Ataques de servidor de tiempo y mitigaciones en Eth2

Resumen: Los ataques al servidor de tiempo en Eth2 también se han discutido anteriormente. Pero hasta ahora, la opinión general es que este tipo de ataque solo puede desconectar temporalmente al validador y esperar a que el operador del nodo restablezca las medidas de sincronización de tiempo correctas, y el nodo puede volver a estar en línea. Sin embargo, si se puede engañar a los nodos para que firmen una atestación para una época en un futuro distante, el peligro va más allá de simplemente estar desconectados temporalmente: debido a las reglas de corte de votos envolventes del algoritmo de consenso, estos nodos no estarán disponibles hasta que toda la red realmente llega a esa época Antes de la época de destino del mensaje de certificación enviado incorrectamente, no se pueden firmar más mensajes de certificación (de lo contrario, se activará la barra). Bajo la operación de las reglas de consenso, este tipo de ataque al servidor de tiempo hará que el verificador atacado se desconecte casi para siempre, y las partes interesadas relevantes también pagarán un alto precio debido a la fuga de inactividad.

El mensaje de atestación en Eth2 es la información firmada por el validador que contiene el punto de control de origen y el punto de control de destino aprobados, tanto el punto de control de origen como el punto de control de destino están representados por el número de período (número de época) y la raíz del bloque (block root). . Una de las garantías de seguridad del algoritmo Casper FFG es la regla de "votación no envolvente": en dos mensajes cualesquiera firmados por el verificador, no puede haber  attestation1.source < attestation2.source  y  attestation2.target de < attestation1.source  (un mensaje de atestación intenta finalizar el rango que otro mensaje de atestación intenta finalizar).

Bitcoin se convirtió oficialmente en la moneda de curso legal de El Salvador: A la medianoche del 7 de septiembre, hora de El Salvador (14:00 del 7 de septiembre, hora de Beijing), Bitcoin se convirtió oficialmente en la moneda de curso legal de El Salvador.

Según noticias anteriores, la legislatura de El Salvador aprobó en junio de este año un proyecto de ley para establecer Bitcoin como moneda de curso legal, que entró en vigencia a las 0:00 horas del 7 de septiembre, y Bitcoin y el dólar estadounidense se usaron simultáneamente como moneda de curso legal en El Salvador. Los residentes del país pueden descargar la billetera digital del gobierno de forma gratuita, y los descargadores reciben $30 en bitcoins durante el proceso de configuración. [2021/9/7 23:05:48]

Podemos inventar un ataque al servidor de tiempo de la siguiente manera: el primer paso es saltar a un cierto tiempo en el futuro manipulando el tiempo del servidor de tiempo, de modo que el tiempo del verificador atacado también salte al futuro (por ejemplo, 15 a 20 días), este tiempo debe ser menor que el tiempo en que la penalización por pereza hace que el saldo del validador baje a cero, de lo contrario, el validador no firmará el mensaje de atestación nuevamente.

Luego, debemos engañar al nodo relevante para que piense que en realidad está sincronizado con la cadena, y luego firmará la atestación. Esto siempre es posible si un atacante controla varios pares, simplemente enviando algunas certificaciones y bloques de un tiempo futuro en un canal de red de igual a igual. El control de múltiples nodos también es fácil de lograr, por lo que no es una suposición poco realista del atacante.

Una vez que un validador de destino ha firmado un mensaje de atestación dirigido a una época futura, el atacante puede guardar el mensaje y asegurarse de que el validador no pueda firmar más atestaciones hasta que toda la red llegue realmente a ese mensaje de época futura (de lo contrario, el atacante podría enviar este mensaje, lo que hace que se corte). Todos los clientes de validadores implementados actualmente en Eth2 tienen medidas para evitar que el validador firme certificaciones en conflicto, por lo que el validador está efectivamente fuera de línea.

Un atacante puede usar un servidor de tiempo (o una instalación similar, como roughtime) para desalojar a todos los validadores en los que el TA puede influir. Tal ataque sería peor que un ataque previamente concebido usando la misma interfaz, ya que los efectos no son temporales sino mucho más persistentes. Si bien es posible que podamos detectar un ataque de este tipo en cuestión de minutos, y todos los nodos profesionales podrían recuperar el tiempo normal en unas pocas horas, esto no ayuda porque el daño ya está hecho, y puede conducir a validadores, por ejemplo, puede haber habrá muchos validadores que serán retirados de la red debido a las penalizaciones por pereza que aumentan exponencialmente.

Podemos agregar una regla sin barras a los clientes del validador: exigirles que evalúen la hora actual antes de firmar todos los mensajes y que no firmen previamente los mensajes futuros. En realidad, este método solo es útil cuando el cliente del validador y el nodo de la cadena de balizas no están implementados en la misma máquina y no se ven afectados por el ataque. Sin embargo, es una mejora definitiva para los validadores de división de claves, porque esta regla no permitirá que el líder proponga un mensaje de atestación futuro, lo que puede bloquear las acciones del validador.

Los problemas planteados en este documento muestran que las medidas de sincronización del servidor de tiempo contienen una superficie de ataque mucho más grave de lo que asumimos anteriormente y deben llamarnos la atención.

Aunque un pequeño desplazamiento de tiempo es molesto, no causará problemas serios, por lo tanto, parece mejor usar la actualización solo cuando la diferencia entre la actualización impulsada por el servidor de tiempo y el tiempo RTC local está dentro de un cierto rango, de lo contrario es rechazado.modo.

Pero este modo aún deja una superficie de ataque en el proceso de arranque. Por lo tanto, los cortes de energía ocasionales a gran escala pueden convertirse en problemas graves que afectan a muchos validadores a la vez. Creo que sería posible que el cliente del validador verifique la base de datos de protección de barra antes de comenzar y se niegue a comenzar si no se ha firmado nada durante horas o incluso días. Los mensajes sin firmar durante un largo período de tiempo significan que puede haber ocurrido un ataque al servidor de tiempo. Se puede agregar una etiqueta de inicio obligatoria para manejar las excepciones.

Tags：

XLM