Ethereum corrige una falla grave de “eclipse” que podría ser explotado por cualquier niño

Ethereum corrige una falla grave deAgrandar Armin Kübelbeck

Desarrolladores de Ethereum, la moneda digital número 2 del mundo por capitalización de mercado, han cerrado un grave agujero de seguridad que permitía a prácticamente cualquier persona con conexión a Internet manipular El acceso de los usuarios individuales al libro mayor de acceso público.

Los llamados ataques de eclipse funcionan al evitar una criptomoneda usuario de conectarse a pares honestos. Pares controlados por el atacante luego alimente al objetivo con una versión manipulada de la cadena de bloques toda la comunidad de divisas se basa para conciliar transacciones y hacer cumplir las obligaciones contractuales. Los ataques de Eclipse se pueden usar para engañar a los objetivos para que paguen por un bien o servicio más de una vez y para cooptar la potencia informática del objetivo para manipular algoritmos que establecen un consenso crucial para el usuario. Porque Ethereum es compatible “contratos inteligentes” que ejecutan automáticamente transacciones cuando ciertas condiciones en la cadena de bloques están presentes, el eclipse de Ethereum los ataques también se pueden usar para interferir con los que se hacen cumplir acuerdos.

Como la mayoría de las criptomonedas, Ethereum usa un peer-to-peer mecanismo que compila la entrada de usuarios individuales en un blockchain autoritario. En 2015 y nuevamente en 2016, separe los equipos de investigación idearon ataques de eclipse contra Bitcoin que explota las debilidades de P2P. Ambos fueron relativamente difíciles de lograr. El ataque de 2015 requirió una botnet o un pequeño ISP que controlaba miles de dispositivos, mientras que el ataque de 2016 se basó en el control de grandes porciones de direcciones de Internet a través de una técnica conocida como secuestro de protocolo de puerta de enlace fronterizo. Las demandas hicieron probable que ambos ataques solo pueden ser realizados por hackers con buenos recursos.

Atención script kiddies

Muchos investigadores creían que los recursos necesarios para un El ataque exitoso del eclipse contra Ethereum sería considerablemente más alto que los ataques de Bitcoin. Después de todo, la red P2P de Ethereum incluye un mecanismo robusto para la autenticación criptográfica mensajes y, por defecto, sus pares establecen 13 conexiones salientes, en comparación con ocho para Bitcoin. Ahora, algunos de los mismos investigadores quienes idearon el ataque Bitcoin 2015 están de vuelta para establecer el récord Derecho. En un artículo publicado el jueves, escribieron:

Demostramos que la sabiduría convencional es falsa. Nosotros presentamos nuevos ataques de eclipse que muestran que, antes de la divulgación de este trabajar en enero de 2018, la red entre pares de Ethereum fue significativamente menos seguro que el de Bitcoin. Nuestro eclipse los atacantes solo necesitan controlar dos máquinas, cada una con solo una Dirección IP. Los ataques están fuera de ruta: el atacante controla los endhosts solo y no ocupa una posición privilegiada entre la víctima y el resto de la red Ethereum. Por el contrario, el más conocido Los ataques de eclipse fuera de ruta en Bitcoin requieren que el atacante controle cientos de máquinas host, cada una con una dirección IP distinta. por la mayoría de los usuarios de Internet, está lejos de ser trivial obtener cientos (o miles) de direcciones IP. Es por eso que el eclipse de Bitcoin atacante previsto [en la investigación de 2015] era un hecho y derecho botnet o proveedor de servicios de Internet, mientras que el secuestrador de BGP Bitcoin el atacante del eclipse previsto [en el documento de 2016] necesitaba acceso a un Enrutador de Internet central que habla BGP. Por el contrario, nuestros ataques pueden ser dirigido por cualquier niño con una máquina y un script.

