Índice

  • Como funciona um ataque de eclipse

  • As consequências de um ataque de eclipse

    • “Gastos em dobro” sem confirmação

    • “Gasto duplo” que requer N vezes de confirmação

    • Reduzir a concorrência entre os mineradores

  • Retardar o impacto do ataque do eclipse solar

  • Resumir


Um ataque eclipse é um ataque básico relativamente simples por meio do qual um invasor pode interferir nos nós de uma rede. Como o nome sugere, este ataque pode impedir que o nó atacado na rede peer-to-peer obtenha informações eficazes, causando assim a interrupção da rede ou preparando-se para ataques mais complexos.

Superficialmente, o Ataque Eclipse é semelhante ao Ataque Sybil. Embora compartilhem algumas semelhanças (um invasor interrompe a rede atacando nós), seus objetivos finais de ataque são diferentes. Os ataques Eclipse têm como alvo um único nó (por razões explicadas abaixo), enquanto os ataques Sybil têm como alvo toda a rede e visam adulterar a reputação dos protocolos de rede.

O conceito é discutido detalhadamente no artigo de 2015 “Eclipse Attacks on the Bitcoin Peer-to-Peer Network”, no qual pesquisadores da Universidade de Boston e da Universidade Hebraica relataram seus experimentos conduzindo resultados de ataques de eclipse e medidas preventivas para combatê-los.


Como funciona um ataque de eclipse

Os mineradores de Bitcoin exigem equipamentos especializados para gerar e verificar novos blocos, mas os nós que não são de mineração (ou completos) exigem muito pouco poder computacional para operar. Desta forma, qualquer pessoa pode operar um nó em equipamentos baratos, o que também contribui para a descentralização do Bitcoin. O programa de software mantém um banco de dados de transações que é sincronizado com os pares para permanecer sincronizado com a rede.

O fator limitante para conectar um grande número de nós é a largura de banda. Portanto, embora haja um grande número de dispositivos que podem executar o programa, há um limite no número de conexões definidas na rede Bitcoin (máximo de 125 conexões), e dispositivos comuns não podem se interconectar diretamente com outros dispositivos.

Em um ataque Eclipse, o invasor garante que todas as conexões com o alvo sejam feitas em nós controlados pelo invasor. O invasor primeiro enviará uma inundação de seu próprio endereço IP para o endereço de destino, e a vítima poderá se conectar ao endereço IP do invasor quando o programa for reiniciado. Você pode forçar uma reinicialização (ou seja, realizar um ataque DDoS no alvo) ou apenas esperar que o programa seja reiniciado automaticamente.​

Se isso acontecer, as vítimas inocentes ficam à mercê de nós maliciosos e o invasor as alimenta com dados falsos que não podem obter da rede real.


As consequências de um ataque de eclipse solar

Os invasores têm um incentivo para realizar tais ataques se conseguirem separar um nó da rede consumindo seus recursos. Se um nó estiver isolado, um invasor poderá realizar vários ataques consecutivos.


“Gastos em dobro” sem confirmação

Se um nó independente aceitar uma transação não confirmada, ocorre o risco de “gastos duplos”. Se a transação que ocorreu pode ter sido transmitida antes de entrar no bloco (enviar para o blockchain), então o remetente pode facilmente fazer uma nova transação em outro lugar e gastar o mesmo valor da transação anterior. Se a taxa de transação recém-gerada for mais alta, os mineradores priorizarão a transação e a considerarão como a primeira transação, fazendo com que a primeira transação seja inválida.​

Alguns comerciantes e indivíduos aceitam essas transações com 0 confirmação. Consideremos Bob, um empresário que vende carros de luxo. Ele não sabia que Alice havia lançado um ataque de eclipse em seu nó e não teve nenhuma suspeita depois de ver o pedido dela de um carro esportivo de luxo. Alice cria a transação e Bob a transmite para a rede. Ao ver que a mensagem de pagamento estava prestes a ser confirmada, ficou muito satisfeito e entregou as chaves do carro para Alice, que saiu em alta velocidade.

Na verdade, a transação não foi transmitida para a rede, Bob apenas passou a transação para o nó malicioso de Alice, e o nó malicioso controlado por Alice não passou a transação para o nó real. Portanto, a transação será considerada inválida. Neste momento, Alice paga o mesmo valor na rede (real), seja para si mesma ou para outra pessoa. Mesmo que a transação inicial com Bob seja finalmente vista na rede real, a transação não pode ser verificada porque os fundos da conta de Alice se esgotaram.


