• [ ]
• [ ] ​

MerciAmbition 3, terence 3, Artem 9, Équipe de protocole de recherche Titania pour discussion et retour d'information

TL;DR

Ce document classe les méthodes d'attaque contre PoS Ethereum et propose des contre-mesures, en particulier contre l'attaque de 51% qui est particulièrement dangereuse. Les points principaux sont les suivants :

1. Classification des méthodes d'attaque: Deux indicateurs, la furtivité d'attaque et la durabilité d'attaque, sont introduits pour analyser les méthodes d'attaque connues.
2. Risques d'une attaque à 51%: Il met en lumière le danger particulier posé par les attaques où l'attaquant contrôle plus de 51% du ratio de mise en jeu et explique pourquoi c'est le cas.
3. Propositions pour de nouvelles défenses : Deux nouveaux mécanismes sont suggérés pour contrer la forte probabilité d'une attaque à 51 % : la Détection de Vote Proche, qui détecte le potentiel d'une telle attaque, et la Finalisation Dynamique Émergente, qui retarde la finalisation lorsque le risque est accru.
4. Préoccupations et défis futurs: Il aborde les problèmes potentiels avec les mécanismes proposés et discute des orientations de recherche futures.

L'objectif de cette proposition est de renforcer la sécurité de PoS Ethereum, en particulier en renforçant les défenses contre l'attaque périlleuse des 51%.

1. Classification des méthodes d'attaque existantes

Plusieurs méthodes d'attaque contre Ethereum PoS sont connues, avec des résultats potentiels que des attaquants pourraient cibler de manière réaliste, notamment la réorganisation, la double finalité et le retard de finalité. Un facteur crucial dans cette analyse est le ratio de mise en jeu requis pour une attaque, indiquant la mise minimale nécessaire, qui sert de barrière à l'entrée. Cependant, presque aussi critique est la durabilité de l'attaque, qui mesure la continuité avec laquelle un attaquant peut maintenir l'attaque. Si une attaque est durable, elle peut causer des dommages importants. De plus, la furtivité de l'attaque est également importante, car elle indique à quel point un attaquant peut exécuter une attaque de manière cachée. Si un protocole ne peut pas détecter une attaque, il devient difficile de déterminer si des mesures défensives sont nécessaires. Des valeurs plus élevées pour les deux mesures indiquent une perspective plus négative du protocole. Les méthodes d'attaque représentatives analysées comprennent:

1. Délai de finalité attaque de 33%
2. Attaque de double finalité à 34%
3. Attaque de 51% avec réorganisation et censure (contrôle sur l'avenir)
4. Attaque de 66% de court réorganisateur & de censure (contrôle sur le passé et l'avenir)

A: Délai de finalité 33% attaque

Le délai de finalité est une attaque qui peut être exécutée avec un taux de mise en jeu de 33%. L'attaquant empêche la finalisation en ne fournissant pas 33% des attestations. Une mesure défensive pendant cette attaque est le mécanisme de fuite d'inactivité. Ce mécanisme identifie les validateurs qui ne parviennent pas à attester ou qui attestent contre la majorité, réduisant l'ETH mis en jeu de ces validateurs inactifs. Pendant une attaque de 33%, la fuite d'inactivité s'active, ce qui entraîne une diminution de l'ETH de l'attaquant et une baisse en dessous de la quantité nécessaire pour soutenir le délai de finalité. Par conséquent, la durabilité de l'attaque est relativement faible et temporaire, ce qui la rend plus facile à détecter grâce à la fuite d'inactivité.

B: Double finality 34% attack

La double finalité fait référence à une attaque dans laquelle l’attaquant soumet des attestations pour finaliser deux branches simultanément. Pour atteindre la double finalité, l’attaquant a besoin d’un ratio de staking de 34%. L’attaquant s’engage dans un double vote pour les 34 % d’attestations, travaillant à finaliser les deux forks. Les mesures défensives lors de cette attaque comprennent le mécanisme de tailladage. Étant donné que le double vote est interdit, l’attaquant perdrait ses ETH stakés, ce qui rendrait l’attaque facilement détectable (faible indétectabilité). De plus, la pénalité substantielle signifie que l’attaque ne se produira probablement qu’une seule fois ; Si l’attaquant avait le budget nécessaire pour attaquer plusieurs fois, il choisirait probablement une attaque à 66 % à la place. Ainsi, la durabilité de l’attaque pour cette méthode est également très faible.

