Направленные ациклические графы (DAG) стали многообещающей альтернативой технологии блокчейн. В отличие от блокчейнов, DAG могут похвастаться уникальной структурой, в которой транзакции связаны направленным, нециклическим образом, с новыми способами достижения консенсуса. Это нововведение обещает более высокую скорость транзакций и более высокую децентрализацию, что делает их привлекательным выбором для криптоэнтузиастов. Однако они могут столкнуться со своими собственными проблемами безопасности.
В конце концов, существуют программы вознаграждения за обнаружение ошибок не просто так. Однако на данный момент можно сказать, что ни одна структура DAG не была взломана. С другой стороны, связанные с ними услуги, такие как социальные сети и даже смарт-контракты, — это совсем другая история. Киберпреступники будут атаковать наиболее уязвимые точки, обычно за пределами самой группы обеспечения доступности баз данных, но в любом случае нацелены на ее пользователей.
Далее мы углубимся в некоторые атаки с участием платформ DAG и расскажем о пяти случаях, когда связанные с ними службы становились жертвами попыток взлома. Кроме того, мы рассмотрим стратегии и лучшие практики, позволяющие защититься от таких угроз. Независимо от того, являетесь ли вы опытным инвестором или новичком, понимание
В 2018 году мир криптовалют стал свидетелем серьезного нарушения безопасности, связанного с итальянской биржей криптовалют BitGrail и цифровой валютой Nano (ранее известной как Raiblocks). Эта валюта использует реестр, структурированный как DAG (точнее, блочная решетка), а ее система консенсуса очень похожа на блокчейн Proof-of-Stake (PoS).
Последствия взлома BitGrail ознаменовались спорным спором между руководством биржи и командой разработчиков Nano. Первоначально Фирано предположил, что за уязвимость ответственен код Nano, обвинив в краже разработчиков. Он потребовал от команды Nano провести спорный форк (обновление) (чтобы стереть взлом), но они отказались.
Дополнительные расследования позже показали, что меры безопасности и внутренний контроль BitGrail были неадекватными, что привело к компрометации средств пользователей. Действительно, взлом произошел как раз вовремя, чтобы увидеть рост цен на Nano, а Фирано скрыл, что взломы происходили с 2017 года. BitGrail и Фирано получили как минимум
В данном случае группа DAG не подверглась атаке, но пользователи доверяли не той компании. На централизованных биржах у вас нет закрытых ключей к вашим средствам. Вместо этого предоставляется только учетная запись с паролем, а средства находятся под полным хранением (контролем) этой компании. Если они проиграют (взломы, банкротство и т. д.), то проиграете и вы. Вот почему важно не использовать биржи в качестве постоянных кошельков.
IOTA — это криптовалютная платформа, которая использует технологию направленного ациклического графа (DAG) для обеспечения более быстрых транзакций и ориентирована на сектор Интернета вещей (IoT). В отличие от блокчейнов, Tangle DAG от IOTA позволяет пользователям проверять транзакции, подтверждая другие, но для достижения консенсуса существует конечный узел-координатор. От него намерены (с 2016 года) избавиться, но пока координатор контролируется IOTA Foundation, а сеть централизована.
Это было убедительно доказано в феврале 2020 года, когда вся сеть была заморожена координатором после серьезного взлома. Тогда хакеры украли 8,5 миллионов собственных токенов IOTA MIOTA непосредственно у пользователей — примерно 2 миллиона долларов на тот момент. ЙОТА
Киберпреступник ждал новой версии Trinity, которая сможет перезаписывать кэшированные файлы и устранять следы. Фонд IOTA принял немедленные меры, включая остановку координатора и создание плана управления инцидентами с общедоступными обновлениями статуса. Атака включала перехват DNS, модификацию кода и неправильное использование ключа API.
