A pressão sobre as vulnerabilidades da rede de raios Bitcoin irá fortalecê-la

Vulneráveis, mas nunca explorados

Para todas as vulnerabilidades do protocolo da rede Relâmpago, ninguém as explorou ainda. Parece que, neste momento, ou eles são muito difíceis de serem explorados pela maioria dos hackers ou não há o suficiente em jogo nos canais Lightning para justificar o esforço, disse Joost Jager, um engenheiro independente da rede Lightning, à CoinDesk.
Assine a Blockchain Bites, nossa atualização diária com as últimas histórias.
Ao se inscrever, você receberá e-mails sobre os produtos CoinDesk e concorda com nossos termos e condições e política de privacidade.

De fato, o número total de técnicos que entendem Bitcoin Pro e sua Rede Relâmpago dentro e fora poderia caber dentro de uma pequena sala. Junte isso ao fato de que o Lightning não é um pote de mel suficientemente grande para os hackers se preocuparem em explorar e você tem uma resposta para a razão pela qual a rede não tem sido alvo de atores maliciosos.

Além disso, a maioria das pessoas que usam o Lightning agora mesmo é amigável e não é excessiva, portanto as coisas têm permanecido geralmente pacíficas na fronteira de escalada do Bitcoin.

Até certo ponto, no entanto, a Jager acolheria de bom grado um pouco de adversidade. Afinal, está tudo bem e bom ter vulnerabilidades que ninguém explora, mas o que acontece quando o „kumbaya“ pára, os atacantes ficam espertos e o Relâmpago tem dinheiro suficiente para justificar um ataque?

Antes que esse dia chegue, Jager gostaria de ver mais „testes de batalha“ da rede de raios para que esses vetores de ataque não sejam ignorados até que não possam mais ser ignorados.

„Acho que ajudaria se Lightning se tornasse um alvo para os hackers“. Porque neste momento tudo é tão amigável; não está realmente testado. Eu acho que seria bom nesta fase, porque ajuda a estabelecer suas prioridades. Se você está sob ataque, então você precisa lidar com o ataque. E se você não puder, então existem fundamentos que você tem que abordar“.

„Quase parece que você vai preparar a Terra para um meteoro que destruirá a vida, mas isso ainda não aconteceu! Se não houver um ataque real, então é difícil manter a atenção sobre estes problemas“.

Como Jager apontou, todos os atores dominantes da rede hoje estão mais focados na colaboração do que em subterfúgios.

„Todas as pessoas que estão construindo no momento são todas amigáveis e só querem fazer com que o Lightning funcione e tenha sucesso“, disse Jager à CoinDesk.

„A exploração da LN requer um forte conhecimento tanto sobre os internos Bitcoin quanto sobre os Lightning. A partir de hoje este conhecimento não está difundido, o que é um bom começo para explicar porque não é explorado“, disse Antoine Riard, um Desenvolvedor de Relâmpagos para Chaincode Labs, à CoinDesk.

„De um ponto de vista puro e holístico, se você tem este nível de habilidades é provavelmente mais lucrativo roubar de mais uma cadeia de bloqueio insegura onde há muito mais fundos do que na soma de todos os canais de relâmpagos“.
Podemos consertá-lo? Sim, mas…

No entanto, os desenvolvedores já estão trabalhando em vários consertos – mas não é tão simples quanto apenas implantar uma atualização.

Das vulnerabilidades descobertas (e descritas na primeira parte), o chamado ataque de luto – onde um atacante pode bloquear um canal de enviar ou receber pagamentos através de spam com contratos de hash-time-lock (HTLCs) – é o mais antigo e o menos grave, já que os fundos não podem ser roubados através do ataque, apenas congelados. Outros, como inundações e saques, outro ataque que envolve o envio de spam aos canais de pagamento da vítima com HTLCs, pode resultar em perda de fundos.

Outros ainda, como os ataques de pinagem e de dilatação temporal, envolvem a exploração da estrutura de taxas da Lightning para comprometer o equilíbrio do canal de pagamento de uma vítima.

Para aquelas vulnerabilidades que capitalizam os mecanismos de taxas da Rede Relâmpago, Riard disse à CoinDesk, uma nova atualização da transação, lançada em abril com uma atualização do LND, „dá um passo à frente“ para resolver estes pontos fracos. A Rede de Raios Bitcoin é vulnerável ao ’saque‘:

 

Sito della campagna Crypto Scam Targets Trump’s Campaign

Il 28 ottobre 2020, il sito web ufficiale del presidente Trump è stato recentemente violato nell’ambito di una truffa criptata. Il suo team sta attualmente esaminando la questione. Secondo un messaggio lasciato sul sito [www.donaldjtrump.com], i truffatori hanno affermato: „Il mondo ne ha abbastanza delle notizie false diffuse [sic] ogni giorno“.

L’impatto dell’hack

Secondo il team della campagna, non c’è stata alcuna fuga di dati sensibili. Il motivo è che sul sito non sono stati memorizzati dati sensibili. Da allora hanno ripristinato il sito. Diversi screenshot sono stati diffusi online. Questi screenshot mostravano brevemente il sito e mostravano i messaggi inviati dagli hacker.

Secondo il testo, che era accompagnato da badge del Dipartimento di Giustizia e dell’FBI, gli hacker volevano che il mondo sapesse la verità. Essi sostenevano di aver ottenuto l’accesso a diversi dispositivi, che avevano dato loro accesso a Trump e alla sua famiglia.

Inoltre, gli hacker hanno affermato di avere la prova che l’amministrazione Trump aveva intenzionalmente diffuso COVID19. Inoltre, hanno affermato che il governo aveva pianificato di interferire nelle elezioni presidenziali, previste per il 3 novembre 2020.

La truffa di Crypto

Dopo tutti quei messaggi che facevano affermazioni assurde, i truffatori hanno chiesto una donazione criptata in cambio delle informazioni che avevano acquisito. Tuttavia, finora non è stata fatta trapelare alcuna informazione a prova delle accuse fatte. Inoltre, il direttore della campagna di Trump ha negato la perdita di qualsiasi informazione sensibile da parte degli hacker.

Secondo un tweet di Tim Murtaugh, direttore della campagna di comunicazione di Trump, il sito web della campagna è stato deturpato in precedenza. Ora stanno lavorando con le forze dell’ordine per indagare sull’origine dell’attacco. Egli ha ribadito che non è stato esposto alcun dato sensibile in quanto non ce n’era nessuno memorizzato sul sito. Ha concluso affermando che il sito è stato ripristinato.

All’inizio di questa sera, il sito web della campagna Trump è stato deturpato e stiamo lavorando con le forze dell’ordine per indagare sulla fonte dell’attacco. Non vi è stata alcuna esposizione a dati sensibili perché nessuno di essi è effettivamente memorizzato sul sito. Il sito web è stato ripristinato.

Le conseguenze

La deturpazione di siti web è considerata un vandalismo informatico di basso livello. È come se qualcuno usasse vernice spray per vandalizzare una proprietà privata. L’hackeraggio è durato solo 30 minuti prima che il team di Trump si riprendesse il sito.

Anche se si è trattato di un attacco di basso livello, il fatto che abbiano usato il crypto potrebbe alzare un po‘ la posta in gioco. Alla fine di agosto gli hacker sono riusciti a rubare le password degli account Twitter di varie personalità di spicco. L’hacker stesso era di livello relativamente basso.

Tuttavia, poiché sono riusciti ad aggiungere un indirizzo Bitcoin Code, sono riusciti ad impadronirsi di oltre centomila Bitcoin. Di conseguenza, quello che poteva essere un attacco di basso livello ha finito per essere una truffa che valeva centinaia di migliaia di dollari.

Non si sa se i truffatori siano riusciti a ricevere un qualsiasi criptaggio nel loro indirizzo criptato. Tuttavia, ciò espone i pericoli di una sicurezza lassista sui forum pubblici. Mentre l’hacker stesso è di livello relativamente basso, l’accesso a una tale piattaforma disponibile al pubblico potrebbe potenzialmente mettere in rete milioni di hacker in crypto.

Le autorità di regolamentazione statunitensi potrebbero usare l’hacker come scusa per imporre restrizioni più severe al settore crittografico. L’hacking di un sito web così prominente aiuterà a raccontare ulteriormente che il cripto è usato solo dai criminali. Anche se questo non è vero, la persona media non lo sa. Potrebbe persino portare all’imposizione di una legislazione severa al settore dei criptoscopi per fermare i „criminali“. Gli incidenti evidenziano come le azioni negative di alcuni potrebbero potenzialmente ostacolare la crescita del settore dei crittografi.