Arquitetura de Rede Tradicional

O Protocolo de Gateway de Borda (BGP) é responsável pelo roteamento de dados entre dispositivos no sistema de internet atual. Pense no BGP como o serviço postal da internet: quando os dados são enviados pela rede, o BGP encontra todas as rotas possíveis para o destino e escolhe a melhor.

Cada dispositivo ligado à internet pertence a um Sistema Autónomo (AS), uma pequena rede que conecta vários dispositivos e é normalmente gerida por uma única organização, como uma escola, empresa ou governo. Os dispositivos no mesmo AS partilham as mesmas políticas de roteamento, o que significa que se dois dispositivos no mesmo AS quiserem ligar-se a um servidor externo, os seus dados seguirão o mesmo caminho. Basicamente, os ASs funcionam como estações de correios regionais, organizando e encaminhando pacotes de dados para os seus destinos usando BGP.

No entanto, ASs não são redes totalmente peer-to-peer. Cada AS se conecta apenas aos seus vizinhos e anuncia as rotas que pode alcançar. Por exemplo, se um pacote de dados precisa viajar de AS1 para AS4, existem duas rotas possíveis:

1. AS1 → AS2 → AS3 → AS4
2. AS1 → AS5 → AS5

Uma vez que o caminho através da Rota 2 é mais curto, o BGP escolherá automaticamente esta rota. Se a rota 2 for interrompida por qualquer motivo, o BGP recalculará e selecionará uma nova melhor rota para transmitir os dados. O BGP funciona como um navegador automático, registando as melhores rotas para outros ASs, para que uma vez que o terminal inicie a transmissão de dados, o BGP possa enviá-lo automaticamente para o destino à velocidade mais rápida.

No entanto, o BGP foi inicialmente desenvolvido para permitir apenas que alguns computadores trocassem dados, sem considerar questões como segurança e tráfego. Como resultado, existem algumas preocupações sobre o seu uso. Em primeiro lugar, do ponto de vista da segurança, uma vez que o caminho de transmissão é selecionado automaticamente pelo BGP e os utilizadores não o podem ajustar proativamente, torna-se vulnerável a ataques. Por exemplo, os atacantes podem configurar um AS malicioso e anunciar informações de roteamento incorretas, levando os dados para o destino errado e resultando em interceção de dados ou interrupção da rede.

Do ponto de vista da eficiência, uma vez que existam alterações na configuração geral de um AS, o BGP precisa de algum tempo para atualizar toda a informação de encaminhamento. Alguns caminhos podem tornar-se indisponíveis durante este processo, o que resulta em atrasos e perda de pacotes. Além disso, o BGP não possui um mecanismo embutido de balanceamento de carga de tráfego. Embora selecione o caminho mais curto, se o débito desse caminho exceder a sua capacidade, o BGP não distribuirá o tráfego uniformemente pelos outros caminhos, a menos que a configuração do AS seja alterada.

Os problemas potenciais com o BGP causaram eventos significativos na rede. Por exemplo, em 2008, a Pakistan Telecommunications, sob jurisdição do governo, tentou censurar o IP do YouTube no país. O seu ISP upstream transmitiu incorretamente informações de roteamento para a internet, fazendo com que todo o tráfego global do YouTube fosse direcionado para a Pakistan Telecommunications, resultando numa interrupção global do serviço do YouTube.

Além disso, além das empresas Web2, os atacantes também podem roubar os ativos de criptomoeda dos usuários através de ataques BGP. Em 2018, os atacantes lançaram um ataque de sequestro BGP que redirecionou o tráfego visitando a carteira MyEther para um servidor malicioso, enganando os usuários para um site de phishing, roubando seus ativos de carteira e transferindo-os para as carteiras dos atacantes. Este ataque durou cerca de duas horas e resultou no roubo de 214 Ether, avaliados em mais de $150,000. Isso mostra que o BGP se tornou um dos maiores problemas enfrentados pelas empresas e empresas, levando ao desenvolvimento de um novo protocolo de rede, SCION.

O que é SCION?

SCION (Scalability, Control, and Isolation On Next-Generation Networks) é uma arquitetura de rede que melhora a segurança e o desempenho da Internet. Foi desenvolvido pela ETH Zurich e pela sua afiliada Anapaya Systems para resolver vários problemas de segurança nas arquiteturas de rede existentes.

Em primeiro lugar, o SCION introduz o conceito de Domínios de Isolamento (ISDs), onde cada ISD é composto por vários ASs dentro da mesma jurisdição ou área geográfica, e uma entidade confiável é selecionada para operar o núcleo AS que gere o ISD. Cada ISD tem a sua infraestrutura de chave pública (PKI) para verificar as identidades entre ASs, garantindo que nenhum AS malicioso seja incluído, e permitindo comunicação encriptada para melhorar a segurança. Além de garantir que os ASs dentro de um ISD sejam confiáveis, os ISDs agem como firewalls na internet. Se ocorrer uma violação de segurança, o seu impacto é limitado ao ISD afetado e não se espalhará por toda a rede, prevenindo eficazmente ataques ou interrupções de rede em grande escala.

