De IOTA-hash-kwetsbaarheid die beleggers bang maakt

Voor die mensen die deze week de IOTA-tokenprijs volgden, zullen ze hebben gemerkt dat er aanzienlijke neerwaartse bewegingen waren op het nieuws van een cryptografische kwetsbaarheid.

De kwetsbaarheid werd ontdekt door een team van onderzoekers van MIT en Boston University. Ze werden voor het eerst achterdochtig over de mogelijkheid van een kwetsbaarheid in het hashing-proces toen ze hoorden dat het ontwikkelingsteam bij IOTA hun eigen hashing-functie had gecreëerd.

Dit was een rode vlag voor hen, omdat ze wisten dat dergelijke functies ongelooflijk complex zijn en jaren van werk en ontwikkeling vergen. Bijvoorbeeld de SHA-3-hashing Function heeft meer dan 9 jaar nodig gehad om zich te ontwikkelen via een cryptografiewedstrijd met enkele van de slimste koppen in de branche.

Ze besloten toen om de openbaar beschikbare code op Github te onderzoeken en vonden de kwetsbaarheid in de hashing-functie. Meer in het bijzonder ontdekten ze dat het hash-algoritme in staat was om ‘botsingen’ te produceren.

Je zou gedacht hebben dat de 8e grootste cryptovaluta qua marktkapitalisatie met tal van sponsors van Microsoft tot Cisco, UCL tot BNY Mellon het belang zou hebben geweten van het gebruik van alleen de meest gevestigde protocollen.

Wat is een botsing?

Een hash-botsing is wanneer een hash-functie met twee afzonderlijke inputs in staat is om naar dezelfde output te hashen. Dit is potentieel rampzalig voor elke cryptovaluta, omdat het de mogelijkheid biedt dat kwaadwillende actoren de hashfunctie kunnen kraken en handtekeningen kunnen vervalsen.

Het hele doel van hash-functies is dat het slechts eenrichtingsfuncties zijn. Met andere woorden, gegeven een uitvoer is het uiterst onwaarschijnlijk dat u een invoer zou kunnen vinden. Evenzo zou zelfs een minieme wijziging in de invoer een geheel andere uitvoer moeten opleveren.

Dit wordt gedaan zodat deze met een bepaalde privésleutel of handtekening alleen voor jou uniek zou zijn en dat niemand een andere privésleutel zou kunnen gebruiken die dezelfde hash zou kunnen produceren. Bij een aanrijding is dit niet het geval.

Als iemand een andere privésleutel kan gebruiken die naar uw openbare sleutel zou hashen, heeft u de mogelijkheid om uw handtekening te vervalsen. Wanneer iemand uw handtekening kan vervalsen, kan hij op frauduleuze wijze geld overmaken. Inderdaad, volgens Bruce Schneier

In 2017 is het een beginnersfout om uw crypto-algoritme kwetsbaar te maken voor differentiële cryptanalyse.

IOTA en marktreactie

Toen de onderzoekers IOTA in juli op de hoogte brachten van de kwetsbaarheid voor botsingen, merkten de ontwikkelaars dit snel op. Ze brachten in augustus een patch uit die niet langer de kwetsbaarheden leek te hebben die de onderzoekers vonden.

Hoewel hiermee de directe zorgen van de onderzoekers werden weggenomen, waren ze nog steeds behoorlijk sceptisch over de algemene beveiliging van het IOTA-protocol. De IOTA-code is niet open source, dus het maakte het moeilijker voor de onderzoekers om andere delen van de code te onderzoeken, zoals de vertrouwde coördinator.

De onderzoekers vonden ook andere rode vlaggen, zoals hun gebruik van Ternary in plaats van Binary. Dit voegt een complexiteitslaag toe die voorkomt dat IOTA kan profiteren van gevestigde beveiligingsprotocollen.

Ze hadden ook problemen met IOTA als het ging om de omvang van de transacties. De huidige grootte van 10kb is veel groter dan de grootte van Bitcoins van 600 bytes. Dit betekent dat het niet goed geschikt is voor apparaten met beperkte opslag.

Toen de onderzoekers op 6 september hun bevindingen aan de markt bekendmaakten, begon de prijs van IOTA een duik te nemen. Zoals men kan zien in de onderstaande prijsgrafiek van muntenmarktkapje, IOTA heeft negatief gereageerd. Marktdeelnemers waren zich bewust van het potentieel voor een catastrofale mislukking van de valuta door een hack. Dit werd maar al te goed gezien toen de DAO in 2016 werd gehackt en de reactie op de prijs van Ether.

IOTA-prijsreactie

Wat halen we hieruit??

Hoewel de technologie die ten grondslag ligt aan cryptovaluta en de blokketen inderdaad revolutionair is, is het nogal verbijsterend dat een cryptovaluta met een marktkapitalisatie van $ 2 miljard zo’n kwetsbaarheid kan hebben. Nog verrassender was het feit dat geen van de adviseurs en partners alarmerende vlaggen opstak, ook alarmerend is.

Naarmate er meer en meer ICO’s op de markt komen, zoals Filecoins $ 237 miljoen, zijn er legitieme zorgen over het potentieel voor het gebrek aan best practices van onervaren ontwikkelaars.

De hele blokketen is gebouwd op het idee van vertrouwen. Vertrouw op het netwerk om eerlijk te zijn tegen het protocol. Als er enige onzekerheid bestaat over de beveiliging op het netwerk, kan dit nadelige bijwerkingen hebben. Als een grote organisatie, een durfkapitaalfonds of een gerenommeerd persoon zijn naam wil geven aan een technologie, moet hij dus 100% vertrouwen hebben in de onderliggende technologie..

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me