Зустрічайте FumbleChain, навмисно помилковий блокчейн

FumbleChain робить розрив блокчейнів спортом.

Вперше продемонстровано минулого четверга на Інформаційна подія Black Hat, навмисно недосконала Технології покликана служити освітнім інструментом для розробників Крипто .

«По суті, це те, що люди називають CTF, або «захоплення прапора», — пояснив Нільс Амієт, старший інженер безпеки компанії Кудельського і ONE із розробників проекту. «Щоразу, коли ви вирішуєте завдання, саме тоді ви отримуєте прапор... Завдання досить технічні».

За допомогою цих підібраних і гейміфікованих викликів мета полягає в тому, щоб навчити користувачів про складнощі Технології блокчейн.

За словами Дена Гуідо, співзасновника та генерального директора компанії з кібербезпеки Trail of Bits, яка провела аудит понад 20 різних Криптовалюта проектів, FumbleChain схожий на військові ігри використовується в традиційній розробці програмного забезпечення.

«Змагання та навчальні вправи використовуються в усій індустрії безпеки, іноді в живих змаганнях за участю 30 000 або більше гравців ONE , щоб допомогти навчати та продемонструвати знання, які учасники отримали», — сказав Гуідо, додавши:

«Блокчейн-безпеці давно пора мати власну військову гру».

Користувачі збирають ігрові бали, які називаються «фумблкойнами», щоразу, коли вони використовують вразливість у блокчейні FumbleChain і захоплюють ONE прапор. (Монети мають цінність лише в самій грі.) Амієт Кудельскі каже, що CORE Технології FumbleChain «дуже LOOKS на Bitcoin», тільки простіша.

Деріл Хок, головний операційний директор компанії з кібербезпеки блокчейнів CertiK, сказав, що FumbleChain розроблено, щоб зробити блокчейн «доступним» для інженерів із різним професійним становищем.

«[FumbleChain] пропонує гейміфіковану модель бойових ігор, яка може зацікавити широку аудиторію своєю доступністю та стимулами», — сказав Хок. «Наразі проект зосереджений на атаках на рівні вихідного коду, на відміну від економічно орієнтованих атак, але це може бути щось, що буде додано в майбутньому».

Справді, керівник відділу досліджень кібербезпеки Кудельскі Натан Гаміел сподівається, що FumbleChain заживе власним життям тепер, коли код відкрито. на GitHub.

«Дуже багато таких проектів мають тенденцію зникати, коли люди переходять до інших речей», — сказав Гаміель. «Я вважаю, що єдиний спосіб мати такий успішний проект — мати його з відкритим вихідним кодом. … Ми сподіваємося, що люди продовжуватимуть не лише використовувати, але й розвивати нові виклики та справді приєднатися до проекту та стати його частиною».

Уроки бою

FumbleChain з’явився на світ після того, як Кудельскі провів низку перевірок безпеки Криптовалюта проектів, включаючи монети Політика конфіденційності Monero і Zcash, сказав Гаміель.

Перше завдання на FumbleChain імітує те, що називається повторною атакою, коли повторювані транзакції генеруються в двох окремих ланцюгах. Цей вектор атаки викликав занепокоєння ще в 2017 році під час розриву ланцюга між Bitcoin та Bitcoin Cash.

Інші вектори атак блокчейну, виявлені на FumbleChain, включають перевірку введених транзакцій, невідповідність відкритого ключа та адреси гаманця, а також атаки на відмову в обслуговуванні або «спам».

Говорячи про ці вразливості мережі, Гаміель сказав:

"Екосистема блокчейну має багато тих самих уразливостей, що й традиційна екосистема [програмного забезпечення]. Якщо ви думаєте про це на низькому рівні, блокчейн не дуже корисний без екосистеми навколо нього... бірж, гаманців ETC".

Таким чином, FumbleChain також пропонує веб-гаманець на основі веб-переглядача та блокчейн-провідник, з якими можна возитися.

Подальше розширення FumbleChain, щоб включити як виклики смарт-контрактів, так і уроки з них Політика конфіденційності блокчейну наступні кроки, які Гаміель і Амієт сподіваються побачити в найближчі місяці.

Принаймні, каже Марк Лаліберте, старший аналітик безпеки WatchGuard Technologies, FumbleChain може вплинути на існуючі блокчейн-додатки, створивши можливості для «практичного» навчання.

Лаліберте сказав:

"Досвід виявлення та використання поширених уразливостей — чудовий спосіб Навчання самостійно не допускати тих самих помилок. FumbleChain надає можливість розробникам і ентузіастам Навчання про поширені недоліки та пограти в безпечній екосистемі, а потім повернути ці знання у власні програми".

Зображення FumbleChain через Kudelski Security