C: Short-reorg & censure de l'attaque des 51% (contrôle sur l'avenir)

Lorsqu’un attaquant possède un ratio de staking de 51 %, il peut manipuler l’algorithme de choix du fork. Les attaques A et B étaient dirigées contre le Casper FFG (finality gadget), alors que cette attaque vise le LMD GHOST (algorithme de choix de fork). Dans ce scénario, l’attaquant peut librement créer la branche la plus lourde dans LMD GHOST, ce qui oblige les validateurs honnêtes à suivre la branche de l’attaquant, ce qui entraîne la finalisation. Cela permet à l’attaquant de censurer des transactions spécifiques et d’effectuer une réorganisation à court terme (réorganisation) afin de maximiser sa valeur extractible (MEV) sans encourir de pénalités de taille.

Dans les attaques A et B, des mécanismes existaient pour réduire le potentiel de l'attaquant lors de leur survenue. Dans l'attaque A, la fuite d'inactivité réduit le taux de mise de l'attaquant en dessous du seuil de 33%, rendant l'attaque impossible. Dans l'attaque B, un tiers de son taux de mise est réduit pendant cette époque, rendant les attaques répétées effectivement irréalisables.

Cependant, il n'y a actuellement aucune mesure défensive algorithmique contre l'attaque C. Même s'il y a un slot avec un ratio de vote de 51%, il n'y a aucun moyen de distinguer si cette attestation est malveillante ou un désaccord légitime parmi les validateurs honnêtes. Cela signifie que l'indétection de l'attaque est significativement élevée. Une fois qu'une attaque réussit, l'attaquant peut continuer l'attaque de manière persistante jusqu'à ce qu'une décision de hard fork soit prise via la couche sociale, ce qui entraîne une très grande durabilité de l'attaque.

D: Short-reorg & censure 66% attaque (contrôle sur le passé et l'avenir)

Dans l'attaque de réorganisation courte et de censure à 66%, l'attaquant peut manipuler librement la finalisation, réécrire les chaînes passées et finaliser de nouvelles branches. Les caractéristiques de l'attaque D sont similaires à celles de l'attaque C, les deux présentant une forte indétectabilité et une grande durabilité.

Un point critique à souligner est qu'après avoir exécuté une attaque de 51%, l'attaquant peut utiliser les bénéfices pour viser une attaque de 66%. Les gains potentiels d'une attaque de 51% sont considérablement plus élevés par rapport aux attaques de 33% et 34%, et parce qu'ils n'encourent aucune pénalité telle que la fuite d'inactivité ou la réduction, une tentative réussie pourrait augmenter de manière exponentielle leur dominance.

Résumé des méthodes d'attaque

Le tableau suivant résume les caractéristiques des méthodes d'attaque représentatives analysées :

De ce tableau, une tendance intéressante peut être observée : les attaques aux niveaux 33 % et 34 % (A et B) sont faciles à détecter et présentent une faible durabilité, tandis que les attaques de 51 % et plus (C et D) sont difficiles à détecter et montrent une durabilité élevée, illustrant une dichotomie claire.

2. L'impact potentiel d'une attaque à 51%

Je tiens à souligner l'importance de prendre en compte les scénarios les plus pessimistes en ce qui concerne la sécurité de PoS Ethereum. En d'autres termes, il existe une réelle possibilité qu'Ethereum puisse faire face à une situation décrite comme étant un « game over ». Si un tel scénario devait se produire, toutes les activités passées et les données au sein de nombreux écosystèmes seraient rendues nulles et non avenues.

