يعمل Ethereum على إصلاح خلل خطير في “الكسوف” يتم استغلالها من قبل أي طفل

Ethereum يعمل على إصلاح عيبZoomArmin Kübelbeck

مطورو Ethereum ، العملة الرقمية رقم 2 في العالم من خلال القيمة السوقية ، أغلقت فجوة أمنية خطيرة ذلك يسمح تقريبا أي شخص لديه اتصال بالإنترنت لمعالجة وصول المستخدمين الفرديين إلى دفتر الأستاذ العام.

تعمل هجمات الكسوف المزعومة عن طريق منع العملة المشفرة المستخدم من الاتصال مع أقرانهم صادقة. المهاجمين أقرانهم ثم تغذية الهدف نسخة التلاعب بها من blockchain مجتمع العملة بأكمله يعتمد على التوفيق بين المعاملات و إنفاذ الالتزامات التعاقدية. هجمات الكسوف يمكن استخدامها ل أهداف خدعة في دفع مقابل سلعة أو خدمة أكثر من مرة و للمشاركة في قوة الحوسبة للهدف لمعالجة الخوارزميات التي تنشئ إجماع المستخدم حاسما. لأن Ethereum يدعم “العقود الذكية” التي تنفذ المعاملات تلقائيًا عندما شروط معينة في blockchain موجودة ، كسوف Ethereum الهجمات يمكن أن تستخدم أيضا للتدخل في تلك فرض نفسها الاتفاقات.

مثل معظم العملات المشفرة ، يستخدم Ethereum نظير إلى نظير الآلية التي تجمع المدخلات من المستخدمين الفرديين في blockchain موثوقة. في عام 2015 ومرة ​​أخرى في عام 2016 ، منفصلة فرق البحث وضعت هجمات الكسوف ضد بيتكوين ذلك استغلال نقاط الضعف P2P. كان كلاهما صعبًا نسبيًا. كان هجوم عام 2015 يتطلب روبوت أو مزود خدمة إنترنت صغير يتحكم فيه الآلاف من الأجهزة ، في حين اعتمد هجوم عام 2016 على السيطرة من قطع ضخمة من عناوين الإنترنت من خلال تقنية تعرف باسم بوابة بروتوكول الحدود الاختطاف. المطالب جعلت من المرجح أن كل من الهجمات يمكن أن تنفذ إلا عن طريق متطور و المتسللين جيدا الموارد.

الاهتمام سينديز النصي

يعتقد العديد من الباحثين أن الموارد اللازمة ل هجوم الكسوف الناجح ضد Ethereum سيكون إلى حد كبير أعلى من هجمات البيتكوين. بعد كل شيء ، شبكة P2P Ethereum يتضمن آلية قوية للمصادقة مشفرة الرسائل والأقران الافتراضي إنشاء 13 الاتصالات الصادرة ، مقارنة مع ثمانية لبيتكوين. الآن ، بعض من نفس الباحثين الذين ابتكروا هجوم البيتكوين 2015 عادوا إلى مستوى قياسي مباشرة. في مقالة نشرت يوم الخميس ، كتبوا:

نثبت أن الحكمة التقليدية خاطئة. نقدم هجمات كسوف جديدة تظهر ذلك ، قبل الكشف عن هذا العمل في يناير 2018 ، كانت شبكة Ethereum الند للند أقل أمانا بكثير من بيتكوين. كسوفنا المهاجمون بحاجة فقط للسيطرة على جهازين ، كل واحد فقط عنوان IP. الهجمات هي خارج المسار ، حيث يتحكم المهاجم في مضيفاته فقط ولا تشغل منصب متميز بين الضحية وبقية شبكة Ethereum. على النقيض من ذلك ، الأكثر شهرة هجمات الكسوف خارج المسار على Bitcoin تتطلب من المهاجم التحكم مئات الأجهزة المضيفة ، ولكل منها عنوان IP متميز. إلى عن على معظم مستخدمي الإنترنت ، هو أبعد ما يكون عن التافه للحصول على مئات (أو الآلاف) من عناوين IP. هذا هو السبب في الكسوف بيتكوين كان المهاجم المتصور [في بحث 2015] مكتمل الروبوتات أو مزود خدمة الإنترنت ، في حين أن BGP-hijacker Bitcoin الكسوف المهاجم المتصورة [في ورقة 2016] بحاجة إلى الوصول إلى BGP الناطقة بجهاز التوجيه الإنترنت. على النقيض من ذلك ، يمكن أن تكون هجماتنا يديرها أي طفل مع الجهاز والسيناريو.

