[Уязвимости] Экспериментальная атака на быстрые биткоин-платежи

Тема в разделе "Разработка", создана пользователем bblizard, 8 мар 2014.

  1. bblizard

    bblizard Космонавт

    Биткоин — это наиболее популярная, независимо эмитируемая электронная децентрализованная валюта, позволяющая проводить анонимные платежи. Её использование ограничивается не только отдельными любителями и игроками чёрного рынка, но и вполне легальным бизнесом. Множество мелких компаний в различных странах экспериментируют с предоставлением различных связанных с ней услуг. Стремясь привлечь клиентов, биткоины принимают к оплате не только онлайн-сервисы, но и торговые автоматы, заведения быстрого питания. Во многих странах с биткоинами работают и банкоматы, стирая грань между реальной наличной валютой и виртуальной ценностью биткоинов.

    Эмиссия данной валюты производится на основе концепции («Proof-of-Work») — доказательства проделанной вычислительной работы по подбору частичных коллизий хэш-значений. Таким образом, эмиссия строится на основе добычи, «майнинга» числовых значений, удовлетворяющих определённым условиям, что гарантирует её независимость, непринадлежность к определённой организации и анонимность. Анонимность сохраняется как в добыче (если пользователь будет отправлять данные о добытых средствах на регистрацию в статистике, не раскрывая IP-адрес своего псевдонима), так и в транзакциях.

    Однако, во всех протоколах перевода денег, связанных с сохранением анонимности пользователя, возникает проблема мошенничества на основе оплаты одной виртуальной монетой нескольких сервисов одновременно. В разных случаях эта проблема решается по разному. В некоторых протоколах других электронных денежных систем анонимность депонируется и может быть раскрыта при попытках нарушения протокола, однако тогда пользователя необходимо принуждать к регистрации на определённых условиях, что может сделать только банк. Где-то существуют способы проверки для получателя денег.

    Разумеется, определённое решение было придумано и в системе Биткоин. Пользователи подписывают все свои транзакции, а за их целостностью следит специальный сервис, который также осуществляет простановку времени в цепочках операций («timestamping»), делая такую статистику доступной всем пользователям сети. Но в случае т.н. быстрых платежей, когда после оплаты проходит менее 30 секунд, в течении которых пользователь может получить услугу и забрать, например, наличные из банкомата, проверить факт двойной оплаты невозможно. До недавнего времени официальная позиция разработчика сети Биткоин состояла в том, что при оплате мелких услуг следует игнорировать такую опасность — считалось, что стоимость атаки такого рода намного превзойдёт возможную прибыль. Хотя не было дано оценок параметров таких атак и было неясно насколько они реализуемы.

    Исследователи Ghassan O. Karame (Европейская лаборатория NEC), El li Androulaki и Srdjan Capkun (Швейцарская высшая техническая школа Цюриха) впервые вывели точные оценки условий атаки двойного размещения на быстрые платежи и провели экспериментальные атаки. Они использовали только свои собственные кошельки в системе, чтобы не наносить финансового ущерба пользователям, не вовлечённым в исследование. Как оказалось, для предотвращения атаки в текущем протоколе Биткоин период ожидания заверенной транзакции был чрезвычайно большим (до нескольких десятков минут), что недопустимо для быстрых платежей и такие платежи практически не имеют защиты от двойной оплаты. При этом, как оказалось, атака не стоит противнику практически никаких вычислительных затрат и сводится лишь к попыткам перебора соединений.

    Авторами исследования были предложены простые модификации в работе Биткоин-сети, которые не требуют существенного изменения протокола и программного обеспечения: внесение специальных задержек в установлении соединений до 10 секунд, что уменьшает количество попыток перебора; включение в сеть обозревающих узлов; распространение в сети сообщений о попытках перебора с целью двойной оплаты, что позволит быстро заблокировать попытки такого рода.

    Источник: http://coinspot.ru/news/eksperimentalnaya-ataka-na-bystrye-bitkoin-platezhi/
     
  2. bblizard

    bblizard Космонавт

    Одним словом дайте сервисы без подтверждений и небольшую сумму битков)
    Интересно!