En se référant au tableau précédent, les attaques A et B ont un faible niveau de détection et de durabilité. Du point de vue de l'attaquant, il est très probable que leurs actions seront exposées, et ces attaques ont tendance à être de courte durée.

En revanche, les attaques C et D présentent des niveaux élevés à la fois de furtivité et de durabilité de l'attaque. Pour les attaquants, ces actions sont moins susceptibles d'être détectées, ce qui leur permet de soutenir l'attaque pendant une plus longue période et de potentiellement récolter d'immenses profits. Lorsque l'on considère sur laquelle des deux attaques, C ou D, se concentrer, il faut d'abord prêter attention au ratio de mise en jeu en tant que barrière à l'attaque. Bien que les deux attaques puissent causer des dommages importants, l'attaque C, qui nécessite un montant absolu plus faible pour être exécutée, est plus réaliste (surtout compte tenu de son potentiel à mener à l'attaque D). À la lumière de ces considérations, cette discussion explorera les mesures de défense contre les attaques de réorganisation courte et de censure de 51%.

Le problème clé avec les attaques de réorganisation à court terme et de censure de 51 %, comme mentionné ci-dessus, est leur niveau élevé d'indétectabilité et de durabilité de l'attaque, ce qui implique que les dommages potentiels pourraient être importants.

Penchons-nous plus en détail sur la durabilité des attaques. La raison pour laquelle ces attaques sont durables est que la seule mesure défensive disponible est un hard fork par consensus social, qui prend beaucoup de temps (comme l’a démontré l’incident de la DAO, qui a pris un mois entre la découverte du piratage et le hard fork). Pendant cet intervalle, les blocs et les époques finalisés par l’attaquant s’accumuleront sur la chaîne légitime. Les validateurs honnêtes risquent d’être pénalisés pour avoir attesté de blocages sur une chaîne illégitime qui est devenue minoritaire alors qu’elle est canonique. Le nœud du problème réside dans le fait que le nombre d’époques nécessaires à la finalisation est fixé ; Par conséquent, même en cas d’urgence, la finalisation se produit sur les deux mêmes époques (environ 13 minutes) que dans des circonstances normales.

3. Propositions pour détecter et se défendre contre les attaques à 51%

En cas d'attaque de 51 %, nous prévoyons que les attestations présenteront une marge serrée, telle que 50,5 % contre 49,5 %, et de tels concours serrés sont relativement rares pendant les opérations normales. Nous introduisons une métrique pour indiquer la probabilité que l'époque actuelle soit attaquée en fonction du nombre de créneaux où les votes principaux sont 'proches'. De plus, à mesure que cette métrique augmente, le nombre d'époques nécessaires à la finalisation augmentera de manière exponentielle. Ce mécanisme permet le report algorithmique de la finalisation en cas d'urgence, permettant à la communauté de répondre aux attaquants par des moyens sociaux sans nécessiter de hard fork. Parce que les périodes normales de finalisation resteront inchangées, cette implémentation peut être intégrée de manière transparente sans compromettre l'expérience utilisateur. Nous proposons le mécanisme de détection des votes serrés pour le premier et la finalisation dynamique émergente pour le dernier comme défenses contre les attaques de 51 %.

Détection de vote de clôture

Lorsqu’une attaque à 51 % se produit, les attaquants choisissent délibérément une tête qui semble canonique en étant la plus lourde. Les validateurs honnêtes peuvent toujours proposer des blocages, mais les attaquants peuvent facilement manipuler la tête canonique par le biais de réorganisations à court terme chaque fois qu’ils trouvent les blocages proposés indésirables. Plus le ratio de staking de l’attaquant est proche de 50 %, plus le nombre d’attestations sera proche de 50 %. De telles attestations qui sont très proches de 50 % de la tête seront appelées « votes serrés ». À l’heure actuelle, la décision de finaliser ou non une époque se fait au dernier créneau de cette époque, où nous ajouterons le dépouillement des votes serrés.

