블록 체인은 생각만큼 깨지지 않습니다 – MIT 슬론

광고 - 중반
광고 - 중반
광고 - 중반
광고 - 중반

비즈니스에서 블록 체인을 사용하는 방법을 탐색하기 전에 관리자는 취약점이 어디에 있는지 알아야합니다.

부동산과 다이아몬드 판매만큼 멀리 떨어진 산업 인 1는 블록 체인을 그대로 수용하고 있으며 가장 귀중한 기능이 어떻게 실패하거나 의도하지 않은 결과를 초래할 수 있는지 전혀 몰랐습니다. 블록 체인은 일단 정보가 저장되면 절대로 삭제하거나 위조 할 수 없음을 사용자에게 보장합니다. 이것은 금융에 종사하는 사람들이 거래의 역사를 숨길 때 불법이 숨길 곳이 없다는 지식에 만족감을 느낀다는 것을 의미합니다. 그것은 제품의 공급망에있는 사람들이 잘못된 정보가 길을 잃어 버릴 염려없이 출처를 확인할 수 있다는 것을 신뢰한다는 것을 의미합니다. 본질적으로, 블록 체인은 완전한 데이터 보안뿐만 아니라 더 무형의 것을 약속합니다. 우리가 어떤 일을하고 있는지 이해하는 것이 정말로 중요합니까?

진실은 블록 체인이 생각만큼 안전하지 않으며 그 기능이 불행하게도 회복 될 수 있다는 것입니다. MIT Sloan (CAMS) 이니셔티브에서 그의 졸업 논문 인 2와 사이버 보안에 대한 다음 논문에 자세히 설명 된 Jae Lee와 함께 수행 한 연구에서, 우리는 72와 2011 사이에보고 된 2018 위반을 분류했습니다. 이러한 보안 침해로 인해 사용자는 총 2 십억 달러 이상의 비용을 부담합니다. 블록 체인은 기존의 중앙 집중식 기록 관리 시스템과 동일한 방식으로 실제로 취약하기 때문에 이러한 많은 위반이 가능했습니다. 나쁜 행위자는 투명성, 분산 제어, 익명 성 및 불변성과 같은 블록 체인을 혁명적으로 만드는 기능을 활용할 수 있었기 때문에 나머지는 더욱 문제가되었습니다. 이 기사에서는 조직이 위험을 평가하고 블록 체인 사용 여부를 결정할 수 있도록 두 가지 범주의 취약성을 자세히 살펴볼 것입니다.

블록 체인 갑옷의 구식 ks 크

고급 암호화 기술을 사용하여 데이터를 인코딩하고 변경하지 않도록하기 때문에 블록 체인은 깨지지 않는 것으로 널리 알려져 있습니다. 그러나 악용 될 취약점이 있습니다. 더 전통적인 시스템에서도 오랫동안 존재 해 온 시스템에 중점을 두자.

개인 키. 기존의 암호와 마찬가지로 개인 키는 종이나 디지털 지갑 등 숫자가 많기 때문에 기록해야합니다. 그들이 적어지면 물론 찾을 수 있습니다. 건방진 비트 코인 소유자는 실제로 블록 체인 키를 티셔츠에 QR 코드로 인쇄하여 무슨 일이 일어날 지 알았습니다. 누군가가 자신의 사진을 가져 와서 자신의 계정을 비우기 위해 사용했습니다 .3 (어리 석음을 웃기 전에 스티커 메모에 암호를 적어 놓았는지 스스로에게 물어보십시오.) 뉴스 앵커는 시청자에게 선물을 받고있는 비트 코인을 보여 주었고, 레딧 사용자는 자신의 휴대 전화로 디지털 QR 코드를 스캔하여 자금을 챙겼습니다.

소프트웨어 결함. 블록 체인 자체는 본질적으로 데이터 일뿐입니다. 블록 체인에 정보를 추가하거나 기존 정보를 사용하려면 소프트웨어 코드가 필요하며 소프트웨어와 마찬가지로 결함이있을 수 있습니다. 실제로 일반적으로 예상되는 것보다 더 많은 결함이 있습니다. 먼 옛날에는 IBM의 소프트웨어 개발자로 일했습니다. 품질 보증 (QA) 그룹이 광범위한 테스트를 실행하는 데 시간이 필요했기 때문에 시스템 업데이트를 완료 한 시간과 사용자가 사용할 수있는 날짜 사이에는 일반적으로 6 개월의 지연이있었습니다. 그런 종류의 실사는 점점 과거의 일이되어 가고 있습니다.

