समय युद्ध, खनन कमजोरियां, डॉस हमला और बहुत कुछ।
कगार में खनन: जब 5 एल्गोरिदम बहुत अधिक हैं
परंपरागत रूप से, प्रूफ-ऑफ-वर्क प्रोटोकॉल के आधार पर क्रिप्टोकरेंसी में, ब्लॉकों का खनन एकल एल्गोरिथम का उपयोग करके किया जाता है, जो अक्सर SHA-256 होता है। Verge में, 5 अलग-अलग एल्गोरिदम का उपयोग करना संभव था (जिज्ञासु के लिए - Scrypt, X17, Lyra2rev2, myr-groestl और blake2s।)। एकाधिक एल्गोरिदम का उपयोग करने का कारण नीचे वर्णित है।
बिटकॉइन के कुछ आलोचकों का तर्क है कि समय के साथ बिटकॉइन माइनिंग बहुत विशिष्ट और केंद्रीकृत हो गया है, अधिकांश खनन ASICs ("एप्लिकेशन-विशिष्ट एकीकृत सर्किट के लिए छोटा", विशेष उद्देश्यों के लिए एकीकृत सर्किट) पर किया जाता है - विशेष रूप से मुद्रा खनन के लिए बनाए गए उपकरण, और अधिकांश बिटकॉइन खनन कई में किया जाता है खनिकों के समूहों द्वारा खनन पूल जो अपने संसाधनों को जमा करते हैं और जो वे आपस में कमाते हैं उसे साझा करते हैं। वे कहते हैं कि विभिन्न प्रकार के "केंद्रीकरण" की ओर ये रुझान क्रिप्टोकरेंसी के मूल सिद्धांत के विपरीत हैं। कई खनन एल्गोरिदम के साथ एक सिक्के का उपयोग ऐसे रुझानों के लिए एक असंतुलन है। निहितार्थ यह है कि हार्डवेयर, उत्पादन और संसाधन प्रबंधन के मामले में पांच अलग-अलग एल्गोरिदम का प्रबंधन अनिवार्य रूप से एक एकल एल्गोरिदम को नियंत्रित करने से अधिक कठिन होगा, जिससे वर्ज को अधिक विकेन्द्रीकृत और वितरित खनन प्राप्त करने की इजाजत मिलती है।
स्थिति यह है: सही संचालन प्राप्त करने का एकमात्र तरीका - और इस मामले में "सही संचालन" की अवधारणा में ब्लॉकों के बीच 30 सेकंड का अंतराल बनाए रखना, खनिकों के लिए सभी पांच एल्गोरिदम की आर्थिक व्यवहार्यता बनाए रखना और एक एल्गोरिदम को अनुमति नहीं देना शामिल है। हावी (जो पूरे प्रयोग को हरा देगा) यह सुनिश्चित करना है कि प्रत्येक एल्गोरिथ्म का अपना जटिलता पैरामीटर है, जिसे अन्य चार से स्वतंत्र रूप से कॉन्फ़िगर किया जाएगा। दूसरे शब्दों में, स्क्रीप्ट एल्गोरिथ्म में खनन कठिनाई को प्रत्येक ब्लॉक के लिए 30-सेकंड के अंतराल का सम्मान करने के लिए समायोजित किया जाता है, जैसा कि X17 और अन्य एल्गोरिदम में है।
इसका मतलब है कि हमारे हैकर ने वास्तव में पूरे नेटवर्क के लिए खनन की कठिनाई को कम नहीं किया; उन्होंने इसे केवल उन लोगों के लिए कम किया जो पांच एल्गोरिदम - स्क्रीप्ट में से एक के साथ खनन कर रहे थे। और जबकि स्क्रीप्ट खनिकों ने हास्यास्पद रूप से आसान खनन अनुभव का आनंद लिया, अन्य एल्गोरिदम पर चलने वाले बाकी खनिकों के लिए, कार्यों की कठिनाई कम नहीं हुई, जिसका अर्थ है कि उनकी सभी संयुक्त शक्ति नेटवर्क को सुरक्षित करने में मदद नहीं करेगी। इसका मतलब यह था कि हमलावर ने केवल स्क्रीप्ट एल्गोरिथम के साथ काम किया और उसे अन्य उपयोगकर्ताओं के साथ प्रतिस्पर्धा करनी पड़ी जिन्होंने ऐसा ही किया; इस प्रकार, हमारे हमलावर के लिए आवश्यक हैश पावर 50% (पूरे नेटवर्क पर हावी) से अधिक नहीं थी, लेकिन केवल 10% से अधिक (अन्य स्क्रीप्ट खनिकों पर हावी)।
