تحريفات الوقت ، ونقاط الضعف في التعدين ، وهجمات DOS ، والمزيد.
التعدين على وشك الحدوث: عندما يتم المبالغة في استخدام 5 خوارزميات
تقليديًا ، في العملات المشفرة القائمة على بروتوكول إثبات العمل ، يتم تعدين الكتل باستخدام خوارزمية واحدة ، غالبًا SHA-256. في Verge ، كان من الممكن استخدام 5 خوارزميات مختلفة (للفضوليين - Scrypt و X17 و Lyra2rev2 و myr-groestl و blake2s.). يتم وصف سبب استخدام خوارزميات متعددة أدناه.
يجادل بعض نقاد البيتكوين بهذا الأمر بمرور الوقت التعدين بيتكوين أصبحت متخصصة ومركزية للغاية ، ويتم معظم التعدين على ASIC (اختصار للدائرة المتكاملة الخاصة بالتطبيق) - وهي أجهزة مصممة حصريًا لتعدين العملات ، ويتم معظم تعدين البيتكوين في مجمعات تعدين متعددة بواسطة مجموعات من عمال المناجم الذين يجمعون الموارد ومشاركة ما يكسبونه فيما بينهم. هذه الميول نحو أنواع مختلفة من "المركزية" ، كما يقولون ، تتعارض مع المبدأ الأساسي للعملات المشفرة. يؤدي استخدام عملة مع خوارزميات تعدين متعددة إلى موازنة هذه الاتجاهات. الأساس المنطقي هو أن إدارة خمس خوارزميات مختلفة من حيث الأجهزة والإنتاج وإدارة الموارد ستكون حتمًا أكثر صعوبة من التحكم في خوارزمية واحدة ، مما يسمح لشركة Verge بتحقيق قدر أكبر من اللامركزية وتوزيع التعدين.
الوضع كالتالي: الطريقة الوحيدة لتحقيق التشغيل الصحيح - ويشمل مفهوم "التشغيل الصحيح" في هذه الحالة الحفاظ على فاصل زمني مدته 30 ثانية بين الكتل ، والحفاظ على الجدوى الاقتصادية لجميع الخوارزميات الخمسة لعمال المناجم ومنع هيمنة خوارزمية واحدة (مما يجعل التجربة بأكملها بلا معنى) - لجعلها بحيث يكون لكل خوارزمية معامل صعوبة خاص بها ، والتي سيتم تعديلها بشكل مستقل عن الأربعة الأخرى. بمعنى آخر ، يتم تعديل صعوبة التعدين في خوارزمية Scrypt لمراقبة فاصل زمني مدته 30 ثانية لكل كتلة ، كما هو الحال في X17 وخوارزميات أخرى.
هذا يعني أن المخترق الخاص بنا لم يقلل حقًا من صعوبة التعدين للشبكة بأكملها ؛ قام بتخفيضه فقط لأولئك الذين قاموا بالتعدين بإحدى الخوارزميات الخمسة - Scrypt. وعلى الرغم من أن عمال المناجم في Scrypt يتمتعون بسهولة تعدين يبعث على السخرية ، فبالنسبة لبقية عمال المناجم الذين يعملون على خوارزميات أخرى ، لم ينخفض تعقيد المهام ، مما يعني أن كل قوتهم المشتركة لن تساعد في ضمان أمان الشبكة. هذا يعني أن المهاجم عمل فقط مع خوارزمية Scrypt وكان عليه التنافس مع مستخدمين آخرين فعلوا الشيء نفسه ؛ وبالتالي ، فإن قوة التجزئة المطلوبة لمهاجمنا لم تكن أكثر من 50٪ (الهيمنة على الشبكة بالكامل) ، ولكن فقط أكثر من 10٪ (الهيمنة على مُعدني Scrypt الآخرين).
سنذهب الآن إلى عالم المضاربة ، لكن يبدو أن الوضع كان أسوأ. افترضنا رقمًا بنسبة 10٪ ، بناءً على حقيقة أنه يجب تخصيص نفس القدر تقريبًا من الموارد لكل خوارزمية (هذا هو جوهر آلية تحديد صعوبة التعدين). ومع ذلك ، في الواقع ، لا يتم دائمًا مراعاة بديهيات اقتصاد السوق الحر. يعتقد المجتمع أن العديد من العوامل - على سبيل المثال ، وجود ASICs غير نشطة لـ Scrypt ، وكذلك الموارد المجانية المتاحة للإيجار من خلال Nicehash ، وما إلى ذلك - أدت إلى حقيقة أن هيمنة التعدين على Scrypt أثناء الهجوم كانت أرخص بكثير من أي من الخوارزميات الأربعة الأخرى. من الآمن أن نفترض أن معدل التجزئة المطلوب انتهى به الأمر إلى أقل من 10٪ - وفقًا لبعض التقديرات الأولية الواردة في Reddit ، يمكن أن يكون معدل التجزئة منخفضًا مثل 0,4٪.
للتلخيص: أدى تزوير الطوابع الزمنية إلى تقليل تعقيد التعدين بشكل كبير ؛ يعني استخدام خمس خوارزميات أنه كان من الممكن تقليل التعقيد لواحدة منها فقط ، مما سهل إلى حد كبير التقاط الشبكة بأكملها ؛ جعلت الحالة الاقتصادية والإنتاجية لخوارزمية التعدين هذه عملية الاستيلاء أسهل ؛ وأخيرًا ، نظرًا لتقليل تعقيد التعدين ، تم تقليل وقت تشكيل الكتلة بشكل حاد ، مما جعل الهجوم أكثر ربحية بحوالي 30 مرة.
