Блокчейн: местами необходим, но нигде не достаточен

Блокчейн зачастую считают «волшебной палочкой», применение которой автоматически решит целый спектр проблем, в том числе, и с безопасностью создаваемых систем. Однако, это не так.

Свежий пример – успешная хакерская атака на сервис IOTA, в результате которой добычей злоумышленников стали 4 млн.  долл. Напомним, что IOTA, построенный на основе распределенного реестра Tangle, является системой микроплатежей, и ориентированной на использование решениями «интернета вещей». Это позволяет, в частности, легко и просто сда­вать в арен­ду практи­че­ски все smart-устрой­ства – от дронов и IP-камер до компьютеров до бытовых приборов – и получать оплату быстро и без комиссий.

IOTA подчеркивала высочайшую надежность своего реестра, но его никто и не «ломал»! А вот кошельки пострадали. Дело в том, что, создавая IOTA-кошелек, пользователь должен был ввести секретную фразу из 81 символа. Для генерации таких фраз некоторые обращались к стороннему сайту iotaseed.io, который якобы был способен генерировать случайные фразы, удовлетворявшую требованиям IOTA. На самом деле фразы, выдаваемые ресурсом, секретными не являлись, а были известны хакерам.

Это наиболее свежий, но не единственный аналогичный пример атаки на криптовалютные решения, но весьма показательный. На примере криптовалют, первого и наиболее известного проекта на блокчейне, хорошо видны проблемы с кибербезопасностью решений, использующих блокчейн (то есть распределенный публичный реестр). Несмотря на высочайшую надежность всего решения, каждая седьмая (!) монета наиболее распространенных криптовалют – биткойна и эфира – уже украдена хакерами! По данным аналитической компании Autonomous Research, уже 12% от общего объема намайненных монет этих двух систем нелегально сменили владельцев, что обошлось рынку в 11,3 млрд.долл. Разумеется, сумма указана на данный момент и колеблется вместе с курсом упомянутых криптовалют-лидеров.

Подчеркнем, что криптовалюты не взломаны! Но это не мешает хакерам и мошенникам других форматов, которые успешно крадут монеты украдены в результате атак на криптобиржи, криптокошельки отдельных пользователей и прочие «смежные» элементы. Очевидно, что по мере роста курса, эти элементы становятся все более лакомой целью для хакеров.

Разумеется, хакеры будут производить и традиционные атаки на игроков индустрии, принципы которых вообще не имеют отношение к распределенным реестрам. Например, прибыль от атаки на частного пользователя можно получить, даже не ломая криптокошелек – достаточно вирусу-шифровальщику «закрыть» винчестер компьютера, на котором кошелек хранится, майнинг-фермы также подвержены целевым атакам, как и любые другие индустриальные системы, и т.д. Блокчейн от этого, разумеется, не спасает, но для нас сейчас важно другое.

Блокчейн как технология обеспечивает высочайший уровень прозрачности и очень высокий уровень защиты данных в реестре, построенном на соответствующих принципах. Но, как показывает практика, этого совершенно недостаточно, чтобы исключить преступления, связанные с незаконной сменой собственника монет (следовательно, и других объектов, прописанных в блокчейн-системе, например, объектов недвижимости, авторского права и т.д.). Следовательно, для обеспечения защиты требуется комплексный подход, обеспечивающий кибербезопасность как основной системы, использующей блокчейн, так и взаимодействующих с ней решений. Также необходимы криптополицейские, преследующие и нейтрализующие хакеров, что бы там не говорили криптоанархисты.

Более того, следует помнить о том, что применение блокчейна автоматически не делает защищенным сам реестр! Защищенность блокчейн-базы зависит от количества и активности пользователей этой системы, если сотни тысяч майнеров и владельцев криптокошельков обеспечивают практическую неуязвимость блокчейна, то для локальных систем (например, для районного кадастра) может и не набраться «критической массы» юзеров, что увеличивает вероятность взлома блокчейн-базы.

Как видно, хотя блокчейн является хорошо проработанной, удобной и простой в применении технологией – а также распространенной и весьма модной – он не является «волшебной палочкой». Более того, области его применения довольно узки, но об этом мы поговорим в следующий раз.

Ключевые слова: информационная безопасность, блокчейн