Окончание. Первая часть — тут.
Криптовалюты поразительно стойко держатся перед лицом существующих угроз со стороны злоумышленников. Особенно если учесть, что у них нет ни единого центра принятия решений, ни штатных подразделений по борьбе с информационными преступлениями. Но их капитализация и аудитория быстро увеличиваются, а специфические свойства вроде анонимности владельцев и транзакций упрощают задачу злоумышленникам, которые уже сделали свое черное дело и спешат скрыться с добычей. Взломы и атаки других видов вряд ли пойдут на убыль. Скорее, их число и технологический уровень будут только расти.
Атаки против инфраструктуры
Распределенность блокчейна надежно защищает его от прямых хакерских атак — единого центра хранения и обработки данных нет, что же атаковать? Даже если хакеры успешно сделают, что хотели, пострадает только единичный узел огромной сети. Но проблема в том, что на карте современных криптовалют некоторые сегменты имеют настолько большой вес, что удачная атака на них может повлечь неприятности для всего блокчейна: заметно снизит хэшрейт, заблокирует транзакции или позволит за один заход похитить значительное количество токенов. Самый ранний и самый распространенный вектор подобных атак был направлен на криптобиржи. Даже если рассматривать только биткоин, с 2010 года злоумышленники похитили у бирж и подобных сервисов почти миллион BTC — многие миллиарды долларов по современному курсу. Почти две трети этой суммы приходится на унизительное разорение Mt.Gox, откуда за несколько лет вытянули более 600 тыс. BTC. Чтобы был понятен масштаб: на втором месте с многократным отрывом стоит взлом серверов Bitfinex летом 2016, в результате которого удалось увести 120 тыс. BTC.
Те кражи, как и подавляющее большинство других, стали возможными из-за обнаруженных хакерами уязвимостей в коде бирж и их веб-интерфейсов. Вне криптосообщества с подобными вызовами борются строгими процедурами программирования, аудитом и отчетностью. Но блокчейн — молодая отрасль, которая еще пять лет назад была наполовину академическим экспериментом в областях криптографии и социологии. А семь лет назад, летом 2010 года, неизвестный воспользовался небрежностью в коде самого биткоина, а именно отсутствием контроля за переполнением переменных, и создал из воздуха десятки миллиардов BTC (при общей запланированной эмиссии в 21 млн). На устранение проблемы тогда понадобились несколько часов и патч, но это показывает, каким неформальным еще совсем недавно было написание кода. Рядовой инвестор, клиент криптобиржи вряд ли имеет возможность воспрепятствовать атаке на сервис, которым пользуется. Но он может ответственнее подбирать себе сервис, и не вестись на ажиотаж вокруг новых бирж и кошельков, которые, не имея длительной безупречной репутации, предлагают удивительно хорошие условия. Сами сервисы начинают понимать степень опасности и обращаются за экспертной оценкой к сторонним аудиторам и «белым» хакерам. Также я предлагал принять и использовать концепцию коллективной безопасности, при которой как биржи, так и их клиенты поймут, что максимальная защищенность выгодна всем сторонам, кроме хакеров, и будут заботиться о ней совместно.
Еще одно уязвимое инфраструктурное звено вытекает из природы блокчейна, и это так называемая «атака 51%». Криптовалюты управляются и направляются консенсусом их майнеров. Простое их большинство, как считалось во времена разработки концепции, должно быть достаточно адекватным, чтобы не допустить разрушительных действий в отношении блокчейна, который оно и формирует своим майнингом. Кроме того, отцы-основатели концепции почему-то полагали, что майнеры будут индивидуалистами. Кто мог предположить, что они начнут сбиваться в пулы, что будут возможны пулы, на которые приходятся десятки процентов хэшрейта, и что некоторые из этих пулов станут гнездиться чуть ли не в одном здании (в Китае)? Группа, которая захватит консенсус, сможет выборочно решать, какие транзакции будут приняты или, если перевес в вычислительной мощности действительно велик, даже подтвердить собственную версию какого-то количества последних блоков, уже принятых в блокчейн. При нынешних уровнях сложности практическая угроза от атаки 51% существует скорее для перспективных альткоинов с относительно небольшим количеством майнеров, но вступивших в фазу быстрого роста. Что касается методов борьбы с подобными атаками, в голову приходят только призывы быть индивидуалистами и придерживаться ценностей криптоанархии.
