מחקר: מטבעות הקריפטו אינם בטוחים לשימוש
מחקר: מטבעות הקריפטו אינם בטוחים לשימוש
ממחקר של חברת הסייבר Trail Of Bits, שהוזמן על ידי הפנטגון, עולה כי במקרים רבים במסגרת המסחר בביטקוין נעשה שימוש בתוכנות מיושנות שבהן כבר נמצאו בעבר פרצות חמורות אותן ניתן למנף לשינויי תוכנה לגניבה או הונאה. עוד עולה מהמחקר כי 60% מתעבורת המידע של טכנולוגיית הבלוקצ'יין בעולם עוברים דרך שלושה ספקי תקשורת בלבד
מטבעות הקריפטו שעושים שימוש בבלוקצ'יין רחוקים מלהיות מאובטחים ואף סובלים ממספר פרצות מובנות שהופכות את השימוש בהם להימור - כך עולה ממחקר חדש של חברת הסייבר Trail Of Bits, שהוזמן על ידי DARPA - סוכנות המחקר הסודית של הפנטגון.
מהמחקר עולה כי כ-21% מצמתי הביטקוין עושים שימוש בתוכנה מיושנת שבה כבר נמצאו בעבר פרצות וחולשות חמורות אותן ניתן למנף בקלות לשינויי תוכנה לגניבה או הונאה. עוד עולה מהמחקר כי 60% מתעבורת המידע של טכנולוגיית הבלוקצ'יין בעולם עוברים למעשה דרך שלושה ספקי תקשורת בלבד - כלומר מטבעות אלה רחוקים מלהיות "מבוזרים".
חוקרי חברת הסייבר Trail Of Bits טוענים שלמעשה הרעיון של ביזור הבלוקצ'יין מופרך. לטענתם, בפועל ישנן מספר נקודות בהן בלוקצ'יין פועל באופן ממורכז לחלוטין, והדבר מצביע על כך שיכול להיות שהשליטה עליו נמצאת הלכה למעשה בידי מספר קטן של גורמים - חברות, קבוצות או יחידים. בין הנקודות המרכזיות ניתן למצוא מערכות כריית קריפטו עוצמתיות, חולשות מובנות בפרוטוקול הביטקוין וכאמור מספר מצומצם של ספקי תקשורת שמרכזים את רוב תעבורת הקריפטו והבלוקצ'יין.
מעבר לממצא שלמעלה ממחצית תעבורת הביטקוין עוברת דרך מספר מצומצם של ספקי שירות, כמחצית מהתעבורה מוסתרת על ידי רשת TOR. התוצאה היא שספקי השירות יכולים בקלות "לשכתב" את המידע ואת הנתונים שעוברים דרכם על ידי מניעת חלק מהעסקאות שמבוצעות דרכם וכך למנוע העברת תשלומים בין הצדדים.
"אם גורם כלשהו בעל יכולת ניהול ישירה על רשת האינטרנט בארצו יחליט, הוא יכול להתערב באופן בו הנתונים מועברים", אמר מנכ''ל Trail Of Bits, דן גווידו. "כך למשל על ידי האטה או עצירה של תעבורת בלוקצ'יין לגיטימית תוקף יכול להפוך לגורם הרוב בקונצנזוס של מה שנכתב לבלוקצ'יין באותו רגע". כלומר מהרגע שגורם מחליט לשנות את אופי התעבורה, הפרוטוקול ייתן לו את חזקת הרוב שמאפשרת לו לקבוע מי הצדדים של העסקה שנרשמת ביומן הבלוקצ'יין.
הדבר היחיד שהחוקרים מצאו שעומד בטענות תומכי ביזור האינטרנט הוא שפרוטוקולי ההצפנה בשימוש עמידים לניסיונות פריצה - זאת לפחות עד שייכנסו לשימוש מחשבי קוונטיים שיהיו מסוגלים לפרוץ אותה. אבל הצפנה טובה אינה מספיקה, שכן החוקרים מצאו שניתן לעקוף אותה בדרכים יצירתיות, כגון שינויים באופן בו הפרוטוקול מיושם בקרב המוצרים והפלטפורמות של חברות ומפתחי קריפטו ומערכות בלוקצ'יין.
"אנו מאמינים שעד כה הסכנות והסיכונים במערכות בלוקצ'יין וקריפטו לא נחשפו ואפילו הוסתרו או פשוט זכו להתעלמות וללעג בידי אלה שקיוו להרוויח מהבהלה לזהב הקריפטו", כך הצהירו החוקרים.
המחקר, בו השתתפו תשעה מחוקרי החברה, ארך כשנה. הבקשה של DARPA היתה לבחון מהן התכונות הבסיסיות של הבלוקצ'יין ואת הסכנות הפוטנציאליות הנובעות מהן. תזמון פרסום המחקר מעניין שכן בשבועות האחרונים ניכר שהרבה מאוד חברות בתחום סובלות מאובדן אמון גורף מצד המשקיעים ומירידה חדה בהיקפי המסחר במטבעות קריפטו.
הדברים שמופיעים במחקר רחוקים מלהפתיע. אפילו בקהילת הקריפטו היו מי שהרימו את הדגל והזהירו. כך למשל ג'ק דורסי, מייסד טוויטר ומנכ''לה לשעבר, שמהווה קול מאוד חשוב בקהילה הזו, כבר טוען זה זמן רב שהחזון של ווב3 אינו כפי שמתארים אותו חסידיו. "Web3 אינו הרכוש שלכם", צייץ דורסי בדצמבר שעבר, וכתב שהבעלים של ווב3 הם המשקיעים והקרנות. "מדובר בישות ריכוזית עם תיוג חדש".
דורסי אינו היחיד. גם מוקסי מרלינספייק, מייסד אפליקציית הצ'ט המאובטחת והמוצפנת סיגנל, הנתמכת על ידי חלק ניכר מקהילת מגני הפרטיות בעולם, חושב כך. מרלינספייק אף תיאר את החולשות המובנות בחזון של ווב3 בינואר השנה והסביר שהתשתית "המבוזרת" למעשה אינה כזו כלל וכלל: "אני יכול לבנות לעצמי זירת מסחר ל-NFT, אבל זה לא מעניק לי יותר שליטה על פעילות OpenSea אם היא מתווכת לי את הגישה ל-NFT שנמצאים בארנקי המשתמשים".
מנגד, תומכי ווב3 טוענים שהמחקר מגזים בסכנות שהוא מתאר. כך למשל יאן פריצקר, מייסד אפליקציית החיסכון מבוסס ביטקוין Swan וסמנכ''ל הטכנולוגיות של אתר המכירות הפומביות Reverb.com, אומר שרוב החולשות והפרצות שמתוארות במחקר והניצול שלהן לתקיפות הן "תאורטיות לחלוטין".
בשיחה עם רדיו NPR האמריקאי הוא אף תהה אם מקור המחקר, קרי סוכנות ממשלתית, לא השפיע על המסקנות. "המשחק שלהם הוא כיצד לשלוט בכסף וכיצד לבנות מערכות יותר טובות כדי לשלוט בו", אמר פריצקר.
