摘要:Eth2中的时间服务器攻击之前也有人讨论过。但迄今为止,主流意见都认为这种攻击只能导致验证者暂时离线,等节点运营者重建正确的时间同步措施,节点就能重新回到线上。但是,如果节点可以被诱去签署一条有关遥远未来某个epoch的见证消息,危险性就远不止暂时离线这么简单:因为共识算法的环绕投票罚没规则,这些节点在整个网络实际到达该错发的见证消息的目标epoch之前,将不能再签名任何见证消息。在共识规则的运作下,这种时间服务器攻击会导致受攻击的验证者几乎永远离线,而相关的权益人也会因为懒惰惩罚而付出惨痛代价。
攻击界面
国家标准《区块链和分布式记账技术 参考架构》于5月23日获批发布:金色财经报道,国家标准GB/T 42752-2023《区块链和分布式记账技术 参考架构》于5月23日获批发布。国家标准《区块链和分布式记账技术 参考架构》由TC590(全国区块链和分布式记账技术标准化技术委员会)归口,主管部门为工业和信息化部。主要起草单位包括中国电子技术标准化研究院、中国人民银行数字货币研究所、上海万向区块链股份公司等;主要起草人包括周平、穆长春、李鸣等。
据全国标准信息公共服务平台,《区块链和分布式记账技术 参考架构》于2023年5月23日发布,将于2023年12月1日实施。[2023/5/26 9:44:28]
Eth2中的见证消息就是验证者签过名的、包含所认可的来源检查点和目标检查点的信息;来源检查点和目标检查点都以时段号和区块根来表示。CasperFFG的算法的安全性保证之一便是“无环绕投票”规则:验证者签名过的任意两条消息中,不能出现有?attestation1.source<attestation2.source?且?attestation2.target<attestation1.source?的情况。
动态 | 科创信息:正研究区块链技术 编写区块链政府服务解决方案:据新浪财经消息,1月22日,科创信息(300730.SZ)在问董秘平台回答投资者提问时表示,针对区块链,公司正在对其技术进行研究,公司针对区块链在政务服务中的解决方案正在编写。[2020/1/22]
我们可以按如下手法炮制一次时间服务器攻击:第一步是通过操纵时间服务器的时间,使之跳转到未来的某个时间,使得被攻击验证者的时间也跳转到未来,这个时间必须短于懒惰惩罚致使验证者余额降低至零的时间,否则验证者就不会再签名见证消息了。
然后我们需要诱相关的节点,使之认为它其实是跟链保持同步的,然后它才会签署见证消息。如果攻击者控制了多个对等节点,这一点总是有可能做到的,只需在点对点的网络频道中发送一些来自未来时间的见证消息和区块即可。控制多个节点也是容易实现的,所以这并不是一个不现实的攻击者假设。
动态 | 富士通开发基于区块链的新技术 旨在实现更安全的在线交易:据Financefeeds 7月4日消息,富士通实验室利用区块链开发了一项基于DID的技术,该技术可以分析在线交易中存在的伪造风险和对方个人凭证的可信度。[2019/7/4]
一旦目标验证者签名了一条以未来epoch为目标epoch的见证消息,攻击者就可以把这条消息保存下来,然后确定这名验证者在整个网络实际到达那个未来epoch之前,都不能再签名任何见证消息了。当前所有Eth2实现的验证者客户端都有措施防止该验证者签署相互冲突的见证消息,因此该验证者实质上就是离线了。
普京看好区块链技术 呼吁确保数字货币安全性:据凤凰科技引用Russia Insight报道,在日前俄罗斯国内一次会议上,俄罗斯总统普京与俄罗斯最大银行总裁探讨了区块链技术。普京完全看好区块链技术,俄罗斯有丰富的油气资源,可以与区块链技术进行很好的结合,但必须保证数字货币的安全性。普京对数字货币十分关注,在多次会议上提及,但也一直持谨慎态度。去年一场有关数字货币的会议他曾表示,数字货币在一些国家已经成为或正在变成一种支付方式或投资资产,但使用这种货币存在严重风险,会给、逃税、资助恐怖主义和等行为创造条件,普通百姓可能会因此受到伤害。[2018/2/25]
结果
一名攻击者可以通过一个时间服务器来驱逐所有TA能影响到的验证者。这种攻击会比此前使用同样界面所设想的攻击更为恶劣,因为影响不是暂时的,而是持久得多。虽然我们有可能在几分钟之内就能发现这样的攻击,而且所有专业的节点都能在几个小时内恢复正常时间,但这于事无补,因为损害已经发生了——而且可以导致验证者的惨重损失,例如,可能有很多验证者会因为指数升高的懒惰惩罚而被提出网络。
缓解措施
加入验证者客户端不罚没规则
我们可以在验证者客户端中加入一条不罚没规则:要求他们在签署所有消息前都评估当前的时间,而且不要提前签署未来的消息。这个办法其实只有在验证者客户端与信标链节点没有部署在同一台机器上且没有被攻击波及时才有用。不过,对于密钥分割型验证者来说是一个明确的改进,因为这个规则将不允许领导哦啊这节点提议一条未来的见证消息,可以阻挡验证者的行动。
为时间同步措施加入更多的保护
本文所提出的问题表明,时间服务器的同步措施所包含的攻击界面比我们从前设想的严重得多,必须引起我们的注意。
小幅度的时间偏移虽然恼人,但不会导致严重的问题,所以,仅在时间服务器推送的更新与本地的RTC时间相差幅度在一定范围内才使用更新、否则就拒绝更新,似乎是更好的模式。
但这个模式仍会遗留一个攻击界面在启动进程中。因此时有发生的大规模电源中断可能会演变成严重的问题、一次性影响众多验证者。我认为,可以让验证者客户端在启动前先检查罚没保护数据库、如果在几个小时乃至几天内都没有签名过任何消息,就拒绝启动。长时间不签名消息意味着可能发生了时间服务器攻击。可以添加一个强制启动的标签来应对例外情况。
。
?https://arxiv.org/abs/1710.09437?Timeattacksandsecuritymodels
原文链接:?https://ethresear.ch/t/eth2-attack-via-time-servers/8049作者:?dankrad翻译:?阿剑
2020年10月8日晚间,深圳市人民政府发布通知,将联合人民银行在罗湖区开展数字人民币红包促进消费试点活动,由罗湖区财政出钱,面向在深个人,采取预约后“摇号抽签”形式.
1900/1/1 0:00:00要点:第三季度DeFi活动蓬勃发展。这是来自指标网站CoinGecko的新报告。尽管如此,交易量在第三季度的最后一个月即9月有所下降.
1900/1/1 0:00:00人们曾无数次地谈起区块链的适用场景和使用时机。但实际上,简单粗暴地将区块链和所有业务捆绑在一起的行为是非常愚蠢且荒谬的。单纯用“区块链”这个词进行炒作的话,结果终将是一场空.
1900/1/1 0:00:002020年以来,全球知名上市公司加快了布局比特币的脚步。根据BitcoinTreasuries网站统计,目前,有超过69亿美元的比特币是由上市公司所持有,其中包括美国软件巨头MicroStrat.
1900/1/1 0:00:002021年初,Interlay将推出Polkadot的首个无信任包装的比特币PolkaBTC,这是波卡迈向真正互操作生态系统的关键一步.
1900/1/1 0:00:00来源:碳链价值 最近,通过去中心化交易所处理的加密货币交易额已经超过了主流中心化加密货币交易所.
1900/1/1 0:00:00
木星链