VergrößernArmin Kübelbeck
Entwickler von Ethereum, der weltweit zweitgrößten digitalen Währung von Marktkapitalisierung, haben eine ernsthafte Sicherheitslücke geschlossen, die praktisch jeder mit einer Internetverbindung darf manipulieren Zugriff einzelner Benutzer auf das öffentlich zugängliche Hauptbuch.
Sogenannte Eclipse-Angriffe verhindern eine Kryptowährung Benutzer von der Verbindung zu ehrlichen Kollegen. Von Angreifern kontrollierte Peers Füttere dann das Ziel mit einer manipulierten Version der Blockchain Die gesamte Währungsgemeinschaft verlässt sich auf die Abstimmung von Transaktionen und vertragliche Verpflichtungen durchsetzen. Eclipse-Angriffe können dazu verwendet werden Trick Ziele für eine Ware oder Dienstleistung mehr als einmal zu bezahlen und Kooptieren Sie die Rechenleistung des Ziels, um Algorithmen zu manipulieren die entscheidenden Benutzerkonsens herstellen. Weil Ethereum unterstützt “Smart Contracts”, die Transaktionen automatisch ausführen, wenn Bestimmte Bedingungen in der Blockchain sind vorhanden, Ethereum-Finsternis Angriffe können auch verwendet werden, um die Selbstdurchsetzung zu stören Vereinbarungen.
Wie die meisten Kryptowährungen verwendet Ethereum einen Peer-to-Peer Mechanismus, der die Eingaben einzelner Benutzer in eine autoritative Blockchain. In 2015 und wieder in 2016 getrennt Die Zum schungsteams haben dafür Eclipse-Angriffe gegen Bitcoin entwickelt ausgenutzte P2P-Schwächen. Beide ließen sich relativ schwer durchziehen. Der Angriff von 2015 erforderte ein Botnetz oder einen kleinen ISP, der die Kontrolle ausübte Tausende von Geräten, während der Angriff von 2016 auf der Kontrolle beruhte von riesigen Stücken von Internetadressen durch eine Technik bekannt als Hijacking von Border-Gateway-Protokollen. Die Forderungen machten es wahrscheinlich, dass beide angriffe konnten nur von raffinierten und durchgeführt werden gut ausgestattete Hacker.
Aufmerksamkeitsskriptkinder
Viele Forscher glaubten, dass die Ressourcen für eine Ein erfolgreicher Eclipse-Angriff gegen Ethereum wäre beträchtlich höher als die Bitcoin-Angriffe. Immerhin das P2P-Netzwerk von Ethereum Enthält einen robusten Mechanismus zur kryptografischen Authentifizierung Nachrichten und standardmäßig Peers 13 ausgehende Verbindungen herstellen, verglichen mit acht für Bitcoin. Nun, einige der gleichen Forscher Wer die Bitcoin-Attacke von 2015 erfunden hat, ist zurück, um den Rekord aufzustellen Gerade. In einem am Donnerstag veröffentlichten Artikel schrieben sie:
Wir zeigen, dass die konventionelle Weisheit falsch ist. Wir präsentieren neue Eclipse-Angriffe zeigen, dass vor der Offenlegung dieses Arbeit im Januar 2018 war Ethereums Peer-to-Peer-Netzwerk deutlich weniger sicher als die von Bitcoin. Unsere Sonnenfinsternis Angreifer müssen nur zwei Maschinen mit jeweils nur einer steuern IP Adresse. Die Angriffe sind Off-Path-Angriffe. Der Angreifer kontrolliert Endhosts nur und nimmt keine privilegierte Stellung zwischen dem Opfer ein und der Rest des Ethereum-Netzwerks. Das bekannteste dagegen Off-Path-Eclipse-Angriffe auf Bitcoin erfordern die Kontrolle des Angreifers Hunderte von Hostcomputern mit jeweils einer eigenen IP-Adresse. ForFür die meisten Internetnutzer ist es alles andere als trivial, Hunderte (oder Tausende) von IP-Adressen. Aus diesem Grund ist die Bitcoin-Sonnenfinsternis Angreifer gedacht war ein vollwertiger Botnet oder Internet Service Provider, während der BGP-Hijacker Bitcoin Eclipse-Angreifer, von dem [in der Veröffentlichung von 2016] angenommen wurde, dass er Zugriff auf a benötigt BGP-sprechender Core-Internet-Router. Im Gegensatz dazu können unsere Angriffe sein Wird von jedem Kind mit einer Maschine und einem Skript ausgeführt.
