i timestamp legati ai blocchi senza che nessuno se ne accorgesse, secondo il post ampiamente diffusodi Goldman.

Ma T si è trattato solo di questo: un altro aspetto degli attacchi è stato l'algoritmo di difficoltà di Verge.

Verge usa l'algoritmo "Dark Gravity Wave" per regolare automaticamente la velocità con cui i minatori trovano i blocchi. In Verge, questo avviene ogni due ore; rispetto a Bitcoin che si regola ogni due settimane, l'algoritmo di Verge è piuttosto veloce.

I timestamp falsificati abbinati a questo algoritmo di adattamento rapido hanno portato al problema di "confondere tragicamente l'algoritmo di adattamento del mining del protocollo", come ha affermato Goldman.

In altre parole, l'aggressore ha abilmente estratto blocchi con timestamp falsi, costringendo la difficoltà della criptovaluta a ridursi più rapidamente, rendendo più facile per l'aggressore estrarre ancora più XVG.

Quando è avvenuto il primo attacco, gli sviluppatori Verge hanno rapidamente rilasciato una patch, impedendo all'attaccante di stampare più soldi. Tuttavia, con l'attacco del mese scorso, sembra che la patch sia andata solo fino a un certo punto e che l'attaccante abbia trovato un altro modo per eseguire lo stesso hack, dimostrando quanto possa essere difficile progettare un sistema distribuito che T sia vulnerabile agli attacchi.

Attacchi continui

E secondo Goldman, i problemi per Verge probabilmente non sono ancora finiti.

"Un attacco è stato chiaramente - eforse lo è ancora – in fase di tentativo. Finora, tuttavia, il potenziale aggressore T è riuscito a superare la rete", ha detto Goldman a CoinDesk.

Ma ha continuato:

"Allo stato attuale, due delle tre (a mio Opinioni) fonti fondamentali di vulnerabilità sono state, nella migliore delle ipotesi, mitigate, mentre ONE resta completamente irrisolta."

Sebbene nessun XVG sia stato rubato direttamente agli utenti, i miner della rete T dovrebbero essere in grado di aggirare le regole in questo modo, stampando di fatto denaro per ONE individuo in un breve lasso di tempo.

Pertanto, gli sviluppatori Verge stanno lavorando attivamente per migliorare il codice. Dopo un periodo di scarsa comunicazione da parte degli sviluppatori di Verge, CryptoRekt, l'autore pseudonimo del "blackpaper" di Verge , ha preso su Reddit il 31 maggio, affermando che tutto il team Verge "non avrebbe mai fatto intenzionalmente nulla che potesse infangare o danneggiare questo progetto".

Ha aggiunto che gli sviluppatori del progetto stanno lavorando al nuovo codice da "diverse settimane" per "consolidare la nostra valuta contro eventuali attacchi futuri".

Tuttavia, Goldman ritiene che ci sia un altro problema. A differenza di molti dei progetti Criptovaluta in circolazione oggi, che si basano su codice open source, la base di codice di Verge viene costruita in privato e quindi non verrà sottoposta a revisione paritaria dalla comunità di esperti di blockchain che potrebbero aiutare il team a trovare vulnerabilità.

"Dato che l'incorporazione di codice senza un controllo responsabile è stata la causa di tutto questo, questo dovrebbe innervosire la comunità dei vergefam", ha twittato.

Quale sarà il futuro di Verge?

Ma finora, gran parte della comunità Verge continua a supportare il team di sviluppatori e la missione della criptovaluta.

Pseudonimoutente di Verge Cripto Dogè arrivato al punto di affermare che "non c'è bisogno di farsi prendere dal panico", sostenendo che il successo di Verge continuerà a prescindere da tutto. ECryptoRekt ha scelto per vederla come un'esperienza di apprendimento, ONE aiuterebbe a "costruire un progetto più grande e migliore".

Tuttavia, questo attacco non LOOKS un granché, non solo per Verge in sé, ma anche per le organizzazioni che hanno stretto una partnership con il team Verge , Pornhub inclusa. Soprattutto perché il vicepresidente di Pornhub Corey Price ha affermato Verge è stato scelto come metodo di pagamento per il sito in un "processo di selezione molto ponderato" per preservare la Privacy finanziaria dei propri clienti.

Per questo motivo, alcuni sviluppatori ritengono che questo episodio accrescerà il senso di responsabilità in molte organizzazioni, spingendole ad analizzare più efficacemente una blockchain prima di adottarla.

"T sarei sorpreso da un controllo più approfondito nel NEAR futuro, che porterebbe sia a più attacchi sia a una valutazione più accurata da parte degli investitori della proposta di valore dei progetti altcoin più piccoli", ha affermato l'ingegnere di BitGo Mark Erhardt, aggiungendo:

"L'assenza di un attacco non è una prova che un sistema sia sicuro. Parecchi progetti altcoin sembrano prendere scorciatoie non sicure. È solo che nessuno si è ancora preoccupato di sfruttare queste falle o debolezze sistemiche."

Verge potrebbe quindi essere il primo di una lunga serie di exploit futuri.

Mentre gli attacchi del 51 percento sono stati in genere considerati difficili da eseguire, Gervais di Liquidity Network ha sostenuto che i nuovi dati sembrano dimostrare che è più facile di quanto molti pensassero in precedenza. Ha indicato una nuova app Web,51cripto, che monitora la redditività di un attacco del 51 percento su varie blockchain.

Il succo delle statistiche è che più piccola è la blockchain, più è facile superarla e violarne le regole, motivo per cui gli sviluppatori devono prestare particolare attenzione al modo in cui progettano i loro sistemi.

Perché "se un attacco ha più senso dal punto di vista economico rispetto a un comportamento onesto, gli aggressori saranno lì", ha concluso Gervais.

Immagine Vergetramite Shutterstock