अब हम अटकलों के दायरे में जाएंगे, लेकिन ऐसा लगता है कि स्थिति और भी खराब थी। हमने इस तथ्य के आधार पर 10% का आंकड़ा ग्रहण किया कि प्रत्येक एल्गोरिथ्म को लगभग समान मात्रा में संसाधन आवंटित किए जाने चाहिए (यह खनन कठिनाई सेटिंग तंत्र का सार है)। वास्तव में, हालांकि, एक मुक्त बाजार अर्थव्यवस्था के स्वयंसिद्ध हमेशा नहीं देखे जाते हैं। समुदाय में यह माना जाता है कि विभिन्न कारक - उदाहरण के लिए, स्क्रीप्ट एएसआईसी का अस्तित्व जो अभी तक सक्रिय नहीं हुआ है, साथ ही नाइसहैश आदि के माध्यम से किराए के लिए उपलब्ध मुफ्त संसाधन - ने इस तथ्य को जन्म दिया कि यह हावी होने के लिए बहुत सस्ता था। हमले के समय स्क्रीप्ट पर खनन, चार एल्गोरिदम में से किसी भी अन्य की तुलना में। यह मान लेना सुरक्षित है कि आवश्यक हैश दर 10% से बहुत कम हो गई है - रेडिट पर कुछ शुरुआती अनुमानों के अनुसार, हैश दर 0,4% जितनी कम हो सकती है।
संक्षेप में: नकली टाइमस्टैम्प ने खनन की कठिनाई को नाटकीय रूप से कम कर दिया है; पांच एल्गोरिदम के उपयोग का मतलब था कि उनमें से केवल एक को कठिनाई में कम किया जा सकता है, जिससे पूरे नेटवर्क को कैप्चर करना बहुत आसान हो जाता है; इस विशेष खनन एल्गोरिदम की आर्थिक और उत्पादन स्थिति ने इसे पकड़ना और भी आसान बना दिया है; और अंत में, खनन की कम जटिलता के कारण, ब्लॉक बनाने का समय काफी कम हो गया, जिसने हमले को लगभग 30 गुना अधिक लाभदायक बना दिया।
सीख सीखी
इस स्थिति से क्या निष्कर्ष निकाला जा सकता है? हैक के अल्पकालिक परिणाम अनुमानित रूप से अराजक और समझ से बाहर थे। कुछ दिनों बाद, मुख्य डेवलपर्स ने टूल के साथ कई बग्स को ठीक किया जो बग्स में भी रेंग सकते हैं, और अंततः नेटवर्क को एक कठिन कांटा से गुजरना पड़ा, जो शुरू में दुर्घटना से हो सकता था (ठीक है, या दुर्घटना से नहीं)। वैश्विक प्रतिक्रियाओं के संदर्भ में, हैक के एक सप्ताह के भीतर, Verge की कीमत में 30% की वृद्धि हुई, और अगले सप्ताह यह घोषणा की गई कि Verge मुद्रा को pornhub.com पर सदस्यता शुल्क के रूप में स्वीकार किया जाएगा। क्रिप्टोक्यूरेंसी का सबसे बड़ा प्रोटोकॉल-स्तरीय हैक इस मुद्रा की कीमत में वृद्धि कैसे कर सकता है और बाद में, सबसे अधिक देखी जाने वाली पोर्न साइट के साथ साझेदारी के लिए - मैं इस प्रश्न को खुला छोड़ दूंगा। व्यक्तिगत रूप से, मुझे लगता है कि बात बस इतनी है कि दुनिया का कोई मतलब नहीं है, और लोग पूरी तरह से पागल हैं।
लेकिन मैं पीछे हटा। विश्व स्तर पर और अधिक सोचने पर, हम इस स्थिति से कई सबक सीख सकते हैं:
सबसे पहले, जटिलता को कृत्रिम रूप से कम करने के लिए टाइमस्टैम्प का उपयोग करने की तकनीक वास्तव में लंबे समय से जानी जाती है, और यहां तक \u2016b\u2bकि एक नाम प्राप्त करने में कामयाब रही - "टाइम-वार्प" भेद्यता ("टाइम ताना")। कुछ साल पहले, बिटकॉइन फोरम पर अटैक वेक्टर पर चर्चा की गई थी। कुछ हद तक, नए डार्क ग्रेविटी वेल कठिनाई समायोजन एल्गोरिदम का उपयोग, जिसमें कठिनाई को प्रत्येक नए ब्लॉक के साथ समायोजित किया जाता है, ने Verge पर हमले को लागू