“Gasto duplo” que requer N vezes de confirmação

“Gasto duplo” que requer N confirmações é semelhante a “gasto duplo” que não requer confirmação, mas envolve mais trabalho de preparação. Muitos comerciantes preferem esperar por um certo número de confirmações antes que um pagamento seja marcado como válido. Para resolver o problema, um invasor teria que submeter os nós mineradores e mercantes a um ataque eclipse. Se um invasor estabelecer um pedido com um comerciante, ele transmitirá a transação aos mineradores (sofrendo com o ataque eclipse). Os comerciantes podem ver as transações confirmadas na rede blockchain, mas como as redes onde os mineradores e comerciantes estão localizados estão isoladas, a blockchain não é testemunhada pela maioria dos nós reais.

O invasor enviou informações falsas da rede blockchain ao comerciante e, depois que o comerciante viu que a transação havia sido confirmada, ele entregou a mercadoria. Quando esses nós que sofreram um ataque de eclipse se juntarem novamente à rede real, a rede blockchain real considerará esses nós inválidos e isolará esses nós (isso é semelhante a um ataque de 51%).


Reduzir a concorrência entre os mineradores

Os nós afetados por um ataque de eclipse continuarão a operar e não serão afetados por serem isolados da rede. Os mineiros continuarão a verificar os blocos dentro das regras especificadas pelo protocolo, mas os blocos adicionados serão descartados no processo de passagem pelos nós reais da rede.

Em teoria, um ataque massivo de eclipse a uma grande parte dos mineradores poderia ser usado para facilitar um ataque de 51%. Tal como está, o custo até mesmo para o invasor mais engenhoso assumir a maior parte do poder de computação do Bitcoin (aproximadamente 80TH/s) é muito alto, e o invasor precisaria pelo menos tentar com mais de 40TH/s.​

Assumimos que, ao distribuir esse poder de computação entre 10 participantes (cada participante tem aproximadamente 8TH/s), um invasor pode reduzir bastante os requisitos de um ataque de 51%, isolando esses participantes da rede. Se 5 dos nós sofrerem um ataque de eclipse, o invasor pode reduzir o poder de computação em 40TH/s para encontrar o próximo bloco, e o invasor agora só precisa aumentar o poder de computação em 20TH/s para atingir o objetivo de atacar o nó . ao controle.

Outras atividades destrutivas que podem ser alcançadas realizando um ataque eclipse a um alvo incluem a manipulação de nós para realizar atividades de mineração ilegais ou a exploração da competição de poder de computação entre mineradores para obter o próximo bloco.


Retardar o impacto dos ataques do eclipse solar

Com endereços IP suficientes, um invasor pode realizar um ataque Eclipse em qualquer nó. A maneira mais direta de evitar que isso aconteça é bloquear o acesso não autorizado por nós e estabelecer apenas conexões de saída para nós específicos (como IPs que foram colocados na lista de permissões de outros nós na rede ponto a ponto). No entanto, como aponta o documento de investigação, esta não é uma solução que possa ser implementada em escala e, se todos os participantes tomarem estas medidas, novos nós não poderão aderir à rede.

O autor propôs alguns ajustes no programa Bitcoin, e alguns deles foram integrados ao programa Bitcoin após o lançamento do white paper. Ao fazer pequenas alterações no código, como selecionar aleatoriamente novas conexões e aumentar o espaço de memória para endereços, essas medidas tornam os ataques de eclipse cada vez mais caros.


Resumir

Os ataques Eclipse são conduzidos em uma rede ponto a ponto. Como meio independente de implantação de ataques, eles podem ser irritantes. O verdadeiro propósito de conduzir um ataque Eclipse é, na verdade, implementar outros ataques que possam ter um impacto maior ou fornecer ao invasor uma vantagem na mineração.

De um modo geral, os ataques de eclipse ainda não tiveram um impacto sério e, apesar das salvaguardas implementadas nas redes blockchain, a ameaça ainda existe. Os ataques Eclipse, como a maioria dos ataques enfrentados pelo Bitcoin e pela maioria das outras criptomoedas, a melhor defesa é torná-los não lucrativos para invasores mal-intencionados.