Finalisation dynamique émergente

Si le nombre de votes de clôture dépasse un certain seuil, le système reconnaîtra un état d'urgence et augmentera considérablement le nombre d'époques nécessaires à la finalisation. En conséquence, l'attaquant devra maintenir une majorité substantielle de votes sur une période plus longue pour parvenir à la finalisation. Pendant ce temps, la communauté aura l'opportunité de mettre en œuvre des contre-mesures. Plus précisément, si le nombre de slots classés comme des votes de clôture dans l'époque actuelle dépasse un certain seuil, le nombre d'époques requis pour la finalisation sera considérablement augmenté par rapport aux deux époques standard. Nous appelons cela le mode d'urgence. Bien qu'il y ait beaucoup de place pour débattre de la valeur que cela devrait prendre, viser à une amélioration significative par rapport au retard d'un mois de l'incident DAO pourrait suggérer d'essayer une valeur comme

. Cela nécessiterait que l'attaquant continue son assaut pendant environ neuf jours (32 768 * 12 secondes ≈ 4 551 168 secondes ≈ 9 jours), ce qui donne à la communauté un temps suffisant pour mettre en place rapidement des contre-mesures. Ce mécanisme de défense garantit que les opérations normales du réseau ne sont pas affectées et s'active uniquement en cas d'urgence, permettant ainsi une mise en œuvre fluide sans dégradation de l'expérience utilisateur. De plus, étant donné qu'il fonctionne de manière algorithmique, il peut être exécuté immédiatement sans attendre un jugement humain, ce qui permet des réponses rapides.

Formalisation

Définissons les symboles suivants, où W, E, Fsont des paramètres:

• i: Indexe de slot de l'époque actuelle, allant de 1 à 32
• Ci : Indique si le vote à l'indice d'emplacement i est fermé (1) ou non (0)
• Vi: Le pourcentage des attestations à l'indice de slot i, exprimé en %
• F: Le nombre d'époques nécessaires pour la finalisation

Dans sa forme la plus simple initiale, nous proposons ce qui suit:

Voici les paramètres définis :

• W: Le pourcentage de déviation d'un point de 50% qui qualifie un vote serré
• E: Le nombre seuil de votes de clôture pour déclencher le mode d'urgence
• D : Le nombre d’époques nécessaires à la finalisation en mode d’urgence

Les formules fournies définissent deux indicateurs indiquant la possibilité d’une attaque à 51%. Tout d’abord, Ci indique si un créneau spécifique est considéré comme un vote serré, ce qui donne 1 lorsque |Vi−0,5|

tombe dans le seuil W. Deuxièmement, F indique le nombre d'époques nécessaires pour la finalisation. Ainsi, si le nombre de slots de vote de clôture atteint le seuil E, le nombre d'époques requis augmente à D, planifiant ainsi des attaques soutenues et atténuant leurs impacts potentiels. Prenons des valeurs spécifiques en considération:

Ainsi, nous avons :

Avec ces paramètres, si le pourcentage d'attestation Vi pour n'importe quelle tranche est compris dans ±1% de 50%, cette tranche sera comptée comme un vote serré. Par exemple, si 4 sur les 32 tranches sont des votes serrés, le total de Ci sera 4, nécessitant que F soit réglé à 2¹⁵. Par conséquent, l’attaquant ne sera pas en mesure de finaliser la chaîne avant environ neuf jours, ce qui laissera à la communauté suffisamment de temps pour mettre en œuvre un hard fork rapide afin de restaurer la blockchain Ethereum légitime.

Réduction des dommages maximum estimés

L'objectif de cette proposition est de réduire les dommages maximums estimés lors d'une attaque à 51%. Il vise à atténuer la probabilité d'un scénario de 'game over'. Bien qu'il soit difficile de discuter de changements quantitatifs spécifiques, il est réalisable de définir le paramètre D pour garantir que la durée ne se prolonge pas à un mois comme dans l'incident DAO. Il est essentiel de prendre en compte que le temps de réponse anticipé de la couche sociale devrait également être pris en compte dans cet aspect.