करने में मदद की। बिटकॉइन में, हालांकि, कठिनाई केवल हर 30 ब्लॉक में बदलती है। हालांकि इस तरह की खिंचाव और रुक-रुक कर कठिनाई सेटिंग एक अजीब समाधान की तरह लग सकती है, वर्ज हैक ने यह स्पष्ट कर दिया कि यह वास्तव में एक सुरक्षा उपाय है: यदि बिटकॉइन में खनन की कठिनाई को कम करने का कोई तरीका है, तो एक हमलावर ऐसा कर सकता है। हर XNUMX सप्ताह में केवल एक बार, जो Verge की तुलना में हमले के परिणामों को महत्वहीन बनाता है, जहां हैकर्स हर XNUMX सेकंड में खनन कठिनाई को कम कर सकते हैं।
दिलचस्प बात यह है कि डार्क ग्रेविटी वेव के कथित लाभों में से एक यह है कि यह "समय-ताना" भेद्यता के प्रति प्रतिरक्षित होना चाहिए। यह देखते हुए कि इस धारणा को कितनी निर्णायक रूप से खारिज कर दिया गया है, इस एल्गोरिथ्म का उपयोग करने वाली अन्य मुद्राओं को कम से कम घबराना चाहिए।
पांच एल्गोरिदम के उपयोग के लिए, हालांकि पहली नज़र में यह आर्थिक रूप से उत्तेजक विकेन्द्रीकृत वातावरण में एक योग्य प्रयोग की तरह लगता है, यह नई जटिलताओं का परिचय देता है जो अनिवार्य रूप से अप्रत्याशित कमजोरियों की संभावना को बढ़ाता है।
दोनों ही मामलों में, यह हैक सिद्ध तंत्र के पक्ष में एक मजबूत तर्क का प्रतिनिधित्व करता है, और लोगों की वित्तीय संपत्तियों से जुड़े अनावश्यक जोखिमों को जटिल बनाने और शुरू करने में सावधानी बरतने का आह्वान करता है। इन क्षेत्रों में, बिटकॉइन टीम उत्कृष्ट है।
मुद्दा कुछ हद तक व्यापक है: सॉफ्टवेयर डेवलपर्स, हालांकि वे इसे स्वीकार करने के लिए अनिच्छुक हो सकते हैं, अंततः केवल मानव हैं। यहां तक कि जब सुरक्षा के बुनियादी सिद्धांत पूरी तरह से विश्वसनीय लगते हैं, तब भी त्रुटि की गुंजाइश हमेशा बनी रहती है। अप्रत्याशित हमले होते हैं, समझौता हमेशा उचित नहीं होता है और निश्चित रूप से, किसी ने भी अच्छे पुराने कीड़े की उपस्थिति की संभावना को रद्द नहीं किया है। सॉफ़्टवेयर हमेशा उस तरह से काम नहीं करता जैसा हम चाहते हैं, और 2018 में किसी को भी आश्चर्य नहीं होगा कि इस तरह की बग से धन की हानि हो सकती है। लेकिन जब सॉफ्टवेयर अपने आप से है धन, हमें विशेष रूप से सावधान रहने की जरूरत है।
यह देखते हुए कि हममें से अधिकांश के पास अपने द्वारा निवेश की जाने वाली प्रत्येक परियोजना की पूरी तरह से कोड समीक्षा करने का समय नहीं है, आपदा के खिलाफ सबसे अच्छा बचाव अच्छे ट्रैक रिकॉर्ड और विकास के लिए एक रूढ़िवादी दृष्टिकोण के साथ सिद्ध प्रणालियों में विश्वास है।
और अगर आप प्रायोगिक धन हस्तांतरण परियोजनाओं में कुछ फंडों पर दांव लगाना चाहते हैं, तो आपको कम से कम जोखिमों के बारे में पता होना चाहिए। अंतत: सबसे अच्छी सुरक्षा तब होती है जब समुदाय भविष्य की आपदाओं को रोकने के लिए उचित उपाय करने की मांग करता है। अगर मैं गलत नहीं हूं, तो जॉर्ज संतयाना ने कहा: "जो लोग अतीत की सुरक्षा कमजोरियों से नहीं सीख सकते, वे भविष्य में उन्हें बार-बार दोहराने के लिए अभिशप्त हैं।" इन शब्दों को याद रखना चाहिए ताकि हम अप्रत्याशित रूप से अतीत की गलतियों को दोबारा न दोहराएं।