Блокчейн — новая технология, которая лежит в основе децентрализованной платежной системы Биткоин и других криптовалют. К настоящему времени она обрела значительную популярность и сейчас по праву считается прорывной для финансового мира. Однако, с ростом популярности участились случаи успешного осуществления разнообразных атак на блокчейн системы.
В докладе рассмотрена технология блокчейн в целом, ее наиболее значимые инновации, детально разобран ряд конкретных атак на популярные системы и проанализированы факторы, которые привели к появлению таких атак.
3. О себе
Блокчейн исследователь, криптограф, разработчик
2006-2011 - ХНУРЭ, Защита информации с ограниченным доступом
2011-2014 - Linnaeus University (Швеция), Программная инженерия
2011-2015 - аспирант ХНУРЭ, Системы защиты информации
2016 - к.т.н., диссертационная работа в области симметричной
криптографии
2011-2012 - разработчик в Lavasoft
2012-2013 - инженер-разработчик в Samsung Electronics
2013-2016 - разработчик в Epam Systems
c 2016 - исследователь-разработчик в Input Output HK
4. 1. Что такое криптовалюты и откуда они появились.
2. Технология блокчейн. Достижение консенсуса в пиринговой сети.
3. Общие уязвимости блокчейн систем.
4. Примеры атак на блокчейн системы.
План доклада
10. Блокчейн индустрия сегодня
❖ Ведущие ВУЗы мира ведут исследования в области криптовалют/криптовалют.
❖ Ведущие технологические компании, такие как IBM, Intel, Google etc. разрабатывают
собственные проекты с использованием технологии блокчейн
❖ Тысячи разработчиков по всему миру. Количество постоянно растет.
❖ Общая капитализация превысила $100 000 000 000
❖ Инвестиции в блокчейн за первый квартал 2017 составили $120 миллионов
долларов
❖ Нарастающая популярность децентрализованных краудсейлов (ICO)
❖ Биткоин в космосе: спутники позволят использовать биткоин даже там, где нет
интернета
❖ ….
Блокчейн индустрия сегодня
12. Почему криптовалюты интересны хакерам?
1. Открытый исходный код
2. Свободный доступ к сети узлов
3. Финансовая система, которая управляет ценными активами
4. Анонимность/псевдо анонимность операций
5. Децентрализованность - невозможность быстро и гибко
реагировать на атаки
6. Незрелость технологии
7. Неподготовленность пользователей
8. ...
Факторы риска для блокчейн систем
13. Векторы атак на блокчейн системы
1. Атаки на централизованные сервисы (биржи, онлайн-кошельки…)
2. Уязвимости в архитектуре
3. Уязвимости в исходном коде
4. Фишинг
5. DDoS
6. Уязвимости смарт-контрактов
7. Кража ключевых данных
8. ….
Векторы атак на блокчейн системы
14. Steem - медиа платформа на блокчейне
. . .
Steem - медиа платформа на блокчейне
15. Алгоритм майнинга Steem
Let PRI = Producer Private Key
Let PUB = Producer Public Key
Let H = SHA256(Head Block ID)
Let H2 = SHA256(H + Nonce)
Let S = ECDSA_SIGN(PRI, H2)
Let HS = SHA256(S)
Let KR = ECDSA_RECOVER_PUBLIC_KEY(S, HS)
Let POW = SHA256(KR)
Алгоритм майнинга Steem
16. Как удалось обойти процедуру майнинга
Precomputation:
Find a valid PoW solution. Save S and POW values for future
use.
Simplified steps:
Let H = SHA256(Head Block ID)
Let H2 = SHA256(H + Nonce)
Let NewPRI = ECDSA_RECOVER_PRIVATE_KEY(S, H2)
Let NewPUB = ECDSA_GET_PUB(PRI)
Set NewPUB for a producer account
Submit old POW that is now valid for H2
Как удалось обойти процедуру майнинга
23. Заключение
Заключение
Не смотря на значительные темпы роста блокчейн индустрии, она все
еще находится в стадии становления.
Отсутствие опыта и стандартизированных подходов к проектированию,
разработке и поддержке подобных систем приводит к появлению
значительного количества уязвимостей.
Отсутствие регулирования рынка криптовалют приводит к появлению
большого количества мошеннических проектов, единственной целью
которых является заработок на доверии пользователей.
24. Спасибо за внимание!
Дмитрий Кайдалов
dmtr.kd@gmail.com
dmytro.kaidalov@iohk.io
facebook.com/dmytro.kaidalov
linkedin.com/in/dmytrokaidalov
Спасибо за внимание!