• [ ]
• [ ] ​

ObrigadoAmbição 3, terence 3, Artem 9, Equipe de Protocolo de Pesquisa de Titânia para discussão e feedback

TL;DR

Este documento classifica os métodos de ataque contra o PoS Ethereum e propõe contramedidas, especialmente contra o notoriamente perigoso ataque de 51%. Os principais pontos são os seguintes:

1. Classificação dos Métodos de Ataque: Dois indicadores, furtividade de ataque e sustentabilidade de ataque, são introduzidos para analisar métodos de ataque conhecidos.
2. Riscos de um Ataque de 51%:Ele destaca o perigo particular representado por ataques em que o atacante controla mais de 51% da taxa de participação e explica por que esse é o caso.
3. Propostas para Novas Defesas:Duas novas mecanismos são sugeridos para combater a alta probabilidade de um ataque de 51%: Detecção de Votação Fechada, que detecta o potencial desse tipo de ataque, e Finalização Dinâmica Emergente, que atrasa a finalização quando o risco está elevado.
4. Preocupações e Desafios Futuros: Ele aborda possíveis problemas com os mecanismos propostos e discute futuras direções de pesquisa.

O objetivo desta proposta é melhorar a segurança do Ethereum PoS, especificamente fortalecendo as defesas contra o perigoso ataque de 51%.

1. Classificação dos Métodos de Ataque Existente

Vários métodos de ataque contra PoS Ethereum são conhecidos, com resultados potenciais que os atacantes podem visar realisticamente, incluindo reorganização, dupla finalidade e atraso da finalidade. Um fator crucial nesta análise é a proporção de apostas exigida para um ataque, indicando a participação mínima necessária, que serve como uma barreira de entrada. No entanto, quase tão crítico é a sustentabilidade do ataque, que mede quão continuamente um atacante pode manter o ataque. Se um ataque for sustentável, ele pode causar danos significativos. Além disso, a stealthabilidade do ataque também é importante, pois indica quão secretamente um atacante pode executar um ataque. Se um protocolo não consegue detectar um ataque, torna-se difícil determinar se medidas defensivas são necessárias. Valores mais altos para ambas as métricas indicam uma perspectiva mais negativa do ponto de vista do protocolo. Os métodos de ataque representativos analisados incluem:

1. Atraso de finalidade ataque de 33%
2. Ataque de dupla finalidade de 34%
3. Ataque de 51% de reorganização e censura (controle sobre o futuro)
4. Ataque de reorganização curta e censura de 66% (controle sobre o passado e o futuro)

A: Atraso na finalidade 33% de ataque

O atraso de finalização é um ataque que pode ser executado com uma proporção de aposta de 33%. O atacante impede a finalização não fornecendo 33% das atestações. Uma medida defensiva durante esse ataque é o mecanismo de vazamento de inatividade. Esse mecanismo identifica validadores que falham em atestar ou atestam contra a maioria, reduzindo o ETH apostado desses validadores inativos. Durante um ataque de 33%, o vazamento de inatividade é ativado, fazendo com que o ETH do atacante diminua e caia abaixo do valor necessário para sustentar o atraso de finalização. Consequentemente, a sustentabilidade do ataque é relativamente baixa e temporária, tornando-o mais fácil de detectar devido ao vazamento de inatividade.

B: Ataque de dupla finalidade de 34%

Dupla finalidade refere-se a um ataque em que o atacante apresenta atestações para finalizar duas ramificações simultaneamente. Para obter a dupla finalidade, o atacante requer uma taxa de aposta de 34%. O atacante se envolve em votação dupla para os 34% das atestações, trabalhando para finalizar ambas as bifurcações. As medidas defensivas durante esse ataque incluem o mecanismo de corte. Como a votação dupla é proibida, o atacante perderia seu ETH apostado, tornando o ataque facilmente detectável (baixa indetectabilidade). Além disso, a penalidade de corte substancial significa que o ataque provavelmente só ocorrerá uma vez; se o atacante tivesse orçamento para atacar várias vezes, ele provavelmente escolheria um ataque de 66% em vez disso. Assim, a sustentabilidade do ataque para este método também é muito baixa.

C: Short-reorg & censoring 51% attack (control over future)

Quando um atacante possui uma proporção de staking de 51%, ele pode manipular o algoritmo de escolha de fork. Os ataques A e B foram direcionados ao Casper FFG (gadget de finalidade), enquanto este ataque visa o LMD GHOST (algoritmo de escolha de fork). Nesse cenário, o atacante pode criar livremente o ramo mais pesado no LMD GHOST, fazendo com que os validadores honestos sigam o ramo do atacante, resultando em finalização. Isso permite que o atacante censure transações específicas e realize reorganizações de curto prazo (reorg) para maximizar seu valor extrativel de minerador (MEV) sem incorrer em penalidades de slashing.

