Probleme de securitate pentru contractele inteligente
90% din proiectele Blockchain vor necesita revizuire
Piața platformelor blockchain este uriașă și constă în principal din oferte fragmentate, ale căror creatori doresc să se diferențieze de concurență. Unii se concentrează pe confidențialitate, alții pe tokenizare și alții pe computerul universal.
Blockchain este o tehnologie de bază, nu o aplicație completă care are o interfață cu utilizatorul, logică de afaceri, persistență a datelor și mecanisme de interacțiune.
Cu toate acestea, există unele obstacole în calea dezvoltării blockchain-urilor: în prezent nu există un cadru de reglementare coordonat și cuprinzător în jurul blockchain-urilor, ceea ce întârzie adoptarea lor de către o serie de companii și instituții. În plus, tehnologia încă nu a fost testată la scară largă. Acest lucru se datorează faptului că aceasta nu îndeplinește standardele de securitate relevante și, de asemenea, nu au o arhitectură compatibilă cu majoritatea instrumentelor moderne de gestionare a rețelei.
Teoria clasică a ciclului de viață sugerează că evoluția oricărei industrii sau produse poate fi împărțită în patru etape: pionierat, creștere, maturitate și declin. Conform McKensey, Blockchain-ul este o tehnologie infantilă care este relativ instabilă, costisitoare și complexă. De asemenea, este nereglementată și selectiv nu inspiră încredere.
Orice rețea Blockchain depinde în mare măsură de cantitatea de utilizatori activi din cadrul acesteia. Pentru a funcționa la maximum, o rețea trebuie să fie una robustă, cu o rețea larg distribuită de noduri.
Mai mult, nu există nicio rețea Blockchain care să poată susține aceeași cantitate de tranzacții ca și emitenții majori de carduri, cum ar fi Visa sau MasterCard. Începând cu 2017, Blockchain mai are de parcurs un drum foarte lung înainte de a fi capabil să înlocuiască giganții lumii financiare.
În cele din urmă, există întotdeauna posibilitatea teoretică de a captura pe scară largă orice rețea Blockchain dată. Dacă o singură organizație va reuși cumva să câștige controlul asupra majorității nodurilor rețelei, aceasta nu va mai fi descentralizată în sensul complet al cuvântului.
După apariția noilor criptomonede, interesul altor industrii în adoptarea utilizării blockchain-ului a făcut această tehnologie mai complexă, crescând marja de eroare din cauza cererii pentru o dezvoltare mai complexă. Articolul MIT Technology Review exemplifică acest fenomen citând cazul Zcash, o criptomonedă care folosește un proces matematic complex pentru a permite utilizatorilor să efectueze tranzacții în privat și care a dezvăluit public că trebuie să repare un defect criptografic în protocolul care, fiind exploatat de un atacator, ar fi putut permite să creeze Zcash fals nelimitat.
Autorii Trends 2019 de la ESET au exprimat opinia că atacurile care vizează furtul de criptomonede vor fi la ordinea de zi. În 2018 au existat mai multe cazuri de atacuri de altă natură care au folosit malware pentru a obține criptomonede prin exploatare ilegală. Exemple în acest sens sunt cazul Kodi și manipularea de către infractorii cibernetici pentru a distribui malware-ul de criptare minieră. Cu toate acestea, ceva mai grav și care a avut loc în primele zile ale lunii ianuarie 2019 a fost atacul de 51% îndreptat către Ethereum Classic în care infractorii cibernetici au reușit să fure un milion de dolari.
Ce este atacul de 51%?
Comparativ cu sistemele tradiționale de tranzacții financiare precum Visa și PayPal, tranzacțiile curente blockchain sunt lente. În timp ce Visa, de exemplu, poate gestiona peste 1.660 de tranzacții pe secundă, bitcoin poate gestiona doar șapte tranzacții pe secundă.
Ce este atacul de 51%? Este o amenințare la care orice criptomonedă este susceptibilă de a fi victimă, deoarece majoritatea se bazează pe blockchain-uri care folosesc protocoale de dovadă muncii pentru a verifica tranzacțiile.
Procesul de probă a muncii este următorul:
-
-
- Pentru a adăuga un bloc în blockchain, minerii trebuie să rezolve puzzle-uri criptografice (o problemă matematică) pentru a crea sau a mina un bloc.
- Pentru a rezolva puzzle-urile criptografice este nevoie de multă putere de calcul și astfel necesită o cantitate enormă de energie.
- După ce un miner rezolvă puzzle-ul sau a creat blocul, acesta prezintă blocul în rețea, astfel încât acesta să fie verificat.