Para a transmissão de dados, o SCION apresenta um mecanismo de Prova de Caminho, onde as informações de cada caminho são encriptadas e assinadas, e cada AS no caminho verifica a autenticidade da rota em que participa, impedindo quaisquer alterações não autorizadas. Além disso, o SCION fornece múltiplas opções de rota para a transmissão de dados, permitindo aos utilizadores avaliar diferentes caminhos com base na latência, largura de banda, segurança, etc., e escolher a rota mais adequada. Desta forma, o tráfego de rede não ficará congestionado num único caminho, melhorando eficazmente a eficiência da transmissão de dados.

Comparado ao BGP, os ISDs do SCION permitem auditar a origem e autenticidade de cada AS e os problemas de segurança são contidos em um escopo pequeno, o que melhora muito a segurança e estabilidade da rede. Além disso, ao contrário do BGP, que seleciona automaticamente rotas para os usuários, o SCION dá aos usuários controle total sobre o caminho de transmissão, oferecendo várias opções de rota. Os usuários podem ver quais ASs o caminho passará e incorporar o caminho selecionado nos pacotes de dados, fazendo com que cada AS ao longo do caminho esteja ciente do próximo salto, liberando espaço de armazenamento do roteador e evitando atrasos causados pela atualização da tabela de roteamento.

O Impacto da SCION na Rede Sui

Atualmente, todas as redes blockchain, quer sejam de Camada 1, Camada 2 ou blockchains modulares, dependem do protocolo BGP para a comunicação entre nós. Isto significa que todas as blockchains estão expostas aos potenciais riscos de segurança do BGP. Ao longo dos anos, houve vários ataques de BGP de alto perfil. Por exemplo, em 2018, os atacantes sequestraram o BGP para redirecionar o tráfego para servidores maliciosos, enganando os utilizadores a visitar sites de phishing e a roubar ativos das suas carteiras MyEther, transferindo os fundos roubados para os atacantes. Este ataque durou duas horas e resultou no roubo de 214 Ether, no valor de mais de $150,000 na época. Em 2022, o KLAYswap foi hackeado através de um ataque de sequestro BGP que alterou links de terceiros no frontend, levando os utilizadores a autorizar endereços maliciosos e a roubar cerca de $1.9 milhões em ativos.

Além do roubo de ativos, os atacantes podem manipular o BGP para controlar o roteamento, aumentar os atrasos de comunicação entre os nós ou até mesmo bloquear completamente os caminhos de transmissão. Isso pode afetar severamente a velocidade do consenso blockchain, causando interrupções na rede e comprometendo a segurança do consenso. O consenso é essencial para o funcionamento das blockchains, impedindo problemas como gastos duplos e adulteração de registros e garantindo que a rede permaneça confiável. Solana, por exemplo, enfrentou um tempo significativo de inatividade no passado, levantando questões sobre sua segurança.

Para mitigar os riscos colocados pelo BGP, Sui decidiu colaborar com a Anapaya Systems para implementar a infraestrutura SCION, que agora está em execução na sua rede de testes. Prevê-se que esta atualização traga vários benefícios para a Sui:

1. Participação mais flexível no consenso

Se uma rede for atacada, os nós completos podem mudar rapidamente para outra rede não afetada, fornecendo flexibilidade para escolher um caminho alternativo para a transmissão de dados e garantindo que o consenso não seja interrompido por ataques que tentem desligar os validadores.

2. Sincronização de Estado Mais Rápida

O SCION permite que nós completos tenham várias rotas de conexão para outros nós e validadores. Isso permite uma sincronização de estado mais rápida, evitando nós distantes e contornando gargalos de rede, acelerando a sincronização geral da rede.

3. Melhorada Resistência a Ataques de IP DDoS

No caso de um ataque DDoS, a estrutura do ISD limita o alcance do ataque a uma única rede. Os nós e validadores podem facilmente selecionar caminhos alternativos para contornar o tráfego malicioso, impedindo que o ataque DDoS os afete.

Em geral, o encaminhamento de vários caminhos e isolamento de caminhos da SCION fornecem à rede SUI uma maior segurança e flexibilidade ao lidar com ataques de rede externa, reduzindo a probabilidade de tempo de inatividade. Além disso, a incorporação de informações de caminho da SCION diretamente nos pacotes de dados melhora a velocidade da rede. Testes oficiais mostraram que os atrasos entre nós distantes podem ser reduzidos em mais de 10%, melhorando o desempenho da rede, o que posiciona a SUI como uma das principais cadeias públicas na indústria.

Conclusão

Sui, uma crescente cadeia pública Layer 1, é construída com a linguagem MOVE única e representa a primeira cadeia pública orientada a objetos. Tornar-se-á o primeiro protocolo blockchain a implementar a arquitetura SCION, refletindo o compromisso da Mysten Lab com a inovação tecnológica e a melhoria contínua do desempenho e segurança de Sui. Se a atualização SCION se revelar bem-sucedida, poderá encorajar outras cadeias públicas a adotar tecnologia semelhante, marcando um salto significativo para a tecnologia blockchain e lançando as bases para a adoção em larga escala no futuro.