IOTA отреагировала на это разработкой инструментов миграции для пострадавших пользователей, усовершенствованием аналитических инструментов и сотрудничеством с экспертами по безопасности и правоохранительными органами. Trinity больше не используется, а MoonPay
Hedera Hashgraph — это система распределенного реестра, которая использует направленные ациклические графы (DAG) для достижения консенсуса. В Хедере
9 марта 2023 года сеть Hedera Hashgraph
Для смягчения атаки были приняты срочные меры. DEX и мосты объединили усилия, чтобы остановить поток токенов через мост в течение часа после получения предупреждения о взломе. Команда Hedera отключила прокси-доступ к основной сети Hedera (благодаря тому, что сеть централизована, как IOTA), предотвратив дальнейший доступ пользователей и злоумышленника. Исправление было быстро разработано, протестировано и внедрено в течение 41 часа с момента обнаружения уязвимости.
В отличие от предыдущих атак на другие группы обеспечения доступности баз данных, на этот раз фактически была скомпрометирована собственная система, а именно ее уровень смарт-контрактов. Команда быстро приняла меры, чтобы смягчить ситуацию.
Sui Network — это распределенный реестр, запущенный в мае 2023 года. Он разделяет транзакции на простые (например, отправка денег) и сложные (например, онлайн-аукционы). Простые транзакции не требуют консенсуса, но
Эта сеть доказала, что профилактика важна, особенно когда речь идет о новых технологиях. Незадолго до выпуска основной сети охранная фирма CertiK обнаружила в системе критическую ошибку. Уязвимость заключалась в ошибке бесконечного цикла в коде Суи, которая могла быть вызвана вредоносным смарт-контрактом. Этот тип атаки, известный как «атака HamsterWheel», не приводит к сбою узлов, а вместо этого заставляет их работать бесконечно без обработки новых транзакций, что делает сеть неработоспособной.
Как только ошибка
Еще до потенциальной ошибки, в августе 2022 года, сервер Discord компании Mysten Labs (создатели Sui) был взломан. Объявление было опубликовано
Avalanche — еще один криптопротокол, который использует структуры DAG вместо блокчейнов. Он включает в себя
Несколько протоколов DeFi, основанных на Avalanche, за последние годы подверглись серьезным атакам. Первый громкий взлом произошел против кредитной платформы
Это привело к несанкционированному выводу 8804,7 ETH и 213,93 BTC (около 36 миллионов долларов на тот момент). Впоследствии токены были подключены к Ethereum и остались во владении злоумышленника. Vee Finance приостановила контракты платформы и связанные с ней функции (что продемонстрировало, что платформа не настолько децентрализована, как подразумевает термин DeFi), активно предпринимая усилия по восстановлению активов. Однако это было не все для Avalanche. Со временем придут новые атаки.
В феврале 2023 года снова были взломаны еще два протокола DeFi: многоцепочный агрегатор Dexible и DEX Platypus.
Во втором случае Утконос
Для обычных пользователей платформ направленного ациклического графа (DAG) для снижения рисков можно применить несколько ключевых мер безопасности и защиты:
Используйте надежные пароли и включите 2FA. При работе с любыми учетными записями, связанными с криптовалютой, используйте надежные и уникальные пароли. Рассмотрите возможность использования надежного менеджера паролей, чтобы обеспечить их безопасность. По возможности включите двухфакторную аутентификацию (2FA) в своих учетных записях.
Регулярно проверяйте разрешения. Для приложений или служб, которые запрашивают разрешение на доступ к вашему кошельку или токенам, проверяйте и отзывайте эти разрешения, когда они больше не нужны.
Диверсифицируйте свои инвестиции. Не помещайте все свои активы в одну криптовалюту или платформу. Диверсификация может помочь распределить риски.
До сих пор Obyte (также платформа крипто-DAG) не пострадала от громкого взлома своей системы или связанных с ней сервисов. Однако это не означает, что они невосприимчивы к атакам.
Рекомендованное векторное изображение от