Психологические атаки
Атаку 51% в лоб будет непросто провернуть для криптовалют из первых 20 строчек по размеру капитализации — из-за гигантских мощностей, контроль над которыми потребуется. Они все еще могут пострадать от попыток монополизации консенсуса, просто чуть по-другому. Поэтому их случай разбирается в этом разделе и квалифицируется иначе. Одна из самых масштабных атак подобного рода сорвалась несколько недель назад и разворачивалась прямо у всех на виду. Речь о планах участников Нью-йоркского соглашения по активации SegWit2x. Если бы все прошло, как намечали, мы обязательно бы увидели такие симптомы атаки 51%, как перехват консенсуса скоординированной группой и удвоение токенов между ветвями из-за намеренно нерешенной «проблемы повтора». Но цели группы, которая стояла за соглашением, были более сложными и противоречивыми, и они встретили сопротивление даже среди тех, кто вначале был склонен поддержать это обновление. В последнюю пару месяцев до предполагаемой даты хардфорка атака окончательно переросла в психологическую, сопровождалась интригами и спекуляциями, и была формально отсрочена на неопределенное время всего за полторы недели до часа «Ч». SegWit2x можно рассматривать как пример психологической атаки 51%, и у меня есть основания думать, что мы увидим еще не одну операцию, выстроенную по этому образцу.
Такая классика, как DDOS, распределенная атака с целью перегрузки имеющихся мощностей узлов и сайтов, тоже, скорее, относится к психологическим. Она не может повредить блокчейну напрямую, но при определенных условиях способна нанести приличный косвенный урон, как этой осенью было минимум дважды. Оба раза успех хакеров объясняется тем, что их атака затруднила доступ к сайтам в ключевой для молодых криптовалют момент. Для Bitcoin Gold это были буквально первые часы существования, и отсутствие доступа к сайту означало невозможность дать интересующимся майнерам инструменты для работы с блоками. DDOS был весьма мощным и, как сообщила команда Bitcoin Gold, исходил из Китая. Второй случай был даже более показательным: в первых числах ноября атака застала врасплох британский стартап Electroneum, выстроенный вокруг идеи майнить на смартфонах. Клиентские приложения планировали раздавать сугубо через сайт. Из-за его недоступности после запуска DDOS команда на всякий случай блокировала профили клиентов, сдвинула планы по развертыванию мобильного приложения и констатировала репутационный ущерб.
Атаки на рынок
Самый разрушительный тип атак на блокчейн не зависит от технических уязвимостей. Его цель — умы майнеров и инвесторов, которые невероятно ценны в случае с блокчейном и криптовалютами именно из-за их децентрализации. И если DDOS теряет свою эффективность с ростом криптовалюты, то атака против репутации, напротив, тем более действенна, чем блокчейн популярнее, чем весомее оборот его транзакций — и чем больше ему есть, что терять. У аудитории, на которую должны воздействовать подобные манипуляции, есть запас инерции и вера в светлое будущее криптовалюты, поэтому простой популизм вида «продайте все свои BTC и вложитесь в наши токены» может сработать только при редком стечении обстоятельств. Но иногда звезды сходятся именно подобным образом, и тогда получается проворачивать такие психологические операции, как могучий старт Bitcoin Cash. Этот форк был реализован максимально корректно и поставил перед инвесторами выбор: продолжить пользоваться оригинальными BTC либо активировать ровно такое же количество токенов в новой ветке блокчейна. Непосредственно после форка аналитики были уверены в умеренной востребованности Bcash и прогнозировали снижение его курса в краткосрочной перспективе ниже $100. Но в течение нескольких недель ряд влиятельных игроков на этом рынке, включая китайские пулы, на которых приходится как минимум 20% хэшрейта в биткоине, высказались в поддержку Bitcoin Gold. В преддверие активации SegWit2x, когда все и так были на нервах, наблюдался также переток мощностей от биткоина к Bcash, что привело к замедлению транзакций с BTC и росту комиссионных. Ситуация со временем улеглась и биткоин все еще велик и могуч, но BCH по итогам также чувствует себя неплохо, пробрался в тройку крупнейших криптовалют по капитализации, и ни о каких $100 речь уже не идет. Уверен, все, кому надо, намотали это на ус, и строят планы повторить, когда подвернется случай.
