以太坊網路爆出「日食攻擊」!
日食攻擊
以太坊網路的維護人員近日發布了其網路底層代碼庫的更新版,以修複本周發表的一篇研究論文中描述的漏洞。
這篇研究論文由波士頓大學和匹茲堡大學的研究人員共同撰寫,描述了一個名為「日食攻擊」(eclipse attack)的安全漏洞。
日食攻擊是其他節點實施的網路層面攻擊,其攻擊手段是,囤積和霸佔受害者的點對點連接時隙(slot),將該節點保留在一個隔離的網路中。
這種類型的攻擊旨在阻止最新的區塊鏈信息進入到日食節點,從而隔離節點。比特幣網路也很容易受到日食攻擊(https://eprint.iacr.org/2015/263.pdf)。
兩個壞的節點就足以對以太坊發動日食攻擊
現在研究人員發現,以太坊也很容易受到日食攻擊。以太坊是節點組成的網路,它是以太幣這種加密貨幣及眾多智能合約的基礎,而智能合約支持其他許多數字貨幣和首次代幣發行(ICO)。
但是,雖然對比特幣網路上的節點實施日食攻擊需要成千上萬個惡意節點才能搞垮一個受害者的節點,但攻擊者只需要兩個惡意的以太坊節點就能隔離和影響另一個節點。
日食攻擊能搞什麼破壞?
一次得逞的日食攻擊讓不法分子得以「徵用受害者的挖掘能力,並用它來攻擊區塊鏈的一致性演算法」或用於「重複支付和私自挖礦」。
此外,研究人員解釋道,日食攻擊可以誘騙受害者查看不正確的乙太網交易細節,誘騙賣家在交易其實還沒有完成的情況下將產品發布給攻擊者。
最後但並非最不重要的一點是,日食攻擊還可以攻擊以太坊合約,方法就是讓日食節點無法看清楚區塊鏈,從而延遲節點看清楚智能合約的內部計算可能用到的各個參數,導致不正確的智能合約輸出,因而攻擊者可以大撈一筆。
針對以太坊節點的補丁
撰寫該論文的研究團隊並不是冷不防突然發布研究結果。他們表示,自己與以太坊基金會合作,悄悄給這些問題打上補丁。
研究人員表示,他們建議了諸多對策,開發人員已將它們添加到兩周前發布的geth 1.8.0中,這是在以太坊節點上運行的軟體。
這些對策無法完全防止日食攻擊,而是只是將實施這種攻擊所需的惡意節點數量從兩個增加到了幾千個。
想了解更進一步的細節,請參閱尤瓦爾?馬庫斯(Yuval Marcus)等研究人員共同撰寫的《針對以太坊的點對點網路發動的低資源日食攻擊》(http://www.cs.bu.edu/~goldbe/projects/eclipseEth.pdf)。
※華雲數據簽下「萬達集團私有雲」項目
※IDC 全快閃記憶體陣列廠商排名:Pure Storage、戴爾、HPE、NetApp和IBM
TAG:雲頭條 |