Bitcoin과 같은 블록 체인의 초기 응용 프로그램은 비교적 간단했으며 주로 자금 이체가 필요했습니다. 오픈 소스 코드는 오랫동안 안정적이었습니다. 사용자는 전문 소프트웨어 개발자가 아니어도 오픈 소스 코드를 다운로드하는 방법 만 알고 있으면됩니다. 새로운 응용 프로그램은 훨씬 더 복잡합니다. 전환은 QA가 보조를 맞추지 않을만큼 점진적이지만 빠르게 진행되었습니다. 또한 치열한 경쟁으로 인해 시장에 돌입해야하는 압력이 커져 QA가 성가신 것처럼 보일 수 있습니다.

결과적으로 블록 체인 시스템 소프트웨어 작성에 미묘한 결함이있는 경우가 많습니다. 침입자가 프로그래밍 실수를 발견하여 돈을 자신의 계정으로 옮기는 데 사용되는 Ethereum 핵을 고려하십시오. (이 경우에 대해서는 나중에 조금 더 설명하겠습니다.) 또 다른 경우, 실제로 목표로하는 새로운 규정을 충족시키기 위해 서두르는 개발자가 결함을 도입했습니다. 개선 보안. 변경 사항을주의 깊게 검토하지 않았으며 결함이 악용되었으며 돈을 도난당했습니다. 아이러니에서이 수업의 비용은 대략 $ 60 백만이었습니다.

블록 체인과 관련된 새로운 약점

블록 체인을 매력적으로 만드는 것들 중 일부는 또한 그것을 취약하게 만듭니다. 앞서 언급 한 4 가지 소중한 가치를 다시 살펴 보자.

투명성. 많은 사람들이 그것을보고 Wikipedia 항목과 같이 결함이 없는지 확인할 수 있기 때문에 블록 체인 소프트웨어는 정확합니다. 불행히도 이것은 나쁜 행위자가 코드를 연구하고 아직 아무도 눈치 채지 못한 결함을 발견 할 수 있음을 의미합니다.

분산 제어. 컴퓨터가 고장 나면 기존의 중앙 집중식 시스템이 중지됩니다. 블록 체인 시스템에서 소프트웨어는 하나 이상의 서버에 장애가 발생하더라도 시스템이 계속 실행되는 서버 우위에서 동시에 작동합니다. 명백한 이점이 있습니다. 그러나 그것은 또한 중앙 온-오프 스위치가 없다는 것을 의미하며, 간단히 말해서 물건을 꺼야 할 때가 있습니다. 예를 들어, 미국 증권 거래위원회 (SEC)는 6 5 월 2010 플래시 충돌 이후 S & P 500가 하루에 8.6 % 하락한 것을 발견 한 후“차단기”의 작성을 의무화했습니다. 갑작스럽고 급격한 시장 하락이 발생하면 시스템은 자동으로 거래를 종료합니다 6 반면에, 블록 체인 시스템은 절대 멈추지 않습니다.

블록 체인 시스템에서 공격이 발견 되더라도 전세계 서버는 여전히 작동합니다. Ethereum 시스템의 소프트웨어 결함, 특히 DAO (Distributed Autonomous Organization)의 스마트 계약의 예에서, 침입자가 돈을 계속 사용하지 못하게 막을 방법은 없었습니다. 그와 같은 임시 솔루션은“좋은 녀석들”이 같은 결점을 사용하여“나쁜 녀석”보다 돈을 더 빨리 깎아 내고 가능한 한 많은 돈을 적소에 돌려 보내는 것이 었습니다.

블록 체인의 투명성은 시계와의 경쟁에서 문제를 악화시킬 수 있습니다. 스마트 계약 개발자들이 주로 사용하는 활발한 공개 블로그가있었습니다. 여기에서 가능한 결함에 대한 의혹이 한 달 이상 게시되었습니다. 블로그는 아마도 침입자가 의심되는 결함과이를 악용하는 방법을 배우는 데 도움이되었을 것입니다. 또한 공격자는 게시물을 모니터링하여 해킹이 언제 발견되었는지, 따라서 언제 사라질지 알았습니다. 결국 약 $ 50 백만이 도난당했습니다. “코드는 법”이라는 블록 체인 원칙에 근거하여, 커뮤니티에 공개 서한에서 DAO 공격자는 도난당한 자금이 현명한 계약을 구속하는 것에 대한 법적 보상이라고 주장했습니다. 공격자는 자신이 한 일을 무효화하려는 시도에 대해 법적 조치를 취하겠다고 위협했습니다. Komodo 핵을 포함한 다른 사례도보고되었습니다.

