Qu’est-ce qu’une attaque d’éclipse ?

TL;DR

- Une attaque par éclipse est une attaque par laquelle un acteur malveillant isole un nœud au sein d'un réseau peer-to-peer (P2P) afin d'obscurcir la vue d'un utilisateur sur le réseau et de perturber le réseau en général.
- Les attaques à éclipse sont similaires aux attaques Sybil, sauf que dans une attaque à éclipse, seul un nœud est visé, contrairement à une attaque Sybil qui vise l'ensemble du réseau.
- Certaines des conséquences attendues de l'attaque par éclipse sont la double dépense et la perturbation de l'alimentation des mineurs.
- Bien que les attaques par éclipse soient rares, on ne peut nier qu'elles peuvent être dévastatrices, et la manipulation d'un réseau de cette manière peut entraîner une perte de fonds et même des prises de contrôle malveillantes du réseau.


Introduction

Un ensemble d'utilisateurs situés à différents endroits, appelés "nœuds", contribuent à un réseau blockchain typique de crypto-monnaies (ou réseau peer-to-peer) en vérifiant les transactions afin de garantir leur légitimité et de sécuriser le réseau. Étant donné que chaque nœud d'un réseau a un certain pouvoir et qu'un nœud ne peut se connecter qu'à un nombre limité d'autres nœuds à un moment donné (en raison des limitations de la bande passante), il peut être exploité à des fins illicites par un individu malveillant.

Une attaque par éclipse cible un seul nœud et l'entoure uniquement de nœuds compromis. L'isolement du nœud signifie que les nœuds compromis recevront toutes leurs données sortantes, et que les mêmes nœuds enverront toutes leurs données entrantes. Lorsque les nœuds attaquants réussissent à inonder les communications d'un nœud, un faux environnement peut être créé (tant que le nœud se connecte avec les nœuds malveillants lors de la reconnexion avec le réseau blockchain). Le nœud victime involontaire croit que le faux environnement est légitime et continue à fonctionner normalement. Cependant, la vision qu'a le nœud du réseau est déformée.

Qu'est-ce qu'une attaque d'éclipse ?

On parle d'attaque par éclipse lorsqu'un acteur malveillant isole un utilisateur ou un nœud spécifique au sein d'un réseau peer-to-peer (P2P) pour masquer la vue de l'utilisateur sur le réseau en vue d'attaques plus complexes ou pour perturber le réseau en général. Les attaques Eclipse sont similaires aux attaques Sybil, mais leurs objectifs sont différents. Elles sont similaires en ce sens qu'un réseau spécifique est inondé de faux pairs. La différence est que dans une attaque par éclipse, un seul nœud est visé. Une attaque Sybil, en revanche, vise l'ensemble du réseau.

Les attaques par éclipse sont examinées en détail dans un article de 2015 intitulé "Eclipse Attacks on Bitcoin's Peer-to-Peer Network", rédigé par des chercheurs de l'université de Boston et de l'université hébraïque. Dans cet article, les auteurs ont discuté des résultats qu'ils ont obtenus en lançant des attaques par éclipse et des contre-mesures potentielles.

Dans une attaque par éclipse, un attaquant tente de rediriger les connexions entrantes et sortantes des nœuds légitimes vers ses propres nœuds. En conséquence, la cible est isolée du réseau réel.

Comme la cible n'est plus connectée au grand livre distribué de la blockchain, l'attaquant peut manipuler le nœud isolé. Une attaque par éclipse peut provoquer des perturbations dans l'extraction de blocs ainsi que des confirmations de transactions illégitimes.


Comment fonctionne une attaque d'Eclipse ?

Dans une attaque par éclipse, les attaquants utilisent généralement un botnet ou un réseau fantôme pour compromettre et isoler un nœud. Les attaques par éclipse cryptographique sont possibles car les nœuds d'un réseau décentralisé ne peuvent pas se connecter simultanément à d'autres nœuds en raison de contraintes de bande passante. Par conséquent, les nœuds ne se connectent qu'à plusieurs nœuds voisins.

Pour cette raison, un acteur de la menace s'efforce de compromettre la connexion de l'utilisateur cible avec le petit nombre de nœuds auxquels il se connecte. Un attaquant compromet un nœud en utilisant un réseau fantôme ou botnet. Ce réseau, composé de nœuds hôtes, inonde un nœud cible d'adresses de protocole Internet (IP). Lorsque la cible se reconnecte au réseau blockchain, elle peut se synchroniser.