الدروس المستفادة
ما هو الاستنتاج الذي يمكن استخلاصه من هذا الموقف؟ كانت العواقب قصيرة المدى للاختراق فوضوية وغير مفهومة بشكل متوقع. بعد بضعة أيام ، أصلح المطورون الرئيسيون العديد من الأخطاء بمساعدة الأدوات المساعدة ، حيث يمكن أن تتسلل الأخطاء أيضًا ، وفي النهاية تم تنفيذ هارد فورك على الشبكة ، والذي كان من الممكن أن يحدث في البداية عن طريق الصدفة (أو ليس عن طريق الصدفة) . من حيث رد الفعل العالمي ، في الأسبوع الذي تلا الاختراق ، ارتفع سعر Verge بنسبة 30٪ ، وفي الأسبوع التالي تم الإعلان عن قبول عملة Verge كرسوم اشتراك على موقع pornhub.com. كيف يمكن أن يؤدي اختراق العملة المشفرة الأكبر على مستوى البروتوكول إلى نمو قيمة هذه العملة ، وبعد ذلك ، إلى إبرام شراكة مع أكثر المواقع الإباحية زيارة - سأترك هذا السؤال مفتوحًا. أنا شخصياً أعتقد أنه لا يوجد معنى في العالم ، والناس مجانين تمامًا.
لكني استطرادا. على الصعيد العالمي ، هناك العديد من الدروس التي يمكننا تعلمها من هذا الموقف:
أولاً ، تقنية استخدام الطوابع الزمنية لتقليل التعقيد بشكل مصطنع معروفة بالفعل منذ فترة طويلة ، بل وتمكنت من الحصول على الاسم - ثغرة "التفاف الوقت". قبل عدة سنوات ، تمت مناقشة ناقل الهجوم في منتدى Bitcoin. إلى حد ما ، ساعد استخدام خوارزمية ضبط الصعوبة الأحدث Dark Gravity Well ، والتي يتم فيها ضبط الصعوبة مع كل كتلة جديدة ، في تنفيذ الهجوم على Verge. في Bitcoin ، تتغير الصعوبة فقط كل كتل 2016. على الرغم من حقيقة أن مثل هذا الإعداد لصعوبة ممتدة ومتقطعة قد يبدو قرارًا غريبًا ، فقد أوضح اختراق Verge أنه في الواقع إجراء أمني: إذا كان هناك طريقة ما في Bitcoin لتقليل تعقيد التعدين ، إذن يمكن للمهاجم القيام بذلك مرة واحدة فقط كل أسبوعين ، مما يجعل نتائج الهجوم غير مهمة مقارنة بـ Verge ، حيث يمكن للقراصنة تقليل صعوبة التعدين كل 2 ثانية.
ومن المثير للاهتمام ، أن إحدى المزايا المزعومة لـ Dark Gravity Wave هي أنها يجب أن تكون محصنة ضد ضعف الوقت. بالنظر إلى مدى قوة دحض هذا الافتراض ، يجب على الأقل أن تتوتر العملات الأخرى التي تستخدم هذه الخوارزمية.
أما فيما يتعلق باستخدام الخوارزميات الخمس: فبينما تبدو للوهلة الأولى أنها تجربة جديرة بالاهتمام في بيئة لامركزية محفزة اقتصاديًا ، فإنها تقدم تعقيدات جديدة تزيد حتماً من احتمالية حدوث نقاط ضعف غير متوقعة.
في كلتا الحالتين ، يشكل هذا الاختراق حجة قوية لصالح الآليات التي أثبتت جدواها ، ويدعو إلى توخي الحذر في تعقيد وإدخال مخاطر غير ضرورية مرتبطة بالأصول المالية للأشخاص. في هذه الأمور ، أظهر فريق Bitcoin أنه في أفضل حالاته.
السؤال أوسع إلى حد ما: مطورو البرمجيات ، رغم ترددهم في الاعتراف بذلك ، هم في النهاية مجرد بشر. حتى عندما تبدو مبادئ الأمان الأساسية سليمة تمامًا ، فقد يكون هناك دائمًا مجال للخطأ. هناك هجمات غير متوقعة ، والتنازلات لا تؤتي ثمارها دائمًا ، وبالطبع لم يقم أحد بإلغاء إمكانية وجود أخطاء قديمة جيدة. لا تعمل البرامج دائمًا بالطريقة التي نريدها ، ولن يفاجأ أي شخص في 2018 بأن مثل هذه الأخطاء يمكن أن تؤدي إلى خسارة الأموال. ولكن عندما يكون البرنامج في حد ذاته هو المال ، نحن بحاجة إلى توخي مزيد من الحذر.
نظرًا لأن معظمنا ليس لديه الوقت الكافي لمراجعة رمز كل مشروع نستثمر فيه بدقة ، فإن أفضل دفاع ضد الكوارث هو الوثوق في الأنظمة التي أثبتت جدواها مع خبرة عمل إيجابية ونهج متحفظ للتطوير.
وإذا كنت ترغب في المراهنة على بعض الأموال في المشاريع التجريبية المتعلقة بتحويل الأموال ، فعليك على الأقل أن تكون على دراية بالمخاطر. في نهاية المطاف ، يكون أفضل دفاع هو عندما يطالب المجتمع باتخاذ التدابير المناسبة لمنع الكوارث في المستقبل. قال جورج سانتايانا إذا لم أكن مخطئًا ، "أولئك الذين لا يستطيعون التعلم من نقاط الضعف الأمنية في الماضي محكوم عليهم بتكرارها مرارًا وتكرارًا في المستقبل". يجب أن نتذكر هذه الكلمات حتى لا نكرر أخطاء الماضي مرة أخرى بشكل غير متوقع.