중앙 집중식 시스템에서 계층은 보안 담당자를 명확하게합니다. 블록 체인과 같은 분산 시스템의 경우 Wild West도 분산되어 있음을 명심하는 것이 좋습니다.

익명. 블록 체인은 공개 키와 개인 키를 쌍으로하는 암호화를 사용합니다. 공개 키는 널리 배포되고 개인 키는 비밀로 유지됩니다. 익명으로 추정되는 결과 중 하나는 비트 코인과 같은 블록 체인 시스템이 랜섬웨어 결제와 같은 불법 거래에 널리 사용되어 효과적으로 추적 할 수 없다는 것입니다.

블록 체인 시스템이 익명 성을 제공하는 한 8는 또 다른 단점을 고려할 가치가 있습니다. 개인 키를 분실하면 계정에 영원히 액세스 할 수 없습니다. 은행 고객이 키를 안전 금고에 잘못 놓으면 은행은 마스터 키, 열쇠 또는 ​​크로우 바에 의지 할 수 있습니다. 블록 체인 계정에는 그러한 재정의가 없습니다. 암호 화폐 거래소 QuadrigaCX의 CEO 인 Gerald Cotten의 사례를 2019 초기에 크론 병과 관련된 합병증으로 예기치 않게 사망했습니다. 결과적으로, 아무도 자신의 컴퓨터에있는 디지털 지갑의 암호를 모르기 때문에 고객 자금에 액세스 할 수 없습니다. 137, 9, 10 등의 가상 화폐로 백만 달러 이상이 위기에 처해 있습니다.

불변성. 우리는 규칙에 따라 (사용자가 규칙을 준수하기로 동의함에 따라) 블록 체인의 데이터를 제거하거나 변경할 수 없다는 사실에 대해 거꾸로 논의했습니다. 그러나 시스템을 사용하여 무언가를 기록하기 위해 시간이 끝날 때까지 그것을 따르지 않으면 어떻게 될까요? 블록 체인이 범죄 기록에 사용되었고 누군가 자신의 기록을 영구 삭제하려는 경우 어떻게해야합니까? 불가능할 것입니다. EU의 일반 데이터 보호 규정 덕분에 EU에 거주하는 모든 사람은 더 이상 필요하지 않은 경우 자신에 대한 정보를 삭제하도록 요청할 권리가 있습니다. 블록 체인 세계에서 그들은 그 권리를 행사할 수 없었습니다.

이제 매우 다른 예를 생각해 봅시다. 모든 종류의 추가 데이터와 해설이 블록 체인에 포함될 수 있으며, 다른 모든 것들과 마찬가지로 영구히 지속될 것입니다. “아티스트”그룹은 영구 Phallus라는 이더 리움 블록 체인에 텍스트 이미지를 추가하여이 기능을 활용했습니다. (예술가이기 때문에 그들은 심지어 서명했다.) 그 결과 수천 개의 이더 리움 서버 중 하나가 블록 체인에 남근이있다.

그게 무해하게 들리면 더 어려운 사례 연구를 고려하십시오. 2019에서는 아동 포르노 그라피 이미지가 Bitcoin Satoshi Vision 원장에서 발견되었습니다 .11 브라우저가 종료되고 필터가 설치되었지만 실제로 원장에서 콘텐츠를 제거하려면 모든 블록 체인 서버간에 동의가 필요합니다. 위업. 따라서 그 블록 체인 사용자는 아동 포르노 법을 위반할 수 있습니다.

위험을 줄이는 방법

위에서 설명한 실수와 재앙은 대부분 부주의와 잘못된 의사 결정의 결과였습니다. 많은 경우 경영진은 블록 체인 시스템과 함께 사용되는 암호화 기술이 깨지지 않기 때문에 보안에 대해 걱정할 필요가 없다고 가정합니다. 내가 종종 말했듯이, 문을 더 강하게 잠글 수는 있지만 여전히 키를 매트 아래에두면 더 안전합니까?

그러나 다음과 같은 위험을 완화 할 수 있습니다.

비밀번호 / 키 노출. 대부분의 조직에는 기존의 암호를 보호하는 방법을 교육하는 프로그램이 있습니다. 관리자는 블록 체인 키에 대해 유사한 절차를 설정해야합니다.

