Blockchain is niet zo veilig als gedacht volgens DARPA-onderzoek

De blockchain technologie is niet zo veilig als altijd werd aangenomen. Dat wijst een recent DARPA onderzoek uit. De research is gesponsord door de Amerikaanse overheid.

Niet zo gedecentraliseerd als werd aangenomen

Het onderzoek werpt een nieuw licht op de veiligheid van de blockchain technologie. Deze is niet zo gedecentraliseerd als altijd werd aangenomen. 

Zo blijkt dat de subset van de deelnemers aan een gedistribueerd grootboek controle kan krijgen over het hele systeem. De studie met de bevindingen kun je hier teruglezen. 

Veiligheid van het grootboek is discutabel

IT-beveiligers van Trail of Bits voeren het onderzoek uit in opdracht van de DARPA. De studie toont aan dat de veiligheid van het gedistribueerde grootboek discutabel is. 

Veel cryptocurrencies vertrouwen op dit grootboek. Waaronder ook Bitcoin. Van deze nodes draaide 21% op een oude versie van de Bitcoin Core. Zoals algemeen bekend was deze kwetsbaar in juni 2021. 

Factoren die het consensus protocol ondermijnen

Het onderzoek richt zich op de factoren die de eigenschappen van de netwerken, het consensus protocol en de implementatie van een blockchain kunnen ondermijnen. 

De studie richt zich niet op het onderzoek van aanvallen die gericht zijn op kwetsbaarheden binnen de wereld van cryptocurrencies. 

Blockchain basis van Web3 technologieën

Blockchain ligt aan de basis van diverse Web3 technologieën. Zoals crypto's en niet-fungibele tokens of NFT. Daardoor ontstaat een lucratieve, volatiele en uitgesproken subgroep van de tech industrie.

De onderzoekers ontdekken dat de zwakke punten in de blockchain te maken kunnen hebben met een versie controle van software. Deze zorgen bijvoorbeeld voor het aansturen van de netwerk knooppunten.

Bitcoin verkeer niet versleuteld

De studie toont ook aan dat Bitcoin verkeer niet versleuteld is. En dat heeft behoorlijke gevolgen. Dit betekent dat iedereen op de netwerkroute tussen nodes alle berichten kan zien en droppen.

Zoals bijvoorbeeld ISP’S, Wi-Fi beheerders en overheidsinstellingen. Het rapport wijst uit dat 60% van al het Bitcoin verkeer slechts 3 ISP’S passeert.

Veilig werken is de waardepropositie

Volgens de onderzoekers zijn er verschillende gedistribueerde grootboeken technologieën op basis van diverse ontwerpen. De waardepropositie van grootboeken en blockchains is dat ze veilig kunnen werken.

Dat moet kunnen zonder enige gecentraliseerde controle. De protocollen op laag niveau die de veiligheid van het grootboek ondersteunen zijn goed. Toch kunnen ook hier vraagtekens bij worden gezet.

Zeker bij de claim van onveranderlijkheid door implementatie beslissingen. In een reactie daarop laten de onderzoekers het volgende weten:

"We hebben aangetoond dat een subset van deelnemers buitensporige, gecentraliseerde controle over het hele systeem kan krijgen." 

Niet alle nodes dragen bij aan consensus voor Bitcoin miners

Een ander specifiek zwak punt voor Bitcoin is dat niet alle nodes in gelijke mate bijdragen aan het bereiken van consensus voor de miners van de koningsmunt.

Dit zijn de partijen die verantwoordelijk zijn voor de proof-of-work die eenheden van de cryptocurrency creëert. In het onderzoek van de DARPA is daar het volgende over te lezen:

"Een dicht en mogelijk niet schaal-vrij subnetwerk van Bitcoin knooppunten blijkt grotendeels verantwoordelijk te zijn voor het bereiken van consensus en de communicatie met miners. De overgrote meerderheid van de knooppunten draagt niet zinvol bij aan de gezondheid van het netwerk."

Veranderingen zorgen ook voor kwetsbaarheden

De combinatie van veranderingen in de veronderstellingen die aan Bitcoin ten grondslag liggen zorgen mogelijk ook voor kwetsbaarheden. Dat komt omdat miners gebruik maken van selecte software tools.

De onderzoekers zeggen dat Bitcoin was gebaseerd op de aanname dat elk knooppunt in het consensus netwerk ook de munten zou delven. Maar toen het mijnen moeilijker werd ontstonden er pools.

Zo werden zowel de mining kracht als de beloningen gebundeld. De onderzoekers verklaren :

"Vandaag de dag zijn de 4 populairste mijnbouwpools goed voor 51% van de hashrate van Bitcoin. Elke pool werkt met een eigen gepatenteerd en gecentraliseerd protocol."

"Het heeft alleen interactie met het Bitcoin netwerk via een gateway node. Dat wil zeggen dat er maar weinig nodes deelnemen aan de consensus namens de meerderheid van de hashrate van het netwerk." 

Drempel van 51% aanval naar beneden

De onderzoekers stellen dat dit de drempel voor een zogenaamde 51% aanval doet verlagen. 

"Als het eigenbelang van een node operator is om oneerlijk te zijn, dan is er geen expliciete straf. Bovendien werd het aantal entiteiten dat nodig is om een 51% aanval op Bitcoin uit te voeren teruggebracht. Van 51% van het hele netwerk tot alleen de 4 populairste mining pool nodes." 

"Een subset van de deelnemers aan een blockchain kan buitensporige, gecentraliseerde controle over het hele systeem verkrijgen. De meerderheid van de Bitcoin knooppunten heeft aanzienlijke stimulansen om zich oneerlijk te gedragen. In feite is er geen bekende manier om een toestemming vrije blockchain te creëren die ongevoelig is voor kwaadwillige knooppunten zonder een vertrouwde derde partij te hebben."