رفع بار

في يناير ، أبلغ الباحثون نتائجهم إلى Ethereum المطورين. استجابوا من خلال إجراء تغييرات على geth ، أكثر تطبيق شعبية تدعم بروتوكول Ethereum. Ethereumيجب على المستخدمين الذين يعتمدون على geth التأكد من قيامهم بتثبيت الإصدار 1.8 أو أعلى. الباحثون لم يحاولوا نفس الهجمات ضد عملاء Ethereum الأخرى. في رسالة بريد إلكتروني ، مطور Ethereum Felix Lange كتب:

“لقد بذلنا قصارى جهدنا للتخفيف من الهجمات في الحدود البروتوكول. تشعر الورقة بالكسوف “منخفض الموارد” الهجمات. بقدر ما نعلم ، تم رفع شريط عالية بما فيه الكفاية أن الهجمات الكسوف ليست مجدية دون أكثر جوهرية الموارد ، مع بقع التي تم تنفيذها في geth v1.8.0. “Lange ذهب إلى القول إنه لم يصدق شعبية أخرى تطبيق Ethereum يسمى Parity عرضة لنفس الهجمات.

الورقة التي تحمل عنوان الكسوف المنخفض الموارد لهجمات على Ethereum شبكة نظير إلى نظير ، وصفت هجومين منفصلين. الابسط واحد يعتمد على عنوانين IP ، والتي تولد كل أعداد كبيرة مفاتيح التشفير التي يستخدمها بروتوكول Ethereum لتعيين عقد نظير إلى نظير. المهاجم ثم ينتظر هدف لإعادة التشغيل الكمبيوتر ، إما في الوقت المناسب ، أو بعد القراصنة يرسل مختلف الحزم الخبيثة التي تسبب تعطل النظام. كما الهدف هو الانضمام إلى شبكة Ethereum ، ويستخدم المهاجم مجموعة من العقد لتأسيس اتصالات واردة قبل الهدف يمكن أن تنشئ أي منها المنتهية ولايته.

الأسلوب الثاني يعمل عن طريق إنشاء عدد كبير من العقد التي يسيطر عليها المهاجمون وإرسال حزمة خاصة يسمم بفعالية قاعدة بيانات الهدف مع الاحتيال العقد. عند إعادة تشغيل الهدف ، يقوم جميع الزملاء بالاتصال به سوف تنتمي إلى المهاجم. في كلتا الحالتين ، بمجرد أن الهدف هو معزولة عن العقد المشروعة ، يمكن للمهاجم تقديم كاذبة نسخة من blockchain. مع عدم وجود أقرانهم يتحدون هذا الإصدار ، والهدف سوف نفترض النسخة التلاعب هو المسؤول blockchain.

إنه بشأن الوقت

قراءة متعمقة

يمكن للهجمات الجديدة على Network Time Protocol هزيمة HTTPS وإنشاء الفوضى قدم الباحثون تقنية ثالثة تجعل الكسوف هجمات أسهل لتنفيذ. باختصار ، وهو يعمل عن طريق تحديد ساعة الكمبيوتر الخاصة بالهدف قبل 20 ثانية أو أكثر من العقد الأخرى في شبكة Ethereum. لمنع ما يسمى هجمات الإعادة – في الذي يقوم أحد المتطفلين بإعادة إرسال رسالة مصادقة قديمة في محاولة لتنفيذه أكثر من مرة – يرفض بروتوكول Ethereum الرسائل التي يزيد عمرها عن 20 ثانية. من خلال تحديد الهدف على مدار الساعة ، يمكن للمهاجمين أن يتسبب الهدف في فقدان الاتصال مع الجميع المستخدمين الشرعيين. استخدام المهاجمين العقد الخبيثة مع نفسه الوقت على مدار الساعة للاتصال بالهدف. بعض من نفس الباحثين وراء تقنية الكسوف Ethereum وصفت مجموعة متنوعة من التوقيت الهجمات في ورقة منفصلة نشرت في عام 2015.

وضعت المطورين Ethereum إجراء مضاد في مكان ضد الهجوم الأول الذي يضمن كل عقدة سوف تجعل دائما المنتهية ولايته اتصالات مع أقرانهم الآخرين. إصلاح للهجوم الثاني المعنية الحد من عدد الاتصالات الصادرة التي يمكن أن يقوم بها الهدف نفس / 24 قطعة من عنوان IP إلى 10. تم تصميم التغييرات ل اجعل الأمر أكثر صعوبة لعزل المستخدم تمامًا عن المستخدمين الشرعيين الآخرين. عندما تقدم حتى عقدة واحدة للمستخدمين نسخة مختلفة من blockchain ، سيتم تحذيرهم من الخطأ الذي يهزم الهجوم بشكل فعال.

لم يقم مطوروو Ethereum بتنفيذ إصلاح للوقت هجوم. لأنه يتطلب عموما مهاجم للتلاعب حركة المرور عبر اتصال الإنترنت الهدف أو لاستغلالها نقاط الضعف غير Ethereum على الكمبيوتر الهدف ، على الأرجح يشكل تهديدا أقل من الهجومين الآخرين.

الباحثون من جامعة بوسطن وجامعة بيتسبرغ ، حذر المستخدمين لحماية أنفسهم من الكسوف التهديد.

“بالنظر إلى أهمية Ethereum المتزايدة للعالمية النظام الإيكولوجي blockchain ، نعتقد أنه من الضروري أن التدابير المضادة وكتبوا “منعهم في أسرع وقت ممكن”. “يجب على مشغلي عقدة Ethereum الترقية على الفور إلى geth v1.8 “.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: