A többezer virtuális fizetőeszköz régóta nem különlegesség, a bitcoint és társait többmillióan használják. A pénz is adat, és mint minden adat, megtámadható. Az információbiztonság a kriptovalutáknál is kitüntetett jelentőségű.

Ghassan Karame, a Bochumi Ruhr Egyetem kutatója lelkesen támogatja a decentralizált platformokat, mert a hatalom nem központi entitás, például egy bank kezében van. A döntéseket a felhasználók többsége hozza, nincs cenzúra, és legalábbis elvileg magasszintű a biztonság.

Ennek ellenére Karame és munkatársai már 2012-ben kritikus bitcoin-problémára figyeltek fel: felhasználók ugyanazzal a valutával többször, különböző tranzakciókban fizethettek. Mintha öteuróssal fizetnénk egy hamburgerért, aztán ugyanazzal az öteuróssal jégkrémet vennénk.

2015-ben, miután a technológiát a korábbinál jóval több felhasználóra optimalizálták, egy másik hibára figyelmeztettek: ha valaki a rendszerhez tartozó többtucat számítógépet kontrollál, az egész rendszerben leállíthatja az információáramlást.

Mindkét problémát megoldották. Csakhogy a forráskód bárki számára elérhető a GitHubon, ezért rengeteg a másolat, szaporodnak, sokasodnak a kriptovaluták, és nem tudni, kik állnak mögöttük. Mivel a döntéshozás megosztott, a biztonsági résekről is nehéz beszámolni – kinek jelentsék azokat? Hány rendszert, pontosan melyeket érintik a bitcoin problémái, hogyan ellenőrizzük, hogy orvosolták-e azokat?

A kérdésekre nincsenek válaszok, a bitcoin-másolatok például még soha nem figyelmeztettek közeledő veszélyre. Karame és csapata több bitcoin-alternatívát – módosított változatot, altcoint – tanulmányozott, hogy a 2015-ös biztonsági rést milyen gyorsan szüntették meg.

Az eredmények sokkolták őket. A Litecoin 114, a Dogecoin 185 nap, a Digibyte három év alatt. Gondoljunk bele, mi történne, ha a Visanak ennyi időbe telne a kártyás fizetéssel kapcsolatban felmerülő biztonsági problémák megoldása – magyarázza Karame.

Ha hozzáférhető a bitcoin biztonsági frissítése, altcoin-fejlesztők installálják és kódjuk átírása nélkül, saját rendszerükre alkalmazzák, amivel a kódmódosítások GitHub által követett időbélyegzője funkcióját veszti, mert elvész a metaadat, és így egyáltalán nem egyértelmű, mikor implementálták a frissítést.

A bochumi kutatók a negyvennégy legsúlyosabb biztonsági hibát elemezve, igyekeznek megoldást találni, de félnek, hogy ez csak a jéghegy csúcsa.