Хакеры продолжают “тестировать на прочность” криптовалюты. Сегодня утром, 4 декабря, началась атака 51% на сеть Vertcoin (VTC). На данный момент атакующим удалось совершить не менее 15 эпизодов двойной траты VTC на сумму не менее $100 000. В общей сложности произошло 22 инцидента реорганизации цепи, один из которых состоял в переписывании более 300 последних блоков.
Разработчики Vertcoin позиционировали проект, как достойную альтернативу Bitcoin и Litecoin, в которой возможность использования ASIC-майнеров будет полностью исключена, а сама сеть будет по-настоящему децентрализованной. Суть в том, что VTC легко добывается с обычного ПК с помощью видеокарт.
Атака 51% подразумевает сосредоточение более половины мощностей майнинга в руках атакующего. В роли атакующих может выступать как один майнер с крупным сосредоточением вычислительной мощности, так и группа — пул. В результате атаки злоумышленники получают частичный контроль над блокчейном и могут создавать блоки по своему усмотрению (в зависимости от степени превосходства в хэшрейте над остальными майнерами), лишить других майнеров возможности подтверждать собственные транзакции, а также проводить повторные транзакции с одними и теми же своими монетами. При этом атакующие не могут получить доступа к чужим кошелькам и проводить любые действия с чужими монетами.
Вот пример блока, в котором произошла первоначальная трата около 1 300 VTC и который в ходе реорганизации был исключён из главной цепи и заменён. Те же самые монеты были потрачены ещё раз в другом блоке.
Повторное списание средств (double spending) считается наиболее опасной для блокчейна, поскольку подрывает доверие к децентрализации системы. Владея более чем 50% мощности, атакующий может создать скрытый альтернативный блокчейн и использовать его для подтверждения собственных транзакций с последующей "заменой" блоков других майнеров и аннулирования всех содержащихся в них транзакций.
Двойное списание средств возможно и при меньшем контроле мощностей, но именно сосредоточение 51% и более предоставляет гарантию в долгосрочной перспективе, что верной цепью будет признана цепь злоумышленника.
“В PoW блокчейнах действует правило «длиннейшей цепи», то есть цепочка с максимальным количеством блоков всегда считается истинной, - говорит Степан Гершуни, криптоэнтузиаст и евангелист блокчейна. - Таким образом, если намайнить блоки быстрее остальной сети, то появляется возможность переписать историю. Это позволяет атакующему совершить повторно транзакцию и снова продать те же самые монеты. Отсюда и название — double spend.”
Злоумышленник может, например, отправить монеты на биржу, дождаться подтверждения, продать их и вывести, а после этого приложить доминирующий хэшрейт сети с целью создания новой альтернативной цепочки, которая перепишет историю блокчейна таким образом, что в ней не останется факта отправки монет на биржу.
“Это далеко не первый случай успешной атаки на PoW сеть у альткоинов, - говорит Степан Гершуни. - Проблема всех подобных сетей в том, что 100% их майнинговой мощности очень незначительная часть подобного оборудования в мире. Например, в отличие от Биткоина, Vertcoin использует так называемый ASIC-resistant алгоритм, который не позволяет использовать специализированное оборудование для майнинга. Любая сеть, которая не является самой мощной на конкретном алгоритме майнинга (SHA256, Ethash, Blake2b и т.д.) всегда очень легко подвержена таким типам атак, потому что атакующему крайне легко найти достаточные мощности среди оборудования общего назначения. Для сравнения, в Биткоине для такого же эффекта атакующему пришлось бы очень долго аккумулировать мощности или производить достаточное количество “асиков”, потратив сотни миллионов долларов, прежде чем это станет теоретически возможным. В результате атаки помимо репутации сети VTC главными пострадавшими являются биржи, которым пришлось заплатить из своих денег, поплатившись за недостаточный технический аудит и листинг априори небезопасной монеты”.
Инциденты с атакой 51% были, например, в 2016 году, когда ей подверглись проекты Krypton и Shift. В том же году известный китайский предприниматель Чандлер Го объявил о намерении осуществить атаку 51% на проект Ethereum Classic при поддержке других майнеров. Несмотря на то, что в 2017 году не было зафиксировано ни одной успешной атаки этого типа, только в первой половине 2018 года криптоиндустрия столкнулась сразу с 5 успешными атаками 51%, и сумма прямого финансового ущерба составила от 0.55 до 18 миллионов долларов. Затем с середины ноября 2018 было несколько отдельных эпизодов, которые продолжают происходить и сейчас.
В первой половине 2018 года от атаки 51% пострадали сеть криптовалюты Verge (4 апреля), при которой примерно за три часа атакующий смог присвоить криптовалюту на сумму более $1 млн. Затем в мае 2018 были захвачены по меньшей мере 51% хешрейта сети Bitcoin Gold, когда злоумышленник смог украсть около $18 млн, а также майнинговый пул SuprNova сообщил, что блокчейн криптовалюты Verge подвергся атаке 51%, и все корректные блоки отвергаются. Затем было еще две успешных атаки в июне на сеть ZenCash, в результате которой неизвестные злоумышленники похитили более $550 000 в эквиваленте криптовалюты ZEN, и на сеть Litecoin Cash (LCC), которая является форком более известной криптовалюты Litecoin (LTC).
В субботу, 13 ноября, была проведена успешная атака 51%, когда хакер под псевдонимом geecold51 решил показать, насколько это легко. Весь процесс он транслировал в прямом эфире, демонстрируя атаку на криптовалюту Bitcoin Private. По оценкам Geocold51, он потратил $100, чтобы добраться до той точки, где он мог бы продемонстрировать двойную трату Bitcoin Private, но был остановлен. Однако geocold51 отметил, что для получения прибыли от атаки такого типа ему бы пришлось потратить в два раза больше – около $200, для того, чтобы купить на бирже биткоин за Bitcoin Private, а затем осуществить еще одну транзакцию на более длинной цепочке, которая аннулирует первую транзакцию, возвращая ему Bitcoin Private и оставляя биржу в минусе.
Примечательно, что тогда же geecold51 объявил, что может осуществить атаку и на Vertcoin, если ему отправят $300−500 в качестве пожертвования.
Атака 51% на альткоины остается относительно экономичной в связи с ростом популярности облачных вычислений, а возможность арендовать мощность хэширования, например, на майнинговом сервиcе Nicehash, кардинально меняют характер атак 51%.