Зміст
Bitcoin та безпека
6 серпня 2010 року, ще до поширення системи, була помічена помилка, яка дозволяла обійти перевірку, і було можливо сформувати транзакцію з будь-якою кількістю біткойнів на виході. 15 серпня таким чином було створено 184 млрд. біткойнів. Протягом кількох годин угоду було помічено, роботу мережі зупинено, помилкові блоки було видалено з бази транзакцій, випущено виправлену версію програми.
У 2011 році американський експерт систем комп’ютерної безпеки Ден Камінскі намагався зламати Bitcoin, але не зміг знайти вразливості в системі. На думку Дена Камінскі, стійкість до злому системи «Біткойн» обумовлена тим, що при розробці спочатку передбачалася ймовірність різноманітних атак, «у коді є ознаки, що аудит проводили люди на зразок нас».
11 березня 2013 року після виходу версії 0.8 програми-клієнта виявилася несумісність формату блоків із попередньою версією програми. Така несумісність форматів регулярно зустрічається розробки інших програм і зазвичай вирішується шляхом зворотної сумісності. Але в системі “Біткойн” програмний модуль версії 0.7 відкидав блоки нового формату, що призвело до поділу ланцюжка блоків на дві паралельні, які продовжували нарощувати різні версії програми. Відбувся фактичний розкол на дві паралельні платіжні системи. Вирішили терміново відмовитися від версії 0.8. Приблизно через сім годин версія «ланцюжка 0.7» стала стабільно перевищувати «ланцюжок 0.8», який відповідно до протоколу був відкинутий.
В системі «Біткойн» неможливо оскаржити та/або скасувати транзакції, навіть якщо буде доведено, що власник про них не знав і не хотів їх проводити. Якщо у користувача буде вкрадено пароль доступу і біткойни будуть передані на іншу адресу, то потерпілий не зможе з’ясувати, хто це зробив, оскільки адреса одержувача не містить ідентифікаційної інформації. Також немає механізму гарантувати повернення платежу у разі, коли оплата зроблена, але послуга чи товар не отримано. Цим користуються шахраї.
Є безліч повідомлень про використання для крадіжки біткойнів помилок та вразливостей у сторонніх системах. Раніше відома проблема генератора випадкових чисел в ОС Android дозволяє в деяких випадках підібрати електронні ключі, зокрема для системи “Біткойн”. У 2011 році було виявлено помилку обробки непідтверджених транзакцій у системах бухгалтерського обліку багатьох сервісів обміну, яка дозволяла зробити зарахування коштів без передачі біткойнів. Ігнорування цієї проблеми спричинило банкрутство Mt.Gox. Зафіксовано й інші зломи майданчиків обміну та пулів спільного видобутку. Наприкінці 2013 року з транзитних рахунків підпільного магазину Sheep Marketplace було викрадено 96 000 біткойнів, що належали користувачам.
У квітні 2014 року Лабораторія Касперського повідомила про зростання вірусних атак, спрямованих на крадіжки біткойнів, у тому числі через крадіжку файлів із ключами (wallet.dat).
Біткойн-безпека
З точки зору Біткойн-безпеки виділяють 2 напрямки:
- Виконання платежів.
- Блоковий контроль.
Виконання платежів. Для здійснення оплати біткойнів єдине, що потрібно – це приватний ключ адреси, з якої ви хочете здійснити оплату. Тому слід дотримуватися балансу між захистом ключів від несанкціонованого доступу (розкрадання), і водночас мати резервні копії на випадок, якщо ви втратите ключі — є випадки, коли люди утилізували старі ноутбуки, що містять не біткойни, а приватні ключі біткойнів.
Блоковий контроль. Виділяють два основні моменти. По-перше, існує створення блоків («видобуток» або майнінг), яке виконується деякими спеціалізованими вузлами; по-друге, здійснення перевірки блоку, яке виконується усіма вузлами. Як команда незалежних бухгалтерів та аудиторів, які перевіряють одну й ту саму бухгалтерську книгу, сутність біткойна полягає в тому, що багато тисяч незалежних валідаторів блоків братимуть участь у підтримці чесності та прозорості системи. Передбачається, що ця незалежність та взаємна перевірка транзакцій та блоків перешкоджає тому, щоб будь-яка одна людина чи організація додавали невалідні блоки та впливали на систему.
Однак на практиці майнери об’єднують свої зусилля у «майнінгові пули», щоб частіше генерувати блоки. У майнінговому пулі один учасник створює блок-кандидат, а решта отримує можливість «добувати» його. Якщо хтось із учасників виграє, «видобуток» розподіляються між учасниками пулу. Це призводить до того, що кожен учасник отримує винагороду найчастіше, але в меншій сумі, як лотерейний синдикат. Таке згладжування грошових потоків добре працює для окупності вкладень, необхідних для покупки майнінгового обладнання. Як наслідок, власники майнінгового пулу мають більшу владу над мережею біткойнів з точки зору створення блоків, голосування щодо змін протоколу і, можливо, перезапису останніх даних у регістрі.
Не вдаючись у надто глибокі технічні деталі, якщо ви маєте можливість перезаписати останній блок, ви можете «провести» платіж у так званій атаці «подвійної оплати». Ви зробите платіж постачальнику та підтвердите його в блоці. Але якщо ви можете створити пару блоків без оплати постачальнику, тоді мережа оброблятиме «найдовше правило ланцюга» і ігноруватиме перший блок і замість цього використовуватиме більш довгий ланцюжок. Вам також необхідно анулювати початковий платіж, створивши трохи іншу транзакцію, проводячи одні й ті ж біткойни, але платячи собі або своєму другові, а не постачальнику. Якщо ви можете перемістити цю транзакцію в нові блоки, то стара транзакція буде недійсною для мережі.
Ваша здатність робити цю перетасовку збільшується за допомогою «потужності майнінгу», але вона зменшується з віком блоку, який ви намагаєтеся замінити (чим старший блок, тим складніше перезаписати), оскільки кожен блок «вимагає» певного обсягу потужності для створення, і ви конкуруєте з іншою частиною мережі, щоб створювати блоки.
Шахрайство. Важко писати про безпеку біткойнів без згадки Mt Gox, раннього обміну біткойнами. Біткойн-біржі – це сайти, на які ви йдете, щоб купувати або продавати біткойни. Якщо ви хочете купити біткойни, спочатку зробіть банківський переказ на банківський рахунок біржі. Коли вони бачать гроші у своєму банку, вони дозволяють вам робити замовлення на купівлю біткойнів у продавців. Аналогічним чином, продавці повинні відправляти біткойни в гаманці для біткойни обміну, перш ніж система обміну дозволить їм продати біткойни. Обмін діє як умовне депонування, утримуючи гроші та біткойни, а потім звільняє їх після укладання угоди.
Невідомо, що сталося в Gox, але чутки включають крадіжки особистих ключів, погані методи бухгалтерського обліку, що дозволяють людям спочатку торгувати, перш ніж надсилати заставу тощо.
Чи безпечне використання біткойн гаманців?
Це насамперед залежить від того, як ви ним керуєте. Приватні ключі, які зберігаються у вашому гаманці – це єдиний спосіб отримати доступ до управління транзакціями з використанням ваших адрес. Якщо ви їх втратите – ви втратите ваші біткойни. Також якщо ніхто крім вас не має до них доступу, значить ніхто крім вас і не зможе розпоряджатися вашими біткойнами.
Як убезпечити використання свого гаманця?
Є кілька способів зробити процес використання вашого біткойн гаманця більш безпечним:
Зашифрувати гаманець (гаманець)
Один із способів захисту вашого гаманця – застосування надійних паролів. Це ускладнить доступ до вашого гаманця. Однак, це не абсолютне рішення. Не забувайте про безпеку та вашого комп’ютера, адже шкідливі програми-шпигуни (віруси) можуть відслідковувати натискання клавіш та вкрасти ваш пароль – тому подбайте про безпеку користування комп’ютером загалом.
Робіть резервні копії
Якщо ваші приватні ключі зберігаються в одному гаманці, то втрата або пошкодження останнього призведе до втрати біткойнів. Робіть резервні копії вашого гаманця та зберігайте їх у кількох надійних місцях.
Використовуйте офлайн («холодне») сховище
Якщо ви побоюєтеся зберігати біткойни в цифровому вигляді, побоюючись хакерів, є ще один спосіб: «холодне» зберігання. Технічно це зберігання біткойнів у режимі офлайн, коли ваш біткойн гаманець не має підключення до інтернету. Це хороша ідея – зберігати основну частину біткойнів в режимі офлайн і якщо потрібно трохи витратити зробити трансфер потрібної кількості на окремий онлайн гаманець. Багато біткоін клієнти мають опції створення «холодних» сховищ. Також можна зробити повний аналог просто роздрукувавши приватний ключ на папері та зберігати цю інформацію у безпечному місці. Є сайти, що пропонують послуги генерації паперових біткойн гаманців. Вони генерують біткойн адресс і створюють зображення, що містить два QR коди: один публічний адресс, який можна використовувати для прийому біткойнів. Другий – це приватний ключ, який може бути використаний для того, щоб витратити біткойни, отримані на цю адресу.