De plus, divers services qui interagissent avec Ethereum, tels que d'autres chaînes et échanges centralisés, peuvent fonctionner en fonction de ce D. En introduisant des mécanismes algorithmiques, les écosystèmes environnants pourront également répondre de manière algorithmique.

4. Préoccupations et travaux futurs

Préoccupations concernant les nouveaux mécanismes de retard de finalité

Il y a une préoccupation que cette proposition puisse involontairement créer un nouveau mécanisme de retard de la finalité. Par exemple, il est possible de contrôler aléatoirement 51% de la domination sur...

L'occurrence parmi 32 emplacements, qui peut être facilement calculée à l'aide d'une distribution binomiale. Bien que l'incitation économique à retarder la finalité soit généralement faible, nous ne pouvons pas exclure des incitations potentielles qui n'ont peut-être pas été prises en compte. Si de telles incitations se présentent, elles pourraient éventuellement être traitées en introduisant un système de réputation. Étant donné que les attestations impliquent des signatures, les tentatives d'usurpation d'identité d'autres validateurs nécessiteraient un temps considérable pour s'exécuter.

Examen de la procédure de mise en œuvre d'une fourchette dure via la couche sociale

Pour déterminer les paramètres optimaux, nous devons examiner attentivement les procédures spécifiques nécessaires à l’exécution d’un hard fork à travers la couche sociale.

Détermination des paramètres W,E,D et de la formule F à l’aide de preuves empiriques

Il est nécessaire de déterminer empiriquement les valeurs appropriées pour les paramètres W (définissant la plage pour les votes serrés), E (définissant le seuil d’activation du mode d’urgence) et D (définissant le délai de finalisation). De plus, D est une composante de la formule F, mais nous pourrions également envisager une conception plus dynamique où l’augmentation du nombre de votes serrés ∑iCi se traduirait par une plus grande valeur pour F.

Détermination des spécifications de l'attestation

Nous devons déterminer les spécifications pour les attestations.

• Comment gérer les justifications en mode d’urgence
• Le comportement des fuites d'inactivité pendant le mode d'urgence
• Comment mettre à jour spécifiquement les types de données soumis par le biais des attestations.

5. Conclusion

Dans cette proposition, nous nous sommes concentrés sur l'attaque particulièrement dangereuse des 51% en tant que l'une des méthodes d'attaque contre le PoS Ethereum, en discutant de ses risques et de ses implications tout en proposant de nouvelles stratégies de défense. Plus précisément, nous avons cherché à renforcer la résistance aux attaques des 51% en introduisant des mécanismes tels que la Détection des Votes Proches et la Finalisation Dynamique Émergente.

Les futures recherches devraient explorer plus avant l'efficacité des stratégies de défense proposées et leur applicabilité à d'autres méthodes d'attaque. Il est également nécessaire de continuer à enquêter sur l'optimisation des paramètres et les méthodes de mise en œuvre spécifiques.

De plus, l’analyse des méthodes d’attaque contre différents algorithmes de consensus et la formulation de stratégies de défense basées sur des incitations sociales sont des pistes précieuses pour une discussion plus approfondie. J’ai hâte de discuter avec la communauté Ethereum de la valeur de ces idées et de répondre à toutes les préoccupations.

Référence

• Attaque et défense de l'Ethereum proof-of-stake | ethereum.org 1
• Histoire et forks d’Ethereum | ethereum.org
• Comprendre l’attaque DAO
• Fork dur terminé | Blog de la Fondation Ethereum

Avertissement:

1. Cet article est reproduit à partir de [Ethresear]. Tous les droits d'auteur appartiennent à l'auteur original [Titania Recherche 6]. Si vous avez des objections à cette réimpression, veuillez contacter le Porte d’apprentissage et ils s’en occuperont rapidement.
2. Clause de non-responsabilité: Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent pas des conseils en matière d'investissement.
3. L'équipe de Learn gate a traduit l'article dans d'autres langues. Copier, distribuer ou plagier les articles traduits est interdit sauf mention contraire.