(图片来自ConstantinPopp,Unsplash)
什么是日蚀攻击?
日蚀攻击是针对对等式网络的一种攻击类型:攻击者通过使节点从整个网络上消失,从而完全控制特定节点对信息的访问。
在流行的对等式网络中,攻击者可通过确保受害者节点不再从网络的其余部分接收正确的信息,而只接收由攻击者操纵的信息来执行日蚀攻击。
换言之,当网络上的大多数对等节点都是恶意的时候,并且正在控制特定节点的连接时,就会发生这类攻击。控制此类连接的攻击者,可确保此特定节点被恶意节点包围。
此外,在日蚀攻击中,攻击者不像在女巫攻击中那样攻击整个网络,而是专注于隔离和瞄准某个特定节点。这种攻击通常会导致受害者节点接收到被操纵的、伪造的区块链视图。
基于Arbitrum的链上衍生品DEX Aark Digital完成种子轮融资:7月13日消息,基于Arbitrum的链上衍生品DEX Aark Digital完成种子轮融资,具体金额未披露,Delphi Digital领投,OKX Ventures、Big Brain Holdings和Keyrock参投,新资金将用于开发新功能。注,Aark专为专业交易者打造,可提供杠杆LP和超长尾资产杠杆交易,同时推出新AMM架构PMM,可反映来自OKX和币安等CEX订单簿的真实流动性,以降低交易过程对价格和流动性的影响。[2023/7/13 10:52:09]
“恶意节点使用其假冒区块链阻止受害者节点对真实区块链的查看。因此,作为区块链安全的主要威胁之一,它的名字被称为日蚀攻击。”根据Heilman等人在2015年发布的论文,日蚀攻击的一个关键含义,在于这种攻击可能是其他类型攻击的有用构建基础。例如,一旦攻击得到落实,攻击者可以做的一件坏事就是,通过远低于全网51%的算力发动51%攻击。
日本新央行行长植田和男今起上任,曾称CBDC需“全国讨论”后决定:金色财经报道,植田和男今日起正式担任日本央行行长,上任后的第一次日本央行政策会议将于4月27到28日举行。植田和男曾表示央行数字货币(CBDC)应该在“全国讨论”之后决定,但他也称“作为央行数字货币这样一个系统的先决条件,将继续与有关方面进行示范测试和讨论。”[2023/4/9 13:53:28]
这可能导致受害者所看到的网络交易历史的改变,从而可能导致受害者遭到经济损失。
对以太坊进行成功的日蚀攻击需要什么条件?
值得注意的是,恶意方成功执行日蚀攻击所需的条件并不是很多。Heilman等人在2018年发表的论文显示,在以太坊网络上执行日蚀攻击只需要用到几台机器。
Iron Fish团队公布Token经济模型:空投给测试网参与者占比2.25%:金色财经报道,隐私网络Iron Fish公布代币分配方案。其中,创世块将包含 4200 万个代币,它们将按如下方式分配:
Iron Fish基金会18%;空投给测试网参与者2.25%;对于未来的空投2.25%;种子前系列投资者5.1%;种子系列参与者9.9%;A轮融资投资者14.5%;顾问0.6%;核心开发团队37.4%;IF 实验室5%;捐赠基金5%。
对于每个内部人员,在主网上线后提供一年的锁定期。在接下来的 12 个月内,此类代币持有者将有资格在每个月内进行转让。主网预计将于 4 月 30 日启动。活动结束后,主网上线:进行交易、启动节点、挖矿、创建和销毁用户私有资产。[2023/3/29 13:33:23]
研究人员指出,为了完成对以太坊的的日蚀攻击,恶意方只需要控制两台机器,每台机器只有一个IP地址,以垄断与受害者节点之间的连接,并最终将受害者节点与网络中的其他对等节点隔离开来。
萨尔瓦多国会通过数字证券法,计划发行比特币债券筹集 5 亿美元:金色财经报道,萨尔瓦多国会宣布通过一项数字证券法,允许该国通过全球首个主权区块链债券来筹集资金。国会以 62 票对 16 票通过了该法案,之后将被送交 Nayib Bukele 总统签署。该法案创建了一个法律框架,将支持 Bukele 出售比特币债券,旨在筹集 5 亿美元,以建设名为比特币城 (Bitcoin City) 的免税沿海小镇,该小镇将利用附近火山的地热能源开采数字货币。
根据政府的提议,另外 5 亿美元将专门用于购买比特币,数字货币的任何升值最终都会与债券持有人分享。依照政府最初的提议,这些代币化债券将以美元计价,年利率为 6.5%,为期 10 年。该计划受到信用评级机构和国际货币基金组织的批评。?