- Când blocul este verificat, acesta este adăugat la blockchain și minerii obțin recompensele blocului.
-
În procesul de verificare (cunoscut sub numele de minerit) diferite noduri dintr-o rețea consumă cantități mari de putere de procesare pentru a dovedi că sunt suficient de fiabile pentru a adăuga informații despre o nouă tranzacție la baza de date. În acest sens, „un miner care obține cumva controlul asupra majorității puterii miniere a unei rețele poate înșela alți utilizatori trimițându-le plăți și apoi să creeze o versiune alternativă a blockchain-ului, numită FORK, în care plata nu a avut loc niciodată” explică articolul Technology Review. Prin urmare, un atacator care controlează cel mai mare procent de putere de procesare poate face din FORK versiunea cea mai autoritară a lanțului și poate continua să cheltuiască din nou aceeași criptomonedă.
Efectuarea unui atac de 51% împotriva celor mai populare criptomonede poate fi prea costisitoare datorită puterii de calcul pe care o necesită și a costului de realizare a acestuia, ceea ce a condus în 2018 la atacuri de acest tip care vizează criptomonedele mai puțin cunoscute care necesită mai puțină putere de calcul, reușind să delapideze până la 120 de milioane de dolari în total, conform Technology Review.
Cea mai recentă actualizare (hardfork) pe care Monero a introdus-o în rețeaua sa, la începutul lunii martie 2019, include un algoritm împotriva minerilor ASIC. Acest fapt a fost condiționat de faptul că 85% din revendicările raportate din rețeaua Monero erau dominate de minerii ASIC.
Probleme de securitate pentru contractele inteligente
Contractele inteligente sunt considerate a fi cel mai puternic catalizator pentru dezvoltarea blockchain-ului ca tehnologie. Acestea adaugă comportament dinamic tranzacțiilor. Conceptual, contractele inteligente pot fi considerate ca proceduri de păstrare asociate cu înregistrări de tranzacții specifice. Dar, spre deosebire de o astfel de procedură într-un sistem centralizat, contractele inteligente sunt executate de toate nodurile dintr-o rețea peer-to-peer, ceea ce duce la probleme de scalabilitate și de gestionare care nu au fost încă complet rezolvate.
Potrivit articolului MIT, o altă utilizare care poate fi dată contractelor inteligente este crearea unui mecanism de vot prin care toți investitorii dintr-un fond de capital de risc pot decide cum să distribuie banii.
Un fond cu aceste caracteristici (numit Organizație Autonomă Descentralizată), creat în 2016 sub denumirea de The Dao și folosea sistemul blockchain Ethereum, a fost victima unui atac computerizat în care infractorii cibernetici au sustras peste 60 de milioane de dolari în criptomonede, prin exploatarea unui defect al unui contract inteligent administrat de această organizație.
Acest atac a arătat clar că o eroare într-un contract inteligent activ poate avea consecințe critice, deoarece bazarea pe blockchain nu poate fi reparată cu un patch. În acest sens, contractele inteligente pot fi actualizate, dar nu pot fi rescrise. De exemplu, pot fi create noi contracte care interacționează cu alte contracte sau pot fi create switch-uri centralizate într-o rețea pentru a opri activitatea odată ce atacul este detectat, deși poate fi târziu, se arată în articol.
Singura modalitate de a recupera banii este să mergi la punctul de pre-atac de pe blockchain, să forțezi un blockchain nou și să faci ca întreaga rețea să fie de acord să folosească acel blockchain în locul celuilalt. Aceasta a fost ceea ce dezvoltatorii Ethereum au decis să facă în cazul atacului ianuarie 2019. Și în timp ce majoritatea comunității au fost de acord să treacă la noul lanț pe care îl cunoaștem astăzi ca Ethereum, un grup mic nu a vrut și a rămas pe lanțul original care a fost redenumit Ethereum Classic.
90% din proiectele Blockchain vor necesita revizuire
Cercetătorii Gartner prezic că 90% din proiectele blockchain care se dezvoltă până în iunie 2019 vor trebui cel mai probabil să fie refăcute în următoarele 18 luni. Sunt necesare remedieri pentru a menține companiile competitive, sigure și relevante pentru piață.
Guvernul chinez a anunțat recent o strategie de dezvoltare axată pe blockchain. Această decizie afectează atât inițiativele aparatului de stat din întreaga China, cât și cheltuielile diferitelor guverne regionale. În schimb, autoritățile de reglementare americane și europene nu ascund o abordare prudentă a tehnologiei blockchain.