Elevando el listón

En enero, los investigadores informaron sus hallazgos a Ethereum desarrolladores Ellos respondieron haciendo cambios a geth, la mayoría Aplicación popular que admite el protocolo Ethereum. Ethereumlos usuarios que confían en geth deben asegurarse de haber instalado la versión 1.8 o mas alto. Los investigadores no intentaron los mismos ataques contra otros clientes de Ethereum. En un correo electrónico, el desarrollador de Ethereum Felix Lange escribió:

“Hemos hecho todo lo posible para mitigar los ataques dentro de los límites del protocolo El documento se refiere al eclipse de ‘bajo recurso’ ataques Hasta donde sabemos, la barra se ha elevado lo suficiente que los ataques de eclipse no son factibles sin más sustanciales recursos, con los parches que se han implementado en geth v1.8.0. “Lange continuó diciendo que no creía en otro popular La aplicación Ethereum llamada Parity es vulnerable a los mismos ataques.

El documento, titulado Ataques de eclipse de bajos recursos en Ethereum Red de igual a igual, describió dos ataques separados. Lo más simple uno se basó en dos direcciones IP, cada una de las cuales genera grandes números de claves criptográficas que el protocolo Ethereum usa para designar nodos de igual a igual. El atacante luego espera a que un objetivo se reinicie la computadora, ya sea a su debido tiempo o después del hacker envía varios paquetes maliciosos que provocan un bloqueo del sistema. Como el el objetivo se está uniendo a la red Ethereum, el atacante usa el conjunto de nodos para establecer conexiones entrantes antes del objetivo puede establecer cualesquiera salientes.

La segunda técnica funciona creando una gran cantidad de nodos controlados por el atacante y enviando un paquete especial que envenena efectivamente la base de datos del objetivo con el fraudulento nodos Cuando el objetivo se reinicia, todos los pares a los que se conecta pertenecerá al atacante. En ambos casos, una vez que el objetivo es aislado de nodos legítimos, el atacante puede presentar un falso versión de la cadena de bloques. Sin pares desafiando esa versión, el objetivo asumirá que la versión manipulada es la oficial blockchain

Ya es hora

Otras lecturas

Los nuevos ataques al Protocolo de tiempo de red pueden derrotar a HTTPS y crear caos Los investigadores presentaron una tercera técnica que hace eclipse Ataques más fáciles de llevar a cabo. En pocas palabras, funciona configurando el reloj de la computadora del objetivo 20 o más segundos por delante de los otros nodos en la red Ethereum. Para evitar los llamados ataques de repetición, en que un hacker reenvía un viejo mensaje autenticado en un intento para ejecutarlo más de una vez: el protocolo Ethereum rechaza mensajes que tienen más de 20 segundos de antigüedad. Al establecer un objetivo reloj adelante, los atacantes pueden hacer que el objetivo pierda contacto con todos usuarios legítimos Los atacantes usan nodos maliciosos con el mismo hora del reloj para conectarse al objetivo. Algunos de los mismos investigadores. detrás de la técnica del eclipse Ethereum se describe una variedad de tiempos ataques en un documento separado publicado en 2015.

Los desarrolladores de Ethereum implementaron una contramedida contra el primer ataque que asegura que cada nodo siempre saldrá conexiones con otros compañeros. La solución para el segundo ataque involucrado limitar el número de conexiones salientes que un objetivo puede hacer para la misma porción de 24 direcciones IP a 10. Los cambios están diseñados para hacer que sea mucho más difícil aislar completamente a un usuario de otros usuarios legítimos Cuando incluso un solo nodo presenta a los usuarios una versión diferente de blockchain, se les advertirá de una error que efectivamente derrota el ataque.

Los desarrolladores de Ethereum no han implementado una solución para el tiempo ataque. Como generalmente requiere un atacante para manipular tráfico a través de la conexión a Internet del objetivo o para explotar vulnerabilidades no Ethereum en la computadora del objetivo, es probable plantea menos amenaza que los otros dos ataques.

Los investigadores, de la Universidad de Boston y la Universidad de Pittsburgh, advirtió a los usuarios que se protejan contra el eclipse amenaza.

“Dada la creciente importancia de Ethereum para el mundo ecosistema blockchain, creemos que es imperativo que las contramedidas impidiendo que sean adoptados lo antes posible “, escribieron. “Los operadores de nodos de Ethereum deberían actualizarse inmediatamente a geth v1.8. ”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: