Криптовалюта Verge снова атакована

[April 137]

 

Криптовалюта Verge (XVG) стала жертвой еще одной атаки, причем в обоих случаях злоумышленник применил практически идентичную тактику.

 

Verge представляет собой ориентированную на конфиденциальность монету, прославившуюся после того, как сайт pornhub.com начал принимать ее в качестве метода оплаты. В апреле этого года  протокол криптовалюты был взломан, в результате чего были созданы монеты Verge на миллионы долларов, которые злоумышленник благополучно перевел себе в качестве вознаграждения.  

 

Новая атака была практически идентичной, и в ней использовался тот же самый вредоносный код. Стоит отметить, что Verge обладает тремя характеристиками, повышающими риск применения данного эксплойта:

 

1. Verge использует алгоритм подстройки сложности Dark Gravity Wave. Он подстраивает сложность майнинга Verge для каждого блока. Для сравнения, Биткоин настраивает свою сложность каждые 2016 блоков.

2. Verge использует несколько алгоритмов майнинга, разделяя безопасность между ними, в зависимости от доли хэшрейта. 

3. Verge допускает проставление неправильных временных меток, поскольку получить правильные временные метки в децентрализованной системе сложно, а предоставление майнерам определенных поблажек помогает  смягчить ситуацию.

 

Во время первой атаки злоумышленник отправил несколько блоков с неверными временными метками, таким образом, в систему поступила информация, что блоки поступают не в одно время. Как следствие, алгоритм многократно понизил сложность (приблизительно на 99.999999%). После этого, поскольку хэшрейт Verge был разделен между пятью алгоритмами, злоумышленнику было относительно просто провести атаку 51% с одним из этих алгоритмов, отправив все добытые монеты себе в качестве вознаграждения.

 

Главным отличием новой атаки стало то, что на этот раз преступник атаковал сразу два алгоритма добычи -  Scrypt и Lyra2re. Видимо, таким образом он сумел обойти проведенное командой Verge исправление уязвимости. В результате злоумышленнику удалось добыть XVG эквивалентом около 1.5 миллиона долларов.

 

 

Читать полностью

[Fibinum 2]

А я думаю почему whattomine выдаёт нулевую сложность и майнинг с одной карты 24000 $  в сутки. Думал глюк в whattomine, а оно вон как получается.

[D4miner 55]

понятно почему найс перешел на лиру2...

[HolodGLD 1031]

11 минут назад, D4miner сказал:

понятно почему найс перешел на лиру2...

Verge вообще на пяти алгоритмах копается... 

 

Verge использует Proof of Work для обеспечения безопасности сети, и вы можете использовать мои 5 различных алгоритмов: Scrypt, X17, Lyra2rev2, myr-groestl и blake2s, которые были разработаны, чтобы позволить как можно большему количеству людей с различными настройками интеллектуального анализа, чтобы иметь равные доступ к зарабатыванию монет.

https://inp.one/cryptoworld/verge-xvg-kriptovalyuta-obzor

 

Какая-то странная система...

З.Ы. И всё спецом под асики.

Edited 24 May 2018, 07:40 by HolodGLD

[kazahin 6]

Странно конечно, я думал после первого взлома они что-то делать начали,но нет..опять

[Alex Legostev 253]

Самое смешное, что в диджиках и мириаде эта дыра исправлена, разрабам достаточно скопировать чуток кода. Видно, им самим это выгодно, ведь уже 1.5 месяца об этой дыре известно, при том они еще и рассказывали сказки что баг пофиксили.

[kirilskok 0]

Неужели злоумышленики не так и далеки от разработчиков? Кто бы мог подумать???

[TheDoctro 221]

13 минут назад, Alex Legostev сказал:

Самое смешное, что в диджиках и мириаде эта дыра исправлена, разрабам достаточно скопировать чуток кода. Видно, им самим это выгодно, ведь уже 1.5 месяца об этой дыре известно, при том они еще и рассказывали сказки что баг пофиксили.

