Исследователи выявили уязвимости типа «фейковой доли» в нескольких популярных PoS-криптовалютах

casio

Команда научно-исследовательского подразделения Иллинойсского университета в Урбане-Шампейне опубликовала доклад, в котором описала ряд уязвимостей, обнаруживаемых в криптовалютных системах на базе механизма доказательства доли (англ. – Proof-of-Stake или PoS). Согласно их утверждению, злоумышленник, имеющий очень небольшую долю участия в сети или не обладающий ею вовсе, может успешно препятствовать функционированию таких систем. По мнению авторов, уязвимости угрожают всем PoS-криптовалютам, использующим модель неизрасходованных выходов транзакций (UTXO) биткоина и следующих правилу консенсуса, где основной является длиннейшая цепь.

В отдельную группу они выделили пять криптовалют: Qtum, Particl, Navcoin, HTMLcoin и Emercoin, все из которых были подвержены атакам типа «Я не могу поверить, что это не доля», но уже ликвидировали уязвимость. В их случае злоумышленник, зная об особенностях метода распространения блоков в сети биткоина и даже не имея доли в сети, мог вызывать перегрузку RAM-памяти ноды путём передачи ей фальшивых данных.

Другая атака носит название «расходование доли» и позволяет злоумышленнику эксплуатировать уязвимость в процессе валидации отображаемой доли, которая определяется как общее число выходов транзакций на отдельном кошельке, даже уже израсходованных. Таким образом, отправляя транзакции самому себе организатор атаки увеличивает свою отображаемую долю, а вместе с ней и шансы на нахождение блоков в PoS-системе. «Чтобы осуществить эту атаку, злоумышленнику достаточно иметь небольшую долю. Например, даже при наличии 0,01% доли в системе ему потребуется всего 5 000 транзакций, чтобы добывать блоки с мощностью отображаемой доли в 50%, – пишут авторы. – После накопления достаточно большой отображаемой доли злоумышленник начинает добывать PoS-блоки с определённого момента в прошлом и в результате перегружает диск жертвы неправильными блоками».

Как пояснили исследователи, они решили раскрыть информацию о своих открытиях командам 15 криптовалют, входящих в топ-200 по рыночной капитализации, которые подвергались наибольшему риску атаки. Многие разработчики откликнулись и устранили уязвимости, однако с некоторыми из них связаться не удалось, в частности из-за отсутствия какой-либо активности на GitHub в последнее время. К числу уязвимых криптовалют, помимо вышеуказанных, относились PIVX, Neblio, Peercoin, CloakCoin и другие.

Авторы доклада утверждают, что простота эксплуатации уязвимостей «фейковой доли» делает этот вектор атак реальной угрозой для PoS-криптовалют, разработчики которых вовремя не устранят проблему. «Некоторые идеи, работающие в Proof-of-Work, не переносятся без рисков в Proof-of-Stake. Учитывая высокую степень заимствования кода из Bitcoin Core в PoSv3-криптовалютах, мы считаем, что эта проблема заслуживает даже большего внимания», – заключают исследователи.

Ivan Ivanov

такие уязвимости еще раз подчеркивают, что код криптовалют еще несовершенен и обладает многими ошибками, которые еще предстоит устранить.

casio

Участник @ivan-ivanov написал в Исследователи выявили уязвимости типа «фейковой доли» в нескольких популярных PoS-криптовалютах:

такие уязвимости еще раз подчеркивают, что код криптовалют еще несовершенен и обладает многими ошибками, которые еще предстоит устранить.

Ну там дыр думаю видимо не видимо... просто не все их еще нашли.

garryncha

Это говорит о том, что PoS-механизм еще не созрел для полной замены давно используемого PoW.

casio

Участник @garryncha написал в Исследователи выявили уязвимости типа «фейковой доли» в нескольких популярных PoS-криптовалютах:

Это говорит о том, что PoS-механизм еще не созрел для полной замены давно используемого PoW.

Ну просто его нужно взять и почистить перед применением.

Ivan Ivanov

@casio постепенно будут находить. только хотелось бы, чтобы эти баги не приводили к потерям средств пользователями.

casio

Участник @ivan-ivanov написал в Исследователи выявили уязвимости типа «фейковой доли» в нескольких популярных PoS-криптовалютах:

@casio постепенно будут находить. только хотелось бы, чтобы эти баги не приводили к потерям средств пользователями.

Ну в посе нельзя что то украсть. Просто доля не попадет кому должна попасть.

CryptoMax

А есть ли сейчас сервисы, позволяющие хранить пос-монетки и зарабатывать на этом?

casio

Участник @cryptomax написал в Исследователи выявили уязвимости типа «фейковой доли» в нескольких популярных PoS-криптовалютах:

А есть ли сейчас сервисы, позволяющие хранить пос-монетки и зарабатывать на этом?

Был один сервис, но он накрылся медным тазом вместе с деньгами инвесторов.

Ivan Ivanov

@casio это тоже можно считать потерей, так сказать, недополученная прибыль. теряется смысл держания средств.

casio

Участник @ivan-ivanov написал в Исследователи выявили уязвимости типа «фейковой доли» в нескольких популярных PoS-криптовалютах:

@casio это тоже можно считать потерей, так сказать, недополученная прибыль. теряется смысл держания средств.

ну так такое повсеместно происходит. Вон в юни админ включил свою тарахтелку, и конечно с его миллионами монет он все время получал выручку по посу.

Ivan Ivanov

@casio так люди же держат деньги и вроде бы особых жалоб на потери не было.

casio

Участник @ivan-ivanov написал в Исследователи выявили уязвимости типа «фейковой доли» в нескольких популярных PoS-криптовалютах:

@casio так люди же держат деньги и вроде бы особых жалоб на потери не было.

ну монеты тут не пропадут ... просто вы свой бонус тут не получите ....

Ivan Ivanov

@casio я имел в виду потери в виде недополученной прибыли. или просто мало кто знает, как именно идет начисление?

casio

Участник @ivan-ivanov написал в Исследователи выявили уязвимости типа «фейковой доли» в нескольких популярных PoS-криптовалютах:

@casio я имел в виду потери в виде недополученной прибыли. или просто мало кто знает, как именно идет начисление?

ну так в каждой монете свой принцип для этого. А какой из них девы как то не пишут в описание.

Ivan Ivanov

@casio описание должно быть, иначе как проверить правильность начислений? это если бы в банке от вас скрывали проценты по депозиту.

casio

Участник @ivan-ivanov написал в Исследователи выявили уязвимости типа «фейковой доли» в нескольких популярных PoS-криптовалютах:

@casio описание должно быть, иначе как проверить правильность начислений? это если бы в банке от вас скрывали проценты по депозиту.

Ну так как правило все зависит от вашего веса в сети. и общего веса сети. И то и то проверить невозможно .

Ivan Ivanov

@casio можно выдавать какую-то информацию в режиме реального времени, программку такую нетрудно сделать.

casio

Участник @ivan-ivanov написал в Исследователи выявили уязвимости типа «фейковой доли» в нескольких популярных PoS-криптовалютах:

@casio можно выдавать какую-то информацию в режиме реального времени, программку такую нетрудно сделать.

ну сеть выдает какую информацию .. но изначально может не верной быть.

Ivan Ivanov

@casio почему неверной, если данные берутся своевременно?