宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 币安下载 > 正文

技术 | Eth2中的时间服务器攻击及其缓解措施

作者:

时间:1900/1/1 0:00:00

摘要:Eth2中的时间服务器攻击之前也有人讨论过。但迄今为止,主流意见都认为这种攻击只能导致验证者暂时离线,等节点运营者重建正确的时间同步措施,节点就能重新回到线上。但是,如果节点可以被诱去签署一条有关遥远未来某个epoch的见证消息,危险性就远不止暂时离线这么简单:因为共识算法的环绕投票罚没规则,这些节点在整个网络实际到达该错发的见证消息的目标epoch之前,将不能再签名任何见证消息。在共识规则的运作下,这种时间服务器攻击会导致受攻击的验证者几乎永远离线,而相关的权益人也会因为懒惰惩罚而付出惨痛代价。

攻击界面

蚂蚁正研发区块链新技术 或推动区块链大规模应用提前十年:6月3日消息,近日,金融科技专家Yassine Regragui在社交平台爆料称,蚂蚁集团正研发一项名为LedgerDB的新技术,比现有联盟链快至少80倍,称将区块链大规模应用时代提前至少十年。[2020/6/3]

Eth2中的见证消息就是验证者签过名的、包含所认可的来源检查点和目标检查点的信息;来源检查点和目标检查点都以时段号和区块根来表示。CasperFFG的算法的安全性保证之一便是“无环绕投票”规则:验证者签名过的任意两条消息中,不能出现有?attestation1.source<attestation2.source?且?attestation2.target<attestation1.source?的情况。

公告 | 安永发布第三代零知识证明区块链技术 可通过批量处理降低交易成本:据安永官网今日公告,安永已在以太坊公共区块链上的公共领域发布第三代零知识证明(ZKP)区块链技术。第三代ZKP区块链技术可通过在一次交易中将多个私人转让批量处理来显着降低交易成本,有助于使公共区块链上的私人交易更具可扩展性。[2019/12/19]

我们可以按如下手法炮制一次时间服务器攻击:第一步是通过操纵时间服务器的时间,使之跳转到未来的某个时间,使得被攻击验证者的时间也跳转到未来,这个时间必须短于懒惰惩罚致使验证者余额降低至零的时间,否则验证者就不会再签名见证消息了。

动态 | 中欧班列首次落地应用区块链技术 首个国际班列“新账本”诞生:据封面新闻消息,10月17日,中欧班列(德国巴伐利亚至中国四川)整列41张“统一运单”信息进入中国铁路成都局集团“一单制”区块链平台,标志着集团公司首次在亚欧大陆国际铁路联运(中欧班列)试点应用区块链技术。今年8月30日,集团公司发挥自身数据资源及信息化建设优势,自主研发“一单制”区块链平台系统上线试运行,签发全国首张区块链铁路运单。10月17日,该平台新增“国际联运”模块,生成全国首个中欧班列区块链运单数据。[2019/10/21]

然后我们需要诱相关的节点,使之认为它其实是跟链保持同步的,然后它才会签署见证消息。如果攻击者控制了多个对等节点,这一点总是有可能做到的,只需在点对点的网络频道中发送一些来自未来时间的见证消息和区块即可。控制多个节点也是容易实现的,所以这并不是一个不现实的攻击者假设。

中国石化企业采用区块链技术 优化石油交易融资成本20%-30%:中国中化集团近日成功试行了以中东原油进口为主的第一批区块链原油进口交易。根据交易效果分析显示,数字提单和智能合约作为这一应用的两大支持,提高原油交易效率,优化交易融资成本20%-30%。[2017/12/29]

一旦目标验证者签名了一条以未来epoch为目标epoch的见证消息,攻击者就可以把这条消息保存下来,然后确定这名验证者在整个网络实际到达那个未来epoch之前,都不能再签名任何见证消息了。当前所有Eth2实现的验证者客户端都有措施防止该验证者签署相互冲突的见证消息,因此该验证者实质上就是离线了。