L'attaquant attendra que la cible se reconnecte avec des nœuds infectés ou effectuera un déni de service distribué (DDoS) pour forcer la cible à se reconnecter au réseau.




Conséquences de l'attaque d'Eclipse
• Attaques à double tranchant :
Une double dépense sans confirmation est le premier résultat possible d'une attaque par éclipse. Il s'agit de "dépenser" deux fois une crypto-monnaie. Supposons qu'un utilisateur distinct ait envoyé de l'argent au nœud isolé. Un attaquant peut également avoir accès à cette crypto-monnaie et la dépenser lui-même en utilisant une attaque par éclipse. Lorsque le nœud destinataire légitime se rend compte qu'une double dépense sans confirmation a eu lieu, il est généralement trop tard ; la crypto-monnaie qu'il a reçue a déjà été dépensée et volée par l'attaquant.

Un attaquant peut détourner une victime déconnectée de son réseau légitime pour qu'elle accepte une transaction qui utilise l'une ou l'autre de ces deux méthodes :
Une entrée invalide
La même entrée qu'une transaction précédemment validée sur un réseau légitime.

• Perturbation de l'alimentation des mineurs :
L'attaquant peut dissimuler qu'un bloc a été extrait de la cible, en dupant la victime pour qu'elle gaspille sa puissance de calcul en extrayant des blocs orphelins. Un bloc orphelin a été résolu mais n'a pas été accepté par le réseau blockchain.

L'attaquant peut alors utiliser le réseau pour augmenter son taux de hachage. Comme un mineur éclipsé n'est plus connecté au réseau légitime, les attaquants peuvent lancer des attaques sur plusieurs mineurs, ce qui entraîne une attaque de 51 % sur le réseau.


Ce que les développeurs de blockchain peuvent apprendre de l'attaque d'Eclipse
Les développeurs peuvent se renseigner sur les failles des nœuds Bitcoin qui peuvent être exploitées pour remplacer les adresses légitimes des pairs par les leurs.

- Techniquement, lorsque le nœud sélectionne des adresses IP dans le seau essayé avec des horodatages, la probabilité que l'attaquant soit sélectionné augmente. Cette affirmation est vraie même si l'attaquant ne possède qu'un sous-ensemble de ces adresses. Augmentez la durée de l'attaque pour accroître vos chances d'être choisi.

- Lorsqu'un seau d'adresses est plein, une adresse aléatoire est retirée. Si l'IP d'un attaquant est retirée, elle peut être réinsérée si elle est envoyée de manière répétée au nœud.

Comme vous pouvez le constater, les attaquants peuvent tirer parti de ces vulnérabilités. Il existe toutefois quelques moyens de les éviter.


Prévention de l'attaque d'Eclipse
Les adresses IP pourraient être choisies au hasard dans la table essayée. Ce caractère aléatoire réduit la probabilité que le pair sélectionné soit un attaquant. Si la sélection des pairs est aléatoire, l'attaquant n'aura pas de succès même après avoir déployé beaucoup d'efforts.

Insérer les adresses des pairs dans des créneaux fixes en utilisant une approche déterministe. Cette approche réduit la possibilité pour les attaquants d'insérer leurs adresses dans un emplacement différent après avoir été expulsés du seau d'adresses. Une approche déterministe garantit que l'insertion répétée d'adresses n'ajoute aucune valeur à une attaque.

Augmentation des connexions entre les nœuds : Si les nœuds du réseau sont connectés à de nombreux autres nœuds chacun, l'attaquant aura du mal à isoler la cible dans le réseau, ce qui réduit la possibilité d'une attaque Eclipse.


Conclusion
Bien que les attaques par éclipse soient rares, on ne peut nier qu'elles peuvent être dévastatrices. La manipulation d'un réseau de cette manière et l'exploitation de l'influence d'un nœud peuvent entraîner une perte de fonds et même des prises de contrôle malveillantes du réseau. Nous ne pouvons qu'espérer que la structure des réseaux peer-to-peer empêche ce type d'attaque à long terme.



Auteur - M. Olatunji, Chercheur Gate.io
* Cet article ne représente que l'opinion des observateurs et ne constitue pas une suggestion d'investissement.
*Gate.io se réserve tous les droits sur cet article. La rediffusion de l'article sera autorisée à condition que Gate.io soit référencé. Dans tous les autres cas, une action en justice sera engagée pour violation des droits d'auteur.