Nas ataques A e B, existiam mecanismos para reduzir o potencial do atacante ao ocorrer. No ataque A, o vazamento por inatividade diminui a proporção de apostas do atacante abaixo do limite de 33%, tornando o ataque impossível. No ataque B, um terço de sua proporção de apostas é reduzido durante esse período, tornando os ataques repetidos efetivamente inviáveis.

No entanto, atualmente não existem medidas defensivas algorítmicas contra o ataque C. Mesmo que haja um slot com uma proporção de votação de 51%, não há maneira de distinguir se essa atestação é maliciosa ou uma discordância legítima entre validadores honestos. Isso significa que a indetectabilidade do ataque é significativamente alta. Assim que um ataque tem sucesso, o atacante pode continuar persistentemente o ataque até que uma decisão de hard fork seja tomada através da camada social, resultando em uma sustentabilidade de ataque muito alta.

D: Short-reorg & censurando 66% ataque (controle sobre o passado e o futuro)

No ataque de reorganização curta e censura de 66%, o atacante pode manipular livremente a finalização, reescrever cadeias passadas e finalizar novos ramos. As características do ataque D são semelhantes às do ataque C, ambos exibindo alta indetectabilidade e alta sustentabilidade.

Um ponto crítico a destacar é que após executar um ataque de 51%, o atacante pode utilizar os lucros para visar um ataque de 66%. Os ganhos potenciais de um ataque de 51% são significativamente maiores em comparação com ataques de 33% e 34%, e porque eles não incorrem em penalidades como vazamento de inatividade ou slashing, uma tentativa bem-sucedida poderia aumentar exponencialmente sua dominação.

Resumo dos métodos de ataque

A tabela a seguir resume as características dos métodos de ataque representativos analisados:

A partir desta tabela, pode-se observar uma tendência interessante: os ataques nos níveis de 33% e 34% (A e B) são fáceis de detectar e apresentam baixa sustentabilidade, enquanto os ataques de 51% ou mais (C e D) são difíceis de detectar e mostram alta sustentabilidade, ilustrando uma clara dicotomia.

2. O Impacto Potencial de um Ataque de 51%

Gostaria de enfatizar a importância de considerar os piores cenários em relação à segurança do PoS Ethereum. Simplificando, há uma possibilidade real de que o Ethereum possa enfrentar uma situação descrita como "game over". Se tal cenário ocorresse, todas as atividades e dados passados dentro de inúmeros ecossistemas seriam tornados nulos.

Referring to the earlier table, attacks A and B have low levels of both attack undetectability and attack sustainability. From the perspective of an attacker, there is a high likelihood that their actions will be exposed, and these attacks tend to be short-lived.

Por outro lado, os ataques C e D exibem altos níveis tanto de furtividade quanto de sustentabilidade. Para os atacantes, essas ações são menos propensas a serem detectadas, permitindo-lhes manter o ataque por um período mais longo e potencialmente obter lucros imensos. Ao considerar qual dos dois ataques, C ou D, focar, devemos primeiro prestar atenção à proporção de aposta como uma barreira ao ataque. Embora ambos os ataques possam causar danos significativos, o ataque C, que requer uma quantidade absoluta menor para ser executado, é mais realisticamente direcionado (especialmente considerando seu potencial de levar ao ataque D). À luz dessas considerações, esta discussão explorará medidas defensivas contra ataques de reorganização curta e censura de 51%.

A questão chave com reorganização curta e ataques de censura de 51%, como mencionado acima, é o alto nível de indetectabilidade e sustentabilidade dos ataques, o que implica que o dano potencial pode ser extenso.

Vamos aprofundar mais na sustentabilidade do ataque. O motivo pelo qual esses ataques são sustentáveis é que a única medida defensiva disponível é um hard fork por meio de consenso social, o que leva tempo considerável (como demonstrado pelo incidente DAO, que levou um mês desde a descoberta do hack até o hard fork). Durante este intervalo, blocos e épocas finalizados pelo atacante vão se acumular na cadeia legítima. Validadores honestos correm o risco de serem penalizados por atestar blocos em uma cadeia ilegítima que se tornou minoria apesar de ser a canônica. A questão central do problema reside no fato de que o número de épocas necessárias para a finalização é fixo; portanto, mesmo em emergências, a finalização ocorre nas mesmas duas épocas (aproximadamente 13 minutos) como ocorre em circunstâncias normais.

