Криптовалюта Bitcoin Gold подверглась атаке по двойной трате средств

24 мая 2018 года

Неизвестный злоумышленник, обладающий доступом к огромным вычислительным ресурсам, сумел воплотить в жизнь атаку по двойной трате средств (double spend attack) для криптовалюты Bitcoin Gold (не путать с Bitcoin), занимающей 18 место в рейтинге криптовалют (размер капитализации Bitcoin Gold на момент атаки составлял 827 млн долларов). На связанном с атакой кошельке в настоящее время находится 388200 BTG, что соответствует примерно 18.6 млн долларов США, предполагается, что все эти средства были получены в результате double-spend атаки на биржи обмена криптовалют.

Для осуществления двойной траты средств атакующему потребовалось получить доступ к колоссальной вычислительной мощности, составляющей как минимум 51% от всей имеющейся в сети Bitcoin Gold мощности расчёта хэшей. Атака была проведена(недоступная ссылка) с 16 по 18 мая и затронула только биржи обмена криптовалют, в которых были обменены крупные суммы. После отправки средств для обмена и получения перевода от биржи, атакующий создавал конфликтующую транзакцию с переводом тех же монет на подконтрольный кошелёк и фиксировал её в блокчейне Bitcoin Gold, пользуясь наличием преобладающей вычислительной мощности, позволяющей контролировать блокчейн.

Атакующий дожидался когда для первой транзакции с переводом накопится достаточно подтверждающих блоков и биржа посчитает перевод совершённым. После этого атакующий передавал в сеть альтернативную ветку с конфликтующей транзакцией и большим числом подтверждённых блоков. Так как при конфликте веток основной признаётся более длинная ветка, подготовленная атакующим альтернативная ветка принималась сетью как основная. Ветка с транзакцией с переводом в биржу отбрасывалась и принималась ветка с переводом на свой кошелёк (т.е. биржа отправляла средства, но перевод ей не фиксировался).

Возможность проведения подобной атаки теоретически описывалась автором биткойна, но атака считалась не реализуемой на практике, так как атакующему требуется доступ к вычислительной мощности, превышающей вычислительную мощность всех майнеров, вовлечённых в подтверждение блоков для атакуемой криптовалюты. Для топовых криптовалют подобные атаки остаются нереальными и поныне, но для криптовалют второго эшелона нашлись злоумышленники, обладающие должными ресурсами (в качестве примера можно напомнить недавнюю атаку на web-кошелёк MyEtherWallet с захватом DNS-сервиса Amazon при помощи BGP). Пока не ясно каким образом удалось получить доступ к столь огромным вычислительным ресурсам, вероятно был задействован ботнет из уязвимых ферм для майнинга.

В ходе нынешней атаки для продвижения фиктивной транзакции было сформировано 22 блока, поэтому для усложнения проведения подобных атак в будущем разработчики Bitcoin Gold рекомендовали биржам обмена криптовалют увеличить до 50 блоков число подтверждений, необходимых для перевода.