Полная версия
КриптодетективЪ – Цепная Безопасность
Являясь критичными аспектами для понимания блокчейнов (скорость, приложения и потенциал), алгоритмы консенсуса определяют все, от сетевой безопасности и скорости подтверждения и до экологичности. Они обуславливают безопасное добавление новых блоков информации в реестр, учитывая нецентрализованное управление сетью.
Без централизованного управления сетью пользователям, с помощью предварительно заданных правил (большинство узлов сети должно достичь консенсуса), необходимо достичь согласия по поводу того, что добавляется в реестр.
доказательство выполнения работы PoW
Один из первых консенсусов, появившийся благодаря блокчейну биткойна, называется "доказательство выполнения работы" (PoW, Proof-of-Work). Он требует, чтобы каждый участвующий в подтверждении пользователь доказал выполнение им вычислительных действий – это необходимо для защиты сети от атак в виде спама или DoS-атак.
Система вознаграждений (токены за время и энергию, потраченные на поиск решения) мотивирует майнеров генерировать верное решение и обеспечивать безопасность сети.
доказательство доли владения PoS
Следующий тип – "доказательство доли владения" (PoS, Proof-of-Stake). Он появился в Peercoin как попытка решить проблемы затрат, эффективности и уязвимости централизации, связанные с доказательством выполнения работы.
Здесь каждый подтверждающий узел сети покупает монеты, используемые в той или иной блокчейн-системе. В определенные интервалы времени выбирается узел, записывающий новый блок (на вес влияет количество монет и время владения токенами). Для осуществления атаки пользователю потребуется завладеть 51% монет всей сети.
делегированное доказательство доли DPoS
Дальнейшее совершенствование – алгоритм "делегированное доказательство доли владения" (DpoS, Delegated Proof-of-Stake). Здесь процесс валидации выполняет группа делегатов, избранных пользователями сети и имеющих отдельные узлы для майнинга блоков.
Поскольку такие делегаты считаются надежными, то это частично решает проблему злонамеренного использования майнерами нескольких блокчейнов с PoS и попыток переписать историю транзакций.
делегированная византийская отказоустойчивость
Параллельно появился консенсус под названием "делегированная византийская отказоустойчивость" (DBFT, Delegated Byzantine Fault Tolerance), которая применяет процесс делегирования голосования для предотвращения раскола блокчейна надвое.
Все алгоритмы консенсусов имеют свои преимущества и недостатки, начиная с необходимости специализированного оборудования и заканчивая высоким энергопотреблением, начиная с подверженных типовым угрозам блокчейнов – заканчивая сложными приватными с усиленным шифрованием.
Для достижения баланса между децентрализацией, скоростью обработки и эффективностью используются гибридные решения. Поиск наиболее оптимального решения осуществляется для конкретных внедрений.
Непрерывно появляется множество других алгоритмов консенсуса, каждый из которых решает уникальные проблемы того или иного применения блокчейна, например лидерский консенсус, Round Robin, федеративный консенсус, доказательство истекшего времени (PoET), практическая византийская отказоустойчивость (PBFT) и производные (резервированная византийская отказоустойчивость RBFT, упрощенная византийская отказоустойчивость SBFT), распределенное совпадение (N2N) и направленные ациклические графы (DAG).
консенсус в сфере безопасности
С появлением новых сфер применения блокчейна одновременно развивается спектр механизмов консенсуса, что спровоцирует новаторское применение и в безопасности (не за горами квантовые блокчейны, в ЛЭТИ прорабатывается данный вопрос), а также в сервисах безопасности (сбор и хранение свидетельств, контроль конфигураций оборудования и пр.).
Есть и текущие проблемы с управлением безопасностью. Техническое руководство ИСО/ТР 23244 помогает обеспечить ясность в вопросе сохранения конфиденциальности личной информации, зачастую являющейся барьером для принятия блокчейн-решений, и демонстрирует, как нужно выявлять и оценивать известные риски, связанные с конфиденциальностью, а также способы их минимизации. Оно охватывает потенциал повышения конфиденциальности блокчейнов и распределенных реестров.
применение смарт-контрактов
Технический отчет ИСО/ТР 23455 с анализом эффективного применения смарт-контрактов (умных договоров), описывающий их суть, алгоритм работы и методы взаимодействия, доступен для ознакомления. Он концептуально определяет область применения смарт-контрактов, представляющих собой компьютерные программы, хранящиеся в распределенных реестрах и предназначенные для автоматизации транзакций, основанных на согласованных условиях, а также повышение безопасности технологии распределенных реестров.