소프트웨어 결함. 블록 체인 시스템 소프트웨어의 개발은 전문 소프트웨어 개발자가 기존 시스템에 대해 설정 한 것과 동일한 수준의주의를 기울여 처리해야합니다. 이더 리움 위반의 경우, 소프트웨어를 사용하기 전에 독립적 인 소프트웨어 테스트 회사가 소프트웨어를 검토하고 확인해야한다고 결정했습니다. 모든 곳의 관리자는 비즈니스에서 블록 체인 시스템을 사용하기 전에이를 고집해야합니다.

투명성. 소프트웨어 결함의 수를 줄이는 것이 시작입니다. 그러나 다른 접근 방식은 극도의 투명성을 덜 문제가 될 수 있습니다. Facebook에서 제안한 Libra cryptocurrency의 경우 투명성은 선별 된 개인 또는 조직으로 제한됩니다.

분산 제어. 일부 형태의 온-오프 스위치가 블록 체인 소프트웨어에 통합 될 수 있습니다. 이를 위해서는 기존의 "결코 멈추지 않는"원칙에 대해 유연하게 기꺼이 의지해야합니다.

익명. 여기에는 최소한 두 가지 문제가 있습니다. 소유자와 개인 키를 안전하게 기록하는 방법과 개인 키가 손실되지 않도록하려면 어떻게해야합니까? 이러한 문제를 해결한다는 것은 사용자가 익명 성을 떨어 뜨릴 수 있다는 것을 의미합니다. 규제 기관은 이미 자금 세탁과 같은 블록 체인 남용에 대해 걱정하고 있기 때문입니다. 해결책은 다음과 같습니다. 주어진 블록 체인을 사용하려는 사람 (및 공개 / 개인 키를 할당하려는 사람)을 먼저 검사하고 소유자와 개인 키의 기록을 안전한 곳에 보관해야합니다. 이와 같은 시스템을 설치 한 경우, CEO의 예기치 않은 사망시에도 분실 된 키를 복구 할 수 있습니다. 또는 관리 상 모든 암호를 회사 금고에 저장해야 할 수도 있습니다. 해당 전자 지갑 소유자를 사용할 수없는 경우 비밀번호를 검색 할 수 있습니다.

불변성. 이상적으로 관리자는 블록 체인에서 데이터를 언제 어떻게 제거 할 수 있는지에 동의 할 수 있지만 불변성을 거의 신성한 원칙으로 간주하면 하드 판매가 될 수 있습니다. 약간 덜 효과적인 해결책은 처음에는 바람직하지 않은 내용이 블록 체인에 들어가는 것을 방지하는 것입니다. 일부 응용 프로그램에서는 주석 처리가 제한되지 않으므로 앞에서 언급 한 소위 Permanent Phallus 텍스트 이미지가 나타납니다. 다른 곳에서, 조직은 이미 애플리케이션을 정의하는 분명한 단계를 밟아서 그러한 무제한 컨텐츠가 필요하지 않거나 원치 않는 컨텐츠를 분석하고 제외하는 필터가 필요하도록합니다.

14 블록 체인 시스템에는 큰 장점이 있지만 함정을 간과하는 것은 실수입니다. 관리자는 남용 가능성을 최소화하거나 남용의 위험이 충분히 용인 될 수있을 정도로 멀다는 의식적인 결정을 내려야합니다.

리와 저는 우리의 연구를 거부하고자하는 한 가지 개념은 블록 체인 기술이 인간의 간섭에 영향을받지 않는다는 것입니다. 예, 블록 체인은 암호화 및 보안의 발전을 나타내지 만 다른 기술과 동일한 방식으로 여전히 취약하며 새로운 취약점이 있습니다. 인간의 행동이나 무 활동은 여전히 ​​중요한 결과를 초래합니다. 또한 관리자가 사용할 수있는 많은 유형의 블록 체인 시스템이 있다는 것을 인식하는 것이 중요합니다. 어떤 식 으로든, 추가 안전 기능이없는 저렴한 차량을 구매할 것인지 또는 더 큰 보안 감각으로 운전할 수있는 더 비싼 자동차를 구입할 것인지를 결정하는 것과 같습니다. 블록 체인을 사용하기로 결정한 경우 선택할 수있는 안전 기능이이 기사에서 강조된 측정입니다.

뉴스 출처

광고 하단
광고 하단
광고 하단
광고 하단

의견 없음