26.09.2016

Bezpečnost anonymních kryptoměn

Anonymnější variantu platebních transakcí oproti běžným měnám umožňují kryptoměny, mezi nimi nejznámější Bitcoin. Pokud vám ani jím nabízená úroveň soukromí nedostačuje, jsou na trhu ještě extrémnější formy kryptoměn. Jsou ale opravdu tak bezpečné, jak tvrdí?

Cover 3

Bitcoin, první světově rozšířená kryptoměna, byl a je často používán pro svou možnost anonymního převodu peněz. Bitcoin však nebyl navržen skutečně anonymní - je sice možné touto měnou uskutečnit transakce bez zveřejnění osobních informací, ale plnou anonymitu tato měna neumožňuje, jedná se tedy pouze o pseudoanonymní měnu. Na tento nedostatek zareagovalo několik následně vznikajících kryptoměn, které se o plnou anonymitu pokoušejí. Mezi nejznámější patří Dash, Monero, Cloakcoin, Zerocoin a další.

Kryptoměna Dash, dříve známá jako Darkcoin, se dříve stala, jak už vyplývalo z jejího názvu, nechvalně známou měnou na tržištích Darknetu. Její zastoupení v internetovém podsvětí však kleslo poté, co současné největší online tržiště AlphaBay přijalo novou superanonymní kryptoměnu Monero. V posledním měsíci se tato měna vyšplhala v objemu provedených transakcí až na druhé místo, v žebříčku tedy neporazila pouze samotný Bitcoin. Monero vzniklo v roce 2014, je zaměřené na anonymitu a decentralizaci a narozdíl od některých jiných kryptoměn (Litecoin, Namecoin) není založeno na Bitcoinu, ale na protokolu CryptoNote, vyvinutém v roce 2012.

I kryptoměna Monero se však ukázala být jako celek nedostatečně zabezpečená poté, co v jejích nástrojích bezpečnostní firma MWR InfoSecurity odhalila závažnou zranitelnost, která umožňuje útočníkům vzdáleně odcizit peníze z libovolného napadnutého Monero účtu. Konkrétně se jedná o CSRF zranitelnost (Cross-Site Request Forgery). Oběť, vlastník Monero účtu, v takovém případě zpravidla navštíví útočnou stránku a s pomocí minimálního množství sociálního inženýrství tak nevědomě provede útočníkem připravenou transakci. Zranitelnost se týká základního nástroje Simplewallet pro uskutečnění transakcí v rámci měny Monero, postižené jsou však také všechny platební aplikace, které tento nástroj využívají.

Zranitelnost byla v poslední verzi balíku Monero opravena. Stále v ohrožení jsou však uživatelé některých grafických platebních aplikací třetích stran, kterým může trvat delší dobu, než tento opravný balíček do své aplikace implementují.

Více na labs.mwrinfosecurity.com

Kam dál?