а где нибудь можно почитать по подробнее про дыру?
если я правильно понял то речь про 51%. не понимаю как от этого можно уберечься 

[Alex Legostev 253]

@TheDoctro 

Атакующий не владел 51 % хэшрейта. 

https://bitcointalk.org/index.php?topic=3256693.1180

 

[Mad_Max 280]

В 24.05.2018 в 16:24, TheDoctro сказал:

а где нибудь можно почитать по подробнее про дыру?
если я правильно понял то речь про 51%. не понимаю как от этого можно уберечься 

 

Как минимум одна большая дыра - нет ограничений на максимальное изменение сложности. Практически во всех нормальных валютах, где сложность добычи для майнеров пересчитывается каждый блок(а не раз в ХХХ блоков как у биткоина, лайта и других классических реализаций) так же есть и ограничение на сколько максимум может измениться сложность за один блок. Обычно это всего несколько % максимум - т.к. пересчет идет каждый блок, то это достаточно быстро, чтобы адаптироваться к изменениям мощностей майнеров, но недостаточно быстро для подобных манипуляций атакующими сеть. + усреднения, когда в расчет берется не время добычи только одного последнего блока, а Х предыдущих блоков - небольшое плавающее окно усреднения, в отличии от большого фиксированного окна у биткоина. 

 

Но тут разрабы этой монеты вдруг решили от этого, уже успешно обкатанного на множестве альтов решения, отказаться - видимо считая, что тормоза придумали трусы разные проверки и ограничения - это для слабаков. Меняем сложность каждый блок, без усреднений, на любое произвольное значение нужное чтобы сразу выйти на целевую скорость добычи блоков. Ну вот и поимели их в эту дыру - всего за несколько десятков десятков блоков скинули сложность в десятки или сотни тысяч раз, почти до "нуля"(минимально возможной сложности с которой монета запускается). А потом на этой микроскопической сложности имея даже небольшую мощность вертели всей сетью как хотели: и атака 51% (при том что 51% мощностей у них и близко не было, но благодаря сбитой сложности они добывали больше 50% блоков) + тупо огромную кучу блоков(десятки тысяч) себе в кошельки намайнили на микроскопической сложности всего за несколько часов (что-то типа Инстамайна, только инстамайн устраивают разрабы или их друзья и только один раз при запуске монеты, а тут уже давно существующей монеты и повторять это можно неоднократно).

 

Плюс вторая дыра в том, что защиты от отматывания времени назад никакой в алгоритме - атакующие сложность сбивали ниже плинтуса тупо добывая блоки с неправильными временными метками, заставляя думать алгоритм что время идет назад, т.е. каждый следующий блок был добыт якобы "раньше" предыдущего.

Т.е. например блок ...5 добыт в 15:30, блок ...6 добыт в 15:25, блок ....7 добыт в 15:20, блок ...8 добыт в 15:15 и так далее.

На что неадекватный алгоритм видя обратное течение времени отвечал кратным снижением сложности каждый блок.

 

При этом разработчики после предыдущей аналогичной атаки вместо того чтобы устранить источник проблемы и главные дыры, т.е. переделать неадекватные алгоритмы пересчета сложности и временных меток на нормальные занимались какой-то левой фигней - лечением припарками.

 

Ну и закономерно их(и всех пользователей монеты) поимели еще раз. И скорее всего скоро поимеют и еще раз, т.к. главные дыры так и не исправлены.

Edited 3 Jun 2018, 16:14 by Mad_Max

[sled 2]

Для трейдеров это только плюс (если конечно разрабы пофиксят баг), т.к. цена упала ниже плинтуса и это хорошая возможность закупиться. Вангую, что рост неизбежен. В даркнете видел некоторые продавцы принимают эту монету, видимо потому, что она завязана на торе.

[AsdSanta 2914]

2 часа назад, sled сказал:

В даркнете видел

тебя как туда вааще пускают то? Спектрум видел - єту видел...........

Вангулист.!