3. Propostas para Detectar e Defender-se de Ataques de 51%

Em caso de ataque de 51%, antecipamos que as atestações apresentarão uma margem estreita, como 50,5% vs. 49,5%, e tais competições acirradas são relativamente raras durante as operações normais. Introduzimos uma métrica para indicar a probabilidade do atual epoch ser atacado com base no número de slots onde as votações principais estão 'próximas'. Além disso, à medida que essa métrica aumenta, o número de epochs necessários para a finalização aumentará exponencialmente. Esse mecanismo permite o adiamento algorítmico da finalização durante emergências, permitindo que a comunidade responda aos atacantes por meio de meios sociais sem exigir um hard fork. Como os períodos normais de finalização permanecerão inalterados, essa implementação pode ser integrada sem problemas sem comprometer a experiência do usuário. Propomos o mecanismo de detecção de votação próxima para o primeiro e a finalização dinâmica emergente para o último como defesas contra ataques de 51%.

Detecção de Voto Fechado

Quando ocorre um ataque de 51%, os atacantes escolhem deliberadamente uma cabeça que parece canônica por ser a mais pesada. Validadores honestos ainda podem propor bloqueios, mas os atacantes podem facilmente manipular a cabeça canônica por meio de reorganizações de curto prazo sempre que acharem os bloqueios propostos indesejáveis. Quanto mais próximo estiver o índice de staking do atacante de 50%, mais próxima será a quantidade de atestados de 50%. Esses atestados que estão muito próximos de 50% da cabeça serão chamados de "votos apertados". Atualmente, a determinação de finalizar ou não uma época é feita no último slot dessa época, onde adicionaremos a contagem de votos apertados.

Finalização Dinâmica Emergente

Se a ocorrência de votos próximos exceder um certo limite, o sistema reconhecerá um estado de emergência e aumentará significativamente o número de épocas necessárias para a finalização. Como resultado, o atacante precisará manter uma maioria substancial de votos por um período mais longo para alcançar a finalização. Durante esse tempo, a comunidade terá a oportunidade de implementar contramedidas. Especificamente, se o número de slots classificados como votos próximos na época atual exceder um certo limite, o número necessário de épocas para a finalização será elevado dramaticamente dos dois padrão. Nos referimos a isso como modo de emergência. Embora haja muito espaço para debate sobre qual deve ser esse valor, visar uma melhoria significativa em relação ao atraso de um mês do incidente do DAO pode sugerir tentar um valor como

. Isso exigiria que o atacante continuasse seu ataque por cerca de nove dias (32.768 * 12 segundos ≈ 4.551.168 segundos ≈ 9 dias), fornecendo à comunidade tempo suficiente para implementar contramedidas rapidamente. Esse mecanismo defensivo garante que as operações normais da rede não sejam afetadas e seja ativado apenas durante emergências, permitindo assim uma implementação suave sem prejudicar a experiência do usuário. Além disso, como funciona de forma algorítmica, pode ser executado imediatamente sem esperar pelo julgamento humano, permitindo respostas rápidas.

Formalização

Vamos definir os seguintes símbolos, onde W, E, Fsão parâmetros:

• i: Índice de slot da época atual, variando de 1 a 32
• Ci: Indica se a votação no índice do slot i está próxima (1) ou não (0)
• Vi: A porcentagem de atestações no índice de slot i, expressa em %
• F: O número de épocas necessárias para a finalização

Em sua forma inicial mais simples, propomos o seguinte:

Aqui estão os parâmetros definidos:

• W: O desvio de ponto percentual de 50% que se qualifica como um voto próximo
• E: O número limite de slots de votação para fechamento para acionar o modo de emergência
• D: O número de épocas necessárias para finalização quando em modo de emergência

As fórmulas fornecidas definem dois indicadores que indicam a possibilidade de um ataque de 51%. Primeiro, Ci indica se um slot específico é considerado um voto próximo, resultando em 1 quando |Vi−0.5|

cai dentro do limiar W. Em segundo lugar, F indica o número de épocas necessárias para a finalização. Portanto, se o número de slots de voto próximo atingir o limiar E, o número necessário de épocas aumenta para D, planejando assim ataques sustentados e mitigando seus impactos potenciais. Vamos considerar valores específicos:

Assim, temos:

Com essas configurações, se o percentual de atestado Vi para qualquer vaga estiver dentro de ±1% de 50%, essa vaga será contada como um voto apertado. Se, por exemplo, 4 das 32 vagas forem votos apertados, o total de Ci será 4, exigindo que F seja definido como 2¹⁵. Consequentemente, o atacante não será capaz de finalizar a cadeia por aproximadamente nove dias, permitindo à comunidade tempo suficiente para implementar um hard fork rápido para restaurar a legítima cadeia de blocos do Ethereum.

