DARPA: a blokklánc nem más mint sebezhető központosított ellenőrzés

A DARPA (Defense Advanced Research Project) által megrendelt, „Are Blockchains Decentralized?” című, nemrég közzétett jelentés kulcsfontosságú sebezhetőségeket talált, amelyek potenciálisan veszélyeztethetik a blokklánc-technológia állítólagos „decentralizált” ethoszát. Arról már korábban írt a Computerworld, hogy a Bitcoin korántsem olyan decentralizált vagy anonim, mint ahogyan azt hisszük.

A Trail of Bits kutatócéggel közösen készített jelentés konkrétan rámutat pár „nem szándékos központosításra”, amelyek a szerzők szerint potenciálisan néhány kiválasztott személy vagy csoport kezében összpontosíthatják a blokklánc hatalmát. Ezek a nem szándékolt központosulások a nagy teljesítményű új kriptopénz-bányászoktól és a támadásokkal szemben sebezhető elavult számítógépektől kezdve a Bitcoin-forgalom kezeléséért felelős internetszolgáltatók egy kiválasztott csoportjáig terjednek – számolt be a Gizmodo.

A szerzők feltűnően nem fordítottak figyelmet a blokklánc sokra tartott kriptográfiájiai lehetőségeinek kihasználhatóságára vagy gyengeségeire (azokat valójában „meglehetősen robusztusnak” írják le, legalábbis addig, amíg a kvantumszámítás nem válik nagy valósággá). Ehelyett a blokklánc implementációk tulajdonságainak „felforgatásával” ássák elő a problémákat.

„Úgy véljük, hogy a blokkláncokban és kriptovalutákban rejlő kockázatokat rosszul írták le, és gyakran figyelmen kívül hagyják – vagy akár gúnyolódnak velük – azok, akik az évtized aranylázából akarnak pénzt csinálni” – áll a szerzők közleményében.

A DARPA a beszámolók szerint a Trail of Bits-et a múlt év folyamán bízta meg, hogy vizsgálja felül a blokkláncok alapvető tulajdonságait és a velük kapcsolatos potenciális biztonsági kockázatokat. A jelentést éppen akkor adták ki, amikor a Bitcoin és más kriptovaluták történelmi értékvesztést szenvednek el, és e fordulat sokakat megrázott.

A jelentés szerint az összes Bitcoin-forgalom közel kétharmada (60%) mindössze három internetszolgáltatón keresztül bonyolódott le legalább az elmúlt öt évben. Emellett a jelentések szerint az összes Bitcoin-forgalom mintegy fele a Toron keresztül zajlott. A Trail of Bits vezérigazgatója, Dan Guido az NPR-nek adott interjújában elmondta, hogy ha a szolgáltatók hajlandóak lennének rá, akkor potenciálisan képesek lennének „átírni a történelmet” bizonyos tranzakciók korlátozásával és a Bitcoin teljes cseréjének megakadályozásával.

„Tegyük fel, hogy valaki, aki felülről jelentős kontrollt gyakorol az internetre az országában, elkezd beavatkozni a hálózatba. A törvényes blokkláncforgalom lelassításával vagy leállításával a támadó ‘többségi’ hanggá válhat a konszenzusban, hogy mi kerüljön az adott pillanatban a blokkláncra” – mondta Guido.

Gondot okoz az elavult szoftverek problémája is. A jelentés szerint a Bitcoin-csomópontok mintegy 21 százaléka a Bitcoin core kliens egy régi verzióját futtatja, amely sebezhető a támadásokkal szemben. A Trail of Bits szerint a „nyílt szoftvermódosítások” ténylegesen módosíthatják a blokklánc állapotát, ami viszont a blokkláncszoftver fejlesztőit, a rendszer központi bizalmi pontját egyedülállóan sebezhetővé teszi a támadásokkal szemben.

„Ez a választás nem egyszerűen arról szól, hogy mennyire kényelmes az irányítást egy harmadik félnek delegálni. Ez arról szól, hogy az ember megbízik-e egy központosított harmadik félben, szemben a saját biztonsági higiéniájával és a nem bizalmi tárca fejlesztőivel” – írják a szerzők.

A DARPA által megrendelt jelentés figyelmeztetései a nem szándékos kriptocentralizációval kapcsolatban részben visszhangozzák a Web3 prominens ellenzői által a közelmúltban megfogalmazott állításokat. „A Web3 nem az, aminek gondolod” – nyilatkozott Jack Dorsey a Twitter korábbi vezetője. Dorsey kritikusan nyilatkozott a kockázati tőkések Web3-cégekbe való bevonásáról, sőt, odáig ment, hogy az internet állítólagos új korszakát „végső soron egy központosított entitásnak nevezte, más címkével”.

A Signal alapítója, Moxie Marlinspike hasonlóképpen felszólalt a Web3 infrastruktúrájának szerinte gyenge pontjai ellen, amelyek valójában egy állítólag decentralizált rendszer központosítását szolgálják. „Amint egy elosztott ökoszisztéma egy kényelmi platform köré centralizálódik, a két világ legrosszabbja lesz: központosított irányítás, de mégis eléggé elosztott ahhoz, hogy idővel elmerüljön” – írta Marlinspike egy széles körben terjesztett esszéjében az év elején. Példát is hozott az egyértelműség kedvéért. „Építhetek saját NFT-piacteret, de az nem kínál semmilyen további kontrollt, ha az OpenSea közvetíti az NFT-k nézetét emberek által használt pénztárcáknak (és az ökoszisztéma minden más alkalmazásának).” Dorsey a maga részéről valójában máris továbblépett a szerinte decentralizáltabb „Web5” korszak felé, teljesen kihagyva a Web4 zsargont.

A Web3-hívők azonban, mint Yan Pritzker, a Swan társalapítója, nem feltétlenül fogadják el a DARPA által támogatott jelentésben megfogalmazott kritikákat. Az NPR közszolgálati médiumnak nyilatkozva Pritzker a jelentésben megfogalmazott támadások lehetőségét többnyire „elméletinek” tartja, és megkérdőjelezi, hogy a riportot egy jelentős, természeténél fogva központosított kormányzati ügynökség támogatja.

„Alapvetően végjáték-kutatással foglalkoznak. A játékuk lényege, hogy hogyan tudják jobban ellenőrizni a valutát, és hogyan tudnak jobb rendszereket építeni a valuta ellenőrzéséhez” – mondta Pritzker az NPR-nek. Természetesen még egy elméleti stratégia is, amely szerint a kormányzat irányítaná a kriptopénzeket, aláásná a blokklánc-technológia ígéretét, amelyet a támogatók évek óta erőltetnek.

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!