Встречайте FumbleChain — намеренно ошибочный блокчейн

FumbleChain превращает взлом блокчейнов в спорт.

Впервые продемонстрировано в прошлый четверг наМероприятие Black Hat по информационной безопасности, намеренно ошибочная Технологии призвана служить образовательным инструментом для разработчиков Криптo .

«По сути, это то, что люди называют CTF, или «захват флага», — объяснил Нильс Амье, старший инженер по безопасности вКудельски и ONE из разработчиков проекта. «Всякий раз, когда вы решаете задачу, вы получаете флаг. … Задачи довольно технические».

Целью этих тщательно подобранных и игровых заданий является обучение пользователей сложностям Технологии блокчейн.

По словам Дэна Гвидо, соучредителя и генерального директора компании по кибербезопасности Trail of Bits, которая провела аудит более 20 различных Криптовалюта проектов, FumbleChain похож на военные игрыиспользуется в традиционной разработке программного обеспечения.

«Соревнования и тренировочные упражнения используются во всей отрасли безопасности, иногда в реальных соревнованиях ONE принимают участие 30 000 и более игроков, чтобы помочь обучиться и продемонстрировать знания, полученные участниками», — сказал Гвидо, добавив:

«Давно пора было бы провести собственную военную игру по безопасности блокчейна».

Пользователи собирают игровые очки, называемые «фамблкоинами», каждый раз, когда они используют уязвимость в блокчейне FumbleChain и захватывают ONE флаг. (Монеты имеют ценность только в самой игре.) Амиет из Кудельски говорит, что CORE Технологии FumbleChain «очень LOOKS на Bitcoin», только проще.

Дэрил Хок, главный операционный директор компании CertiK, занимающейся кибербезопасностью в сфере блокчейна, заявил, что FumbleChain призван сделать блокчейн «доступным» для инженеров с самым разным опытом.

«[FumbleChain] предоставляет игровую модель военных игр, которая может заинтересовать широкую аудиторию своей доступностью и стимулами», — сказал Хок. «В настоящее время проект фокусируется на атаках на уровне исходного кода, а не на экономически ориентированных атаках, но это может быть чем-то, что будет добавлено в будущем».

Действительно, руководитель исследований кибербезопасности компании Kudelski Натан Хамиел надеется, что FumbleChain обретет собственную жизнь теперь, когда его код стал открытым.на GitHub.

«Многие подобные проекты имеют тенденцию затухать, когда люди переключаются на другие вещи», — сказал Хамиел. «Я считаю, что единственный способ добиться успеха такого проекта — сделать его открытым исходным кодом. … Мы надеемся, что люди продолжат не только использовать, но и разрабатывать новые задачи и действительно присоединяться и становиться частью проекта».

Уроки битвы

FumbleChain появился после того, как Кудельски провел ряд аудитов безопасности для Криптовалюта проектов, включая Политика конфиденциальности монеты. Monero и Zcash, сказал Хамиэль.

Первая задача на FumbleChain имитирует то, что называется атакой повторного воспроизведения, когда дублирующие транзакции генерируются на двух отдельных цепях. Этот вектор атаки был опасен еще в 2017 году во время разделения цепи между Bitcoin и Bitcoin Cash.

Другие векторы атак на блокчейн, выявленные на FumbleChain, включают проверку входных данных транзакций, несоответствие открытого ключа и адреса кошелька, а также атаки типа «отказ в обслуживании» или «спам».

Говоря об этих уязвимостях сети, Хамиел сказал:

«Экосистема блокчейна имеет много тех же уязвимостей, что и традиционная [программная] экосистема. Если вы подумаете об этом на низком уровне, блокчейн не очень полезен без экосистемы вокруг него… бирж, кошельков и ETC.».

Таким образом, FumbleChain также предлагает веб-кошелек на основе браузера и обозреватель блокчейнов, с которыми можно поэкспериментировать.

Дальнейшее расширение FumbleChain для включения как задач по смарт-контрактам, так и уроков поПолитика конфиденциальности блокчейнаследующие шаги, которые Хамиель и Амиет надеются увидеть в ближайшие месяцы.

По словам Марка Лалиберте, старшего аналитика по безопасности в WatchGuard Technologies, FumbleChain может как минимум оказать влияние на существующие приложения блокчейна, создав возможности для «практического» обучения.

Лалиберте сказал:

«Опыт выявления и эксплуатации распространенных уязвимостей — отличный способ Словарь не совершать тех же ошибок самостоятельно. FumbleChain предоставляет разработчикам и энтузиастам возможность Словарь о распространенных недостатках и поэкспериментировать в безопасной экосистеме, а затем применить эти знания в своих собственных приложениях».

Изображение FumbleChain предоставлено Kudelski Security