Reduzindo o dano máximo estimado

O objetivo desta proposta é reduzir o dano máximo estimado durante um ataque de 51%. Visa mitigar a probabilidade de um cenário de 'jogo acabado'. Embora seja desafiador discutir mudanças quantitativas específicas, é viável definir o parâmetro D para garantir que a duração não se estenda a um mês, como no incidente do DAO. É essencial considerar que o tempo de resposta antecipado da camada social também deve ser considerado neste aspecto.

Além disso, vários serviços que interagem com o Ethereum, como outras blockchains e exchanges centralizadas, podem operar com base nesse D. Ao introduzir mecanismos algorítmicos, os ecossistemas circundantes também serão capazes de responder de forma algorítmica.

4. Preocupações e Trabalhos Futuros

Preocupações com novos mecanismos de atraso de finalidade

Existe a preocupação de que esta proposta possa inadvertidamente criar um novo mecanismo de atraso de finalização. Por exemplo, é possível controlar aleatoriamente 51% de dominância sobre

L ocorrências entre 32 slots, que podem ser facilmente calculadas usando uma distribuição binomial. Embora o incentivo econômico para atrasar a finalidade seja geralmente baixo, não podemos descartar incentivos potenciais que podem não ter sido considerados. Se tais incentivos surgirem, eles poderiam potencialmente ser abordados introduzindo um sistema de reputação. Como as atestações envolvem assinaturas, tentativas de se passar por outros validadores exigiriam um tempo significativo para serem executadas.

Examinando o procedimento para implementar um hard fork via camada social

Para determinar os parâmetros ótimos, precisamos examinar cuidadosamente os procedimentos específicos necessários para executar um fork duro através da camada social.

Determinando os parâmetros W, E, D e a fórmula F através de evidências empíricas

É necessário determinar empiricamente valores adequados para os parâmetros W (definindo o intervalo para votos de encerramento), E (definindo o limite para ativação do modo de emergência) e D (definindo o quanto adiar a finalização). Além disso, D é um componente da fórmula F, mas também poderíamos considerar um design mais dinâmico onde o aumento no número de votos de encerramento ∑iCi resultaria em um valor maior para F.

Determinação das especificações de atestação

Precisamos determinar as especificações para as atestações.

• Como lidar com justificativas durante o modo de emergência
• O comportamento de vazamentos de inatividade durante o modo de emergência
• Como atualizar especificamente os tipos de dados enviados por meio de atestados.

5. Conclusão

Nesta proposta, focamos no ataque de 51% particularmente perigoso como um dos métodos de ataque contra o PoS Ethereum, discutindo seus riscos e implicações enquanto propomos novas estratégias de defesa. Especificamente, nosso objetivo era melhorar a resistência a ataques de 51% introduzindo mecanismos como Detecção de Voto Próximo e Finalização Dinâmica Emergente.

Pesquisas futuras devem explorar melhor a eficácia das estratégias de defesa propostas e sua aplicabilidade a outros métodos de ataque. Há também a necessidade de continuar investigando a otimização de parâmetros e métodos específicos de implementação.

Além disso, analisar os métodos de ataque contra diferentes algoritmos de consenso e formular estratégias de defesa com base em incentivos sociais são direções valiosas para discussão adicional. Estou ansioso para me envolver com a comunidade Ethereum sobre o valor dessas ideias e abordar quaisquer preocupações.

Referência

• Ataque e defesa de prova de estaca do Ethereum | ethereum.org 1
• História e Forks do Ethereum | ethereum.org
• Understanding The DAO Attack
• Fork Difícil Concluído | Blog da Ethereum Foundation

Disclaimer:

1. Este artigo é reproduzido a partir de [Ethresear]. Todos os direitos autorais pertencem ao autor original [Titania Research 6]. Se houver objeções a esta reimpressão, entre em contato com o Gate Aprendaequipe e eles lidarão com isso prontamente.
2. Isenção de Responsabilidade: As visões e opiniões expressas neste artigo são exclusivamente do autor e não constituem aconselhamento de investimento.
3. A equipe da Gate Learn traduziu o artigo para outros idiomas. Copiar, distribuir ou plagiar os artigos traduzidos é proibido, a menos que mencionado.