Все это нашло отражение и в международных стандартах технологии блокчейн, которые повышают уровень информированности о ней и поддерживают ее внедрение безопасным способом (чем активно занимается ИСО/ТК 307 "Блокчейн и распределенные реестры").
Таким образом, использование блокчейнов распространилось далеко за пределы финансового сектора (ипотечные кредиты и закладные, банк Дом.рф) – от здравоохранения (управляемая пользователем конфиденциальность) до сельского хозяйства. Технология привлекательна для многих отраслей промышленности (IIoT, контроль подрядчиков) и органов власти (кадастровые реестры, Росреестр), поскольку позволяет регистрировать сделки прозрачным и безопасным способом, повышая доверие, ограничивая посредников и снижая издержки.
Например, в российском "Мастерчейне" на базе блокчейна Ethereum используется ГОСТ-шифрование с соответствующим процессом идентификации пользователей. По меньшей мере три компании в Санкт-Петербурге занимаются разработкой смарт-контрактов, а также предоставляют услуги по аудиту их логики и безопасности.
Финансовая отрасль на текущий момент не основная. Больше внедрений и тестов в логистике, добыче природных ресурсов и различных сетях промышленного Интернета вещей (IIoT). Репутационные блокчейны применяются для анализа финансовых транзакций и сохранения результатов по субъектам.
ИСО/ТК 307 для опубликования планируется еще ряд стандартов и документов, таких как практика применения, эталонная архитектура, рекомендации по системе управления.
На сегодня наиболее совершенный математически и с точки зрения безопасности, конечно же, блокчейн первой криптовалюты. Он уже больше 10 лет справляется с атаками, оптимизируется и активно масштабируется. А наиболее слабые – децентрализованные приложения, DApps и новая технология De-Fi.
На сегодня доступны: Блокчейн и распределенные реестры: терминология (ИСО 22739:2020), рассуждения по защите конфиденциальности и персональных данных (ИСО/ТР 23244:2020), обзор и взаимодействие между смарт-контрактами в блокчейнах и распределенных реестрах (ИСО/ТР 23455:2019).
блокчейн в России
В данном подразделе представлен материал, на основе моих ответов, опубликованных в журнале «Информационная безопасность» по итогам круглого стола (Блокчейн в России: взгляд сквозь призму практики), прошедшего весной 2024 года34.
Кажется, мы стали забывать, что блокчейн как технология обладает многогранным потенциалом и выходит далеко за рамки криптовалют. Практические российские проекты в этой сфере имеют свои особенности, учитывающие не только специфику предметной области и требования законодательства, но и опыт криптовалютных реализаций блокчейна, как позитивный, так и негативный. Эксперты с практическим опытом в области блокчейнов ответили на вопросы журнала «Информационная безопасность».
Первый вопрос был о том, востребованы ли в России решения на основе блокчейнов, но не связанные с криптовалютами и цифровыми финансовыми активами?
Да. Например, сервис ЕДРИД (Единый депозитарий результатов интеллектуальной деятельности), который работает уже более шести лет и позволяет оформить авторское право.
В онлайн-сервисе писатели, программисты, дизайнеры, фотографы, музыканты и ученые могут защитить свое авторское произведение (разместить на хранение электронную версию произведения) и получить документ в виде бумажного авторского свидетельства с несколькими степенями защиты.
Второй вопрос был о том, в чем основные практические преимущества решений на основе блокчейна по сравнению с традиционной архитектурой?
1. Надежная защита на уровне криптографии (депонирование в электронном депозитарии подтверждает существование в определенный момент времени произведения при помощи цифровой подписи, электронного штампа времени и хеш-кода депонирования).
2. Быстрый и оптимальный по стоимости способ фиксации объекта прав (первым в мире реализовал способ фиксации времени депонирования авторского произведения в распределенном реестре).
3. Быстрый поиск аналогов по российским и иностранным базам при регистрации объекта авторских прав (и дальнейшая защита в соответствии с российским и международным законодательством).
4. К примеру, регистрация одного произведения заняла у меня один час и стоила 1200 руб. На следующий день уже поступило свидетельство на электронную почту (в Роспатенте рассматривают 2–3 месяца и стоит 25 тыс. руб.)
Далее обсудили наличие технологических особенностей реализации систем на основе блокчейна в России?
Если говорить об операторах выпуска или обмена ЦФА (регулирует деятельность которых Банк России), то, скорее всего, речь будет идти о приватных (частных) блокчейнах. А так как для финансового сектора есть жесткие требования по защите информации, то потребуется и отечественная криптография.