结果

一名攻击者可以通过一个时间服务器来驱逐所有TA能影响到的验证者。这种攻击会比此前使用同样界面所设想的攻击更为恶劣,因为影响不是暂时的,而是持久得多。虽然我们有可能在几分钟之内就能发现这样的攻击,而且所有专业的节点都能在几个小时内恢复正常时间,但这于事无补,因为损害已经发生了——而且可以导致验证者的惨重损失,例如,可能有很多验证者会因为指数升高的懒惰惩罚而被提出网络。

缓解措施

加入验证者客户端不罚没规则

我们可以在验证者客户端中加入一条不罚没规则:要求他们在签署所有消息前都评估当前的时间,而且不要提前签署未来的消息。这个办法其实只有在验证者客户端与信标链节点没有部署在同一台机器上且没有被攻击波及时才有用。不过,对于密钥分割型验证者来说是一个明确的改进,因为这个规则将不允许领导哦啊这节点提议一条未来的见证消息,可以阻挡验证者的行动。

为时间同步措施加入更多的保护

本文所提出的问题表明,时间服务器的同步措施所包含的攻击界面比我们从前设想的严重得多,必须引起我们的注意。

小幅度的时间偏移虽然恼人,但不会导致严重的问题,所以,仅在时间服务器推送的更新与本地的RTC时间相差幅度在一定范围内才使用更新、否则就拒绝更新,似乎是更好的模式。

但这个模式仍会遗留一个攻击界面在启动进程中。因此时有发生的大规模电源中断可能会演变成严重的问题、一次性影响众多验证者。我认为,可以让验证者客户端在启动前先检查罚没保护数据库、如果在几个小时乃至几天内都没有签名过任何消息,就拒绝启动。长时间不签名消息意味着可能发生了时间服务器攻击。可以添加一个强制启动的标签来应对例外情况。

?https://arxiv.org/abs/1710.09437?Timeattacksandsecuritymodels

原文链接:?https://ethresear.ch/t/eth2-attack-via-time-servers/8049作者:?dankrad翻译:?阿剑

标签:区块链ATTETHPOC区块链了多少人ATTR价格GreenETHtokenpocket币被转走了

币安下载热门资讯
揭黑:腐败的 DeFi 和这个圈子的臭味

撰文:crypto_angel,匿名作者编译:LeoYoung为了不被当作是自我道德标榜,我决定匿名发布本文。任何人发布与本文类似的观点,都会受到?DeFi社区?排斥。DeFi圈内人和他们保护的?作恶者?之间已达成某种默契.

1900/1/1 0:00:00
Visa高管:加密公司对加入6000多万商户的Visa网络有强烈兴趣,已与25家公司签约

本文来自《福布斯》,原文作者:StevenEhrlich?&MichaeldelCastilloOdaily星球日报译者|念银思唐比特币的诞生是为了破坏现有的货币体系,许多人认为这种体系过于昂贵和排它.

1900/1/1 0:00:00
库币事件黑客洗币遭行业围观,N种洗币方式值得重视

来源:耳朵财经 作者:言一 黑客攻击事件频发,将安全一而再、再而三的推至台前。然而,行业用户似乎早已麻木,端着一副“事不关己,高高挂起”的心态,不仅如此,甚至还想看一眼热闹.

1900/1/1 0:00:00
Vitalik Buterin :以rollup为中心的以太坊路线图

写在前面:面对日益增长的扩容需求,以太坊联合创始人VitalikButerin于近日提出了一个新的以rollup为中心的以太坊路线图,其表示:目前以太坊用户的账户是在layer1,ENS域名、应用等也完全是在layer1上.

1900/1/1 0:00:00
法国初创企业Multis获220万美元种子轮融资,DCG 和Coinbase参投

据Techcrunch9月29日报道,法国初创企业Multis完成220万美元种子轮融资,WhiteStarCapital、YCombinator、CoinbaseVentures、eFounders、GreenfieldOne和Di.

1900/1/1 0:00:00
爱沙尼亚中央银行正在进行数字货币研究

爱沙尼亚央行EestiPank宣布启动一项研究计划,研究如何建立数字货币基础设施。根据一份声明,EestiPank与科技公司SW7Group和Guardtime合作开展了该研究项目.

1900/1/1 0:00:00