Fuziunea Ethereum se apropie cu pași repezi. După ani de dezvoltare (și întârzieri), trecerea mult așteptată a Ethereum de la dovada muncii la dovada mizei este aproape la noi. Într-un apel de dezvoltare recent, data pentru fuziune a fost stabilite temporar pentru 15 sau 16 septembrie 2022.
Este greu de exagerat importanța acestei tranziții. Dovada consensului de lucru – pe care lanțul Ethereum a adoptat-o de la Bitcoin și a folosit-o de la începuturile sale în 2015 – este adesea criticată ca fiind ineficientă și dăunătoare mediului. Dovada de miză este estimată că folosește cu peste 90% mai puțină energie decât dovada de muncă. Deci aceasta este o veste grozavă, nu? Din păcate, proiectul elvețian de confidențialitate HOPR a identificat un potențial defect de confidențialitate care ar putea provoca haos odată ce se va produce fuziunea.
Problema: Sniping validator
Pentru a înțelege problema, trebuie să facem o scurtă ocolire a modului în care va fi implementat consensul de dovadă a mizei Ethereum. Spre deosebire de proof of work, unde toată lumea concurează simultan pentru a finaliza blocuri, sub proof of stake, participanților cu miză suficientă – cunoscuți sub denumirea de validatori – li se atribuie un anumit slot în care doar ei vor avea voie să propună un bloc. Acest bloc va fi validat de alți membri ai rețelei și, dacă este acceptat, adăugat în lanț.
Problema apare în modul în care aceasta se desfășoară în practică. Validatorilor li se atribuie sloturi aleatoriu, dar acest program este cunoscut de toți cei din rețea în avans. Această notificare avansată oferă potențialilor atacatori timp să culeagă date pentru o exploatare disruptivă și profitabilă.
Deși validatorii sunt identificați în rețea doar printr-o cheie publică pseudonimă, comunicarea cu ceilalți colegi din rețea duce, de asemenea, la scurgeri de adrese IP ale validatorilor, cu suficient timp, este posibilă legarea cheilor publice cu adrese IP, rupând vălul pseudonimității. Cu această legătură în loc, este posibil să se efectueze un atac de tip denial of service, bombardând dispozitivul țintă cu solicitări și luându-l temporar offline. Odată eliminat din rețea, validatorul nu va putea propune un bloc și scurta fereastră a slotului va expira necompletată.
Acest atac, care elimină un validator pentru a-i împiedica să-și îndeplinească sarcinile blockchain, a fost numit „sniping validator”.
De ce contează asta? Această problemă este cunoscută de ani de zile – chiar fiind menționată în mai multe Ethereum audituri de securitate – dar anterior a fost respins ca „severitate scăzută” deoarece părea puține motive pentru a întrerupe lanțul în acest fel.
Însă ceva important s-a întâmplat de când acele audituri au fost publicate pentru prima dată: creșterea importanței MEV, unde minerii sau validatorii extrag valoare din blockchain comandând și inserând tranzacții în mod deliberat în moduri profitabile. Un fenomen puțin cunoscut în urmă cu câțiva ani, odată cu boom-ul DeFi, MEV a înflorit într-o vacă de bani de un miliard de dolari. Este greu de evaluat adevărata amploare a MEV, dar o privire asupra oricărui explorator de blocuri va arăta rapid că afectează majoritatea blocurilor din blockchain.
Acest lucru este esențial pentru dovada mizei, deoarece aceste oportunități profitabile de MEV transformă snipingul validatorului dintr-un exploit ezoteric într-un atac profund tentant. Dacă un validator vede oportunități suculente de MEV în mempool, dar slotul de bloc alocat nu este destul de curând, are un stimulent puternic să-i elimine pe validatorii anteriori din program și să-și braconeze recompensele.
Blockchain-urile se bazează puternic pe alinierea stimulentelor pentru ca toată lumea să ajungă la un consens. Cu stimulente perverse în vigoare, este posibil ca lanțul Ethereum post-Merge să sufere întreruperi frecvente și validatorii să se lupte între ei.
Dar cât de probabil este asta? Echipa HOPR a efectuat cercetări asupra lanțului Gnosis Beacon echivalent funcțional și a putut folosi un nod de validare modificat pentru a identifica legătura dintre cheile publice și adresele IP cu o încredere de peste 90%. Făcând acest lucru, echipa a analizat peste un miliard de puncte de date adunate de-a lungul lunilor de validare. După consultarea echipelor de la Fundația Ethereum și Gnosis Chain, se pare că, prin optimizarea configurației de recoltare a datelor, legătura crucială poate fi stabilită în doar cincisprezece minute.
Soluția: Protecția IP
Deci ce se poate face? O opțiune este utilizarea unui VPN, dar pe termen lung este puțin probabil ca acesta să ofere suficientă protecție. Actualizările la algoritmul de consens în sine ar putea ajuta, dar acestea ar putea dura ani de zile pentru a le cerceta și implementa.
Ca parte a cercetării lor, HOPR sugerează că un mixnet de confidențialitate precum cel pe care îl dezvoltă ar putea fi o soluție, deoarece procesul de transmitere a datelor prin diferite căi are același efect ca și ciclul regulat al adreselor IP.
Este important să rețineți că această problemă nu este o preocupare imediată, deoarece nu sunt posibile exploatări MEV în timp ce se testează configurarea proof-of-stake. Dar odată ce