По итогу обсудили, и какие технологические возможности стоит учесть в российских системах, с учетом опыта криптовалютных блокчейнов, каких ошибок лучше избежать?
Многие проекты в нашей стране начинались из открытых проектов или путем создания форков (новых веток). Важно купировать выявленные за это время уязвимости и учитывать наработки сообщества по совершенствованию алгоритмов этих блокчейнов.
Необходимо соблюдать баланс между уровнем децентрализации и анонимностью. Не нужно забывать про формирование единой экосистемы и унификацию блокчейнов и смарт-контрактов, обращать внимание на формирование инновационной культуры и спроса на инновационную деятельность.
А также, как применение блокчейнов увязывается с текущим законодательством?
В сфере ЦФА важны локализация и суверенитет. Так, операторы должны использовать продукты из реестра отечественного ПО, российскую криптографию и иметь лицензию ЦБ РФ. На практике мы видим скорее применение частных (но иностранных) блокчейнов с достаточно надежным шифрованием, соответствующим международным стандартам защищенности.
Если говорить о перспективах развития 115-ФЗ и его оптимизации, то необходимо создание единого оператора по KYC/AML, который будет хранить информацию о клиентах и рисках во внутреннем блокчейне (и предоставлять доступ операторам ЦФА и банкам, для которых процедуры слишком ресурсоемки). На сегодняшний день техническая возможность для этого уже есть.
мастерчейн
Есть и позитивное движение по использованию блокчейн-технологий. В сентябре 2021 года российское правительство утвердило использование блокчейн-платформы «Мастерчейн» для обмена данными в рамках эксперимента по цифровой ипотеке.
В компании «Системы распределительного реестра», которая является оператором «Мастерчейн», платформу используют для обмена информацией между депозитариями по учёту и хранению электронных закладных и Росреестром. Цель эксперимента, перевод закладных по ипотеке из бумажного в электронный вид. Начать его планируют к декабрю 2021 года.
14 сентября 2021 года, Федеральная государственная информационная система «Госчейн» и информационная система «Мастерчейн» были включены в инфраструктуру, обеспечивающую информационно-технологическое взаимодействие информационных систем.
Правительство РФ постановлением №1472 от 2 сентября 2021 года определило: Единую систему межведомственного электронного взаимодействия и федеральную государственную информационную систему (ФГИС) «Госчейн» – в качестве информационных систем, с использованием которых осуществляется информационное взаимодействие федерального органа исполнительной власти, уполномоченного Правительством РФ на осуществление государственного кадастрового учета, государственной регистрации прав, ведение Единого государственного реестра недвижимости (ЕГРН) и предоставление сведений, содержащихся в ЕГРН, и депозитария, осуществляющего хранение электронной закладной или обездвиженной документарной закладной.
Информационную систему «Мастерчейн», основанную на технологии распределенных реестров, в качестве информационной системы, с использованием которой осуществляется информационное взаимодействие федерального органа исполнительной власти, уполномоченного Правительством РФ на осуществление государственного кадастрового учета, государственной регистрации прав, ведение ЕГРН и предоставление сведений, содержащихся в нем, и депозитария, осуществляющего хранение электронной закладной.
В единый комплекс информационно-технологических и телекоммуникационных элементов, определенный «Положением об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме» (утверждено постановлением Правительства РФ от 8 июня 2011 года № 451) включены:
– Федеральная государственная информационная система «Госчейн»;
– Информационная система «Мастерчейн», основанная на технологии распределенных реестров, в части компонентов, необходимых и достаточных для создания федеральной государственной информационной системы «Госчейн».
Министерству цифрового развития, связи и массовых коммуникаций РФ поручено обеспечить утверждение «Положения о федеральной государственной информационной системе «Госчейн»» в срок не позднее 3 месяцев со дня окончания эксперимента, предусмотренного постановлением Правительства Российской Федерации от 2 сентября 2021 года № 1471 «О проведении эксперимента по апробации способа взаимодействия между депозитарием, осуществляющим хранение электронной закладной, и федеральным органом исполнительной власти, осуществляющим функции по государственной регистрации прав на недвижимое имущество и сделок с ним, с применением информационной системы «Мастерчейн», основанной на технологии распределенных реестров»35.
криптовалюта
Криптовалюта – это цифровая или виртуальная валюта, которая использует криптографию для обеспечения безопасности и защиты транзакций. В отличие от традиционных валют, криптовалюты децентрализованы и обычно функционируют на основе технологии блокчейн. Вот несколько ключевых характеристик криптовалют:
1. Децентрализация. Криптовалюты не контролируются центральными банками или правительствами. Вместо этого они управляются распределенной сетью компьютеров (узлов), которые участвуют в обработке и подтверждении транзакций.