Die Messlatte höher legen
Im Januar meldeten die Forscher ihre Ergebnisse an Ethereum Entwickler. Sie reagierten, indem sie am meisten Änderungen an Geth vornahmen beliebte Anwendung, die das Ethereum-Protokoll unterstützt. EthereumBenutzer, die sich auf geth verlassen, sollten sicherstellen, dass sie Version 1.8 installiert haben oder höher. Die Forscher versuchten nicht die gleichen Angriffe gegen andere Ethereum-Kunden. In einer E-Mail, Ethereum-Entwickler Felix Lange schrieb:
“Wir haben unser Bestes getan, um die Angriffe innerhalb der Grenzen zu mildern des Protokolls. Das Papier befasst sich mit der “ressourcenarmen” Sonnenfinsternis Anschläge. Soweit wir wissen, wurde die Messlatte hoch genug gelegt dass Finsternis-Angriffe nicht ohne substanziellere machbar sind Ressourcen, mit den Patches, die in Geth implementiert wurden v1.8.0. “Lange fuhr fort, er glaube keinem anderen populären Die Ethereum-App namens Parity ist für dieselben Angriffe anfällig.
Das Papier mit dem Titel Low-Resource Eclipse Attacks on Ethereum’s Peer-to-Peer-Netzwerk, beschrieben zwei separate Angriffe. Das einfachste Man stützte sich auf zwei IP-Adressen, die jeweils große Zahlen erzeugen von kryptografischen Schlüsseln, die das Ethereum-Protokoll zur Bezeichnung verwendet Peer-to-Peer-Knoten. Der Angreifer wartet darauf, dass ein Ziel neu gestartet wird der Computer, entweder im Laufe der Zeit oder nach dem Hacker sendet verschiedene böswillige Pakete, die einen Systemabsturz verursachen. Als die Das Ziel ist der Wiedereintritt in das Ethereum-Netzwerk. Der Angreifer verwendet die Knotenpool, um eingehende Verbindungen vor dem Ziel herzustellen kann alle ausgehenden feststellen.
Die zweite Technik erzeugt eine große Anzahl von Angreifer gesteuerte Knoten und das Senden eines speziellen Pakets vergiftet effektiv die Datenbank des Ziels mit dem Betrüger Knoten. Wenn das Ziel neu gestartet wird, werden alle Peers, mit denen es verbunden ist, gestartet wird dem Angreifer gehören. In beiden Fällen ist einmal das Ziel isoliert von legitimen Knoten kann der Angreifer ein falsches darstellen Version der Blockchain. Da keine Kollegen diese Version in Frage stellen, Das Ziel wird davon ausgehen, dass die manipulierte Version der offizielle ist Blockchain.
Es ist Zeit
Weitere Lektüre
Neue Angriffe auf Network Time Protocol können HTTPS besiegen und verursachen chaosDie Forscher stellten eine dritte Technik vor, die die Sonnenfinsternis verursacht leichter durchzuführende Angriffe. Kurz gesagt, es funktioniert durch Einstellen der Zielcomputeruhr 20 oder mehr Sekunden vor den anderen Knoten im Ethereum-Netzwerk. So verhindern Sie sogenannte Wiederholungsangriffe Ein Hacker sendet bei einem Versuch eine alte authentifizierte Nachricht erneut mehr als einmal ausgeführt zu werden – das Ethereum-Protokoll lehnt ab Nachrichten, die älter als 20 Sekunden sind. Durch das Setzen eines Ziels Im Voraus können Angreifer dazu führen, dass das Ziel den Kontakt zu allen verliert legitime Benutzer. Die Angreifer verwenden dabei böswillige Knoten Uhrzeit, um eine Verbindung zum Ziel herzustellen. Einige der gleichen Forscher Hinter der Ethereum-Eclipse-Technik steckt eine Vielzahl von Timings Angriffe in einem separaten Papier im Jahr 2015 veröffentlicht.
Die Entwickler von Ethereum haben eine Gegenmaßnahme gegen die Erster Angriff, der sicherstellt, dass jeder Knoten immer ausgehend ist Verbindungen zu anderen Kollegen. Das Update für den zweiten Angriff Begrenzen der Anzahl der ausgehenden Verbindungen, zu denen ein Ziel Verbindungen herstellen kann das gleiche / 24 Stück der IP-Adresse auf 10. Die Änderungen sind darauf ausgelegt Es ist erheblich schwieriger, einen Benutzer vollständig zu isolieren andere legitime Benutzer. Wenn sogar ein einzelner Knoten Benutzern präsentiert Bei einer anderen Version der Blockchain werden sie vor einer Fehler, der den Angriff effektiv vereitelt.
Ethereum-Entwickler haben keine zeitbasierte Korrektur implementiert Attacke. Da es in der Regel einen Angreifer erfordert, zu manipulieren Datenverkehr über die Internetverbindung des Ziels oder zum Ausnutzen Nicht-Ethereum-Schwachstellen auf dem Computer des Ziels ist es wahrscheinlich stellt eine geringere Bedrohung dar als die beiden anderen Angriffe.
Die Forscher der Boston University und der University of Pittsburgh warnte Benutzer, sich gegen die Sonnenfinsternis zu schützen Bedrohung.
“Angesichts der zunehmenden Bedeutung von Ethereum für die Welt Wir halten es für unabdingbar, dass Gegenmaßnahmen ergriffen werden verhindern, dass sie so schnell wie möglich adoptiert werden “, schrieben sie. “Betreiber von Ethereum – Knoten sollten sofort auf Geth upgraden v1.8. ”