此前,萨尔瓦多政府承诺在 2021 年第一季度出售比特币债券,但由于比特币价格下跌,多次推迟发行。 据 Bukele 的推文,到 2021 年 6 月,萨尔瓦多政府已经购买 2,381 枚比特币。同年 11 月 16 日,他表示政府将每天购买一枚比特币。 ?(彭博社)[2023/1/15 11:13:06]
然而,在大多数情况下,日蚀攻击仍然很难启动,因为攻击者必须选择一个目标节点或一组节点,建立主机节点的僵尸网络,断开目标与其连接的每个节点的连接,并对目标的相邻节点进行不断试验,使它们与攻击者的节点相连。然后,攻击者必须等待下一次受害者节点注销并重新加入网络。
在重置过程中,攻击者会强制连接重定向到一组新节点,从而完全控制受害者的所有连接。这不是一项简单的任务,但它是可行的。到目前为止,我们还没有看到任何日蚀攻击的例子;然而,最近的研究结果表明,这是不应该被忽视的。
针对物联网设备的日蚀攻击
在物联网环境中进行的日蚀攻击会怎么样呢?物联网设备带来的风险会显著增加。在数据中心挖掘节点的常见场景中,攻击者需要几台机器才能成功执行日蚀攻击。在数据中心场景中,日蚀攻击是很难完成的,因为它通常会涉及攻击多个独立的上行链路。
另一方面,在物联网环境场景中,攻击者会更容易地执行日蚀攻击。物联网设备是攻击者容易攻击的目标,这主要是因为对物联网设备的日蚀攻击,只涉及攻击一个单一故障点,例如,攻击一个网状的3G上行链路。
如果攻击者想对物联网设备发起日蚀攻击,则其可首先通过瞄准物联网设备的网关来发起中间人攻击。一旦网关受到攻击,攻击者将完全控制受害者物联网设备的数据,如区块同步请求,因此可强制受害者连接到恶意节点。
“物联网设备与网络的其余部分隔离,因此无法查看真正的区块链网络。此后,针对物联网设备的日蚀攻击就完成了。”那么如何减轻日蚀攻击呢?
在工作量证明网络中进行的日蚀攻击场景中,攻击者利用此漏洞强制节点接受比主链更长、总难度更低的链。由于攻击者公布的总难度高于诚实节点,当受害者节点重新加入网络时,它将收到一个比有效链长但总难度较低的链。
因此,发生的情况是受害者节点无法再与有效链同步。那么,缓解这个问题的方法是什么呢?
幸运的是,重要的提案正在迅速出现。就在上个月,德国区块链研究员DominicLetz提出了BlockQuick这一解决日蚀攻击问题的超轻客户端协议。
正如Letz在《BlockQuick:Super-LightClientProtocolforBlockchainValidationonConstrainedDevices》这篇论文中所写:“BlockQuick能够防止日蚀攻击,因为在验证区块时,它不仅仅依赖于在工作量证明网络上选择难度最大的最长链。”
最长链和最高难度的功能在区块链协议中是至关重要的,对流行的轻客户端也是如此,但如果没有适当的保护,攻击者可能会滥用这些功能。为了提供一个安全的轻客户端协议,在验证区块时,安全策略必须采用共识信誉表。
正如他在论文中解释的那样:“在每个新的区块中,设备都会验证矿工的加密签名,并将其与共识声誉表中的已知矿工身份进行比较。只有当一个区块的共识得分大于50%时,客户端才会接受。接收总得分较低的链会导致中止。”
客户端将查看设备如何迭代这些区块,并将运行缓慢的更新机制。其想法是,BlockQuick将运行信誉检查,以确保客户端只接受信誉分数大于50%的区块,而不是遵守最长的链规则。
结论
在本文中,我们描述了日蚀攻击是什么,讨论了日蚀攻击的一些含义,并探讨了超轻型客户端协议如何解决这个问题。随着区块链技术的不断发展,了解当前和未来可能的发展对区块链社区而言都是很重要的。
原文作者是台北科技作者YahsinHuang
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。