2. Блокчейн. Это технология, лежащая в основе большинства криптовалют. Блокчейн представляет собой публичный реестр, в котором записываются все транзакции. Каждая новая транзакция добавляется в "блок", который затем связывается с предыдущими блоками, образуя цепочку.
3. Безопасность. Криптография используется для защиты данных и обеспечения безопасности транзакций. Это делает криптовалюты более устойчивыми к мошенничеству и подделкам.
4. Анонимность. Многие криптовалюты предлагают определенный уровень анонимности, хотя это зависит от конкретной валюты и используемых технологий.
5. Ограниченное предложение. Некоторые криптовалюты имеют ограниченное количество монет, которые могут быть созданы (например, Bitcoin имеет максимальное предложение в 21 миллион монет). Это может влиять на их стоимость и воспринимаемую ценность.
6. Торговля и использование. Криптовалюты могут использоваться для различных целей, включая инвестиции, переводы средств, оплату товаров и услуг, а также в качестве средства сбережения.
Популярные примеры криптовалют включают Bitcoin (BTC), Ethereum (ETH), Ripple (XRP) и Litecoin (LTC). Каждая из них имеет свои уникальные особенности и предназначение.
На изображении представлены 10 ведущих криптовалют, по данным аналитического сервиса
CoinMarketCap,
по состоянию на 27.12.2024, с их ценой и капитализацией.
Litecoin
Litecoin (LTC) – это криптовалюта, созданная в 2011 году Чарли Ли, бывшим инженером Google. Litecoin был разработан как "легкая версия Bitcoin" и предназначен для более быстрых и дешевых транзакций. Вот некоторые ключевые характеристики Litecoin:
1. Технология. Litecoin основан на технологии блокчейн, аналогичной Bitcoin, но с некоторыми изменениями, которые делают его более эффективным.
2. Скорость транзакций. Одним из основных преимуществ Litecoin является скорость обработки транзакций. В то время как Bitcoin имеет время блока около 10 минут, Litecoin генерирует новые блоки примерно каждые 2.5 минуты. Это позволяет быстрее подтверждать транзакции.
3. Алгоритм хэширования. Litecoin использует алгоритм Scrypt для майнинга, в отличие от Bitcoin, который использует SHA-256. Алгоритм Scrypt менее требователен к вычислительным ресурсам и позволяет более широкому кругу пользователей участвовать в процессе майнинга.
4. Общее предложение. Максимальное количество Litecoin, которое может быть создано, составляет 84 миллиона монет, что в четыре раза больше, чем у Bitcoin.
5. Применение. Litecoin можно использовать для онлайн-платежей, перевода средств и в качестве средства хранения ценности. Он также поддерживается многими криптовалютными биржами и кошельками.
6. Сообщество и развитие. Litecoin имеет активное сообщество разработчиков и пользователей, что способствует его дальнейшему развитию и внедрению новых технологий, таких как Lightning Network для улучшения масштабируемости.
Litecoin часто рассматривается как тестовая площадка для новых функций, которые затем могут быть внедрены в Bitcoin, благодаря чему он остается важной частью экосистемы криптовалют.
формат адреса
У LTC следующий формат адреса, похожий на биткойн.
P2SH – тип адреса, который начинается с "3" и "M". Чтобы потратить Litecoin, отправленные через P2SH, получатель должен предоставить скрипт, соответствующий хэшу скрипта и данным, что делает скрипт верным. Адреса LTC и BTC были очень похожи, поэтому создателями было принято решение создать новый тип адреса с префиксом "M" для избежания ошибок со стороны пользователей.
Устаревший формат: 3LpLGam2zqr9abEhjsW7t99g81Bavt3wY7
Обновлённый формат: MT2UaUAzwxhaP6WbqkVThnQ5Shn2zYZEh6
Существует специальный конвертер для преобразования старых LTC адресов в новый формат – CryptoLocalATM36.
Bech32 или P2WPKH – это усовершенствованный тип адресов, используемый для уменьшения размера блоков блокчейна и для ускорения времени отклика транзакций. Является родным форматом адресации Segwit (P2SH также может быть Segwit адресом), поэтому обычно под Segwit понимается Bech32. Преимуществом является самая низкая комиссия за отправку транзакций и высокая скорость их обработки.
Пример адреса: ltc1qv43gel3n5hktls3tl0rpz3qrt98t0pavgaec9w
криптовалютные биржи и обменники
Сюда относятся торговые платформы, где можно купить, продать или обменять цифровые валюты. На многих есть функционал трейдинга (покупка и продажа различных цифровых валют с целью получения прибыли).
Существует два основных вида криптобирж: централизованные и децентрализованные. Централизованные криптобиржи управляются центральным органом, который контролирует все операции.
К ним относятся, например, Binance, Bybit, Coinbase, OKX, Upbit и т.д.
Децентрализованные (DEX) работают на распределенной основе, обеспечивая более высокий уровень приватности и контроля. К таковым относятся
Raydium, Curve, Uniswap v2, PancakeSwap v3, Orca
и пр.
Биржи могут также поддерживать разные виды торговли – спотовая или фьючерсная, а также p2p-обмен. При выборе следует учитывать размер торговых комиссий, которые могут существенно варьироваться от одной площадки к другой.
Криптобиржа может быть анонимной или требовать верификацию личности (регулируемые и нерегулируемые). С поддержкой фиата и без таковой.
Рассмотрим подробнее криптобиржи с внедрёнными KYC (AML). Так, проверка KYC («Знай своего клиента») – стандартная современная практика для банков и прочих финансовых учреждений. Регулируемые криптобиржи, которые стремятся соответствовать требованиям законодательства, обязательно запрашивают прохождение такой проверки при определенных условиях (если нужно открыть дополнительные функции или расширить лимиты на вывод).
Биржи с AML – те, которые внедрили у себя проверку транзакций с целью противодействия отмыванию доходов, полученных преступным путем. Борьба с отмыванием денежных средств подразумевает взаимодействие площадки с правоохранительными и судебными органами, органами исполнительной и законодательной власти, финансовой разведкой, контрольно-надзорными органами.
Большинство бирж позволяют торговать без верификации, если не превышать установленные лимиты. Но есть и такие, где без KYC нельзя сделать фактически ничего, начиная с пополнения счета. И таких становится всё больше.
Подробнее все упомянутые рекомендации и процедуры рассматриваются в разделе «Криптокомплаенс».
угрозы биржам
20 мая 2020 года была опубликована новость, что из-за собственной халатности криптовалютные биржи рискуют потерять $18 млн., поскольку они не уделяют должного внимания защите конфиденциальных данных37.
По мере роста популярности биткойна в частности и криптовалюты в целом увеличивается количество криптовалютных бирж. По данным Cryptimi, на тот момент времени насчитывалось порядка 18 988 площадок для обмена криптовалюты, а по данным Bloomberg, доход криптовалютных бирж составлял $3 млн в день и $1 млрд в год.
В связи с этим в игру активно включаются мелкие криптовалютные биржи, уделяющие безопасности недостаточно внимания.
Исследовательская группа CyberNews решила выяснить, насколько безопасными являются криптовалютные биржи. В ходе исследования специалисты сканировали интернет в поисках открытых баз данных MongoDB и сопоставляли их с ключевыми словами. После фильтрации с помощью ключевых слов исследователи вручную проверили каждую БД на предмет наличия в них чувствительной информации.
Как оказалось, в ходе исследования БД, одна из крупнейших криптовалютных бирж хранила более $16,5 млн в аппаратных («холодных») кошельках и было обнаружено порядка 80 тыс. утекших закрытых ключей. Утекшими также оказались ключи RPC её майннета с балансом в $25 тыс.
Кроме того, выяснилось, что китайская биржа Hubdex, чьи клиенты держали на счетах до $52 тыс., не шифрует данные KYC – идентификационные карты и водительские права может с легкостью загрузить любой желающий. Швейцарская биржа Lykke также не шифрует данные KYC и ключи API других бирж, которые позволяют злоумышленникам с легкостью снять чужие деньги.
Общий баланс на всех обнаруженных исследователями незащищенных площадках составлял как минимум $18 млн. Исследователи попытались связаться с двумя «проблемными» биржами. Представители Lykke незамедлительно ответили специалистами и предупредили своих клиентов об утечке. Электронный адрес Hubdex оказался недействительным.
криптовалютные кошельки
Криптовалюта не лежит на кошельках, это всего лишь способ хранения закрытого (секретного) ключа. Примерно как на пластиковой банковской карте нет самих денег, она лишь открывает доступ к банковскому счету. Кошельки – это программные или аппаратные средства, которые подвержены уязвимостям. Разберемся, в чем их особенность и какими методами обеспечивается информационная безопасность в этой области38.
категории кошельков
Всё огромное множество криптокошельков можно поделить на 2 большие категории: холодные и горячие криптокошельки. К первым относят аппаратные, т.е. те, к которым есть доступ физически. К горячим относятся браузерные или мобильные приложения.