猎云注:日食攻击是其他节点实施的网络层面攻击,其攻击手段是,囤积和霸占受害者的点对点连接时隙(slot),将该节点保留在一个隔离的网络中。这种类型的攻击旨在阻止最新的区块链信息进入到日食节点,从而隔离节点。文章来源:云头条(ID:YunTouTiao)
以太坊网络的维护人员近日发布了其网络底层代码库的更新版,以修复本周发表的一篇研究论文中描述的漏洞。
这篇研究论文由波士顿大学和匹兹堡大学的研究人员共同撰写,描述了一个名为“日食攻击”(eclipse attack)的安全漏洞。
日食攻击是其他节点实施的网络层面攻击,其攻击手段是,囤积和霸占受害者的点对点连接时隙(slot),将该节点保留在一个隔离的网络中。
这种类型的攻击旨在阻止最新的区块链信息进入到日食节点,从而隔离节点。比特币网络也很容易受到日食攻击(https://eprint.iacr.org/2015/263.pdf)。
两个坏的节点就足以对以太坊发动日食攻击
现在研究人员发现,以太坊也很容易受到日食攻击。以太坊是节点组成的网络,它是以太币这种加密货币及众多智能合约的基础,而智能合约支持其他许多数字货币和首次代币发行(ICO)。
但是,虽然对比特币网络上的节点实施日食攻击需要成千上万个恶意节点才能搞垮一个受害者的节点,但攻击者只需要两个恶意的以太坊节点就能隔离和影响另一个节点。
日食攻击能搞什么破坏?
一次得逞的日食攻击让不法分子得以“征用受害者的挖掘能力,并用它来攻击区块链的一致性算法”或用于“重复支付和私自挖矿”。
此外,研究人员解释道,日食攻击可以诱骗受害者查看不正确的以太网交易细节,诱骗卖家在交易其实还没有完成的情况下将产品发布给攻击者。
最后但并非最不重要的一点是,日食攻击还可以攻击以太坊合约,方法就是让日食节点无法看清楚区块链,从而延迟节点看清楚智能合约的内部计算可能用到的各个参数,导致不正确的智能合约输出,因而攻击者可以大捞一笔。
针对以太坊节点的补丁
撰写该论文的研究团队并不是冷不防突然发布研究结果。他们表示,自己与以太坊基金会合作,悄悄给这些问题打上补丁。
研究人员表示,他们建议了诸多对策,开发人员已将它们添加到两周前发布的geth 1.8.0中,这是在以太坊节点上运行的软件。
这些对策无法完全防止日食攻击,而是只是将实施这种攻击所需的恶意节点数量从两个增加到了几千个。
想了解更进一步的细节,请参阅尤瓦尔•马库斯(Yuval Marcus)等研究人员共同撰写的《针对以太坊的点对点网络发动的低资源日食攻击》(http://www.cs.bu.edu/~goldbe/projects/eclipseEth.pdf)。
领取专属 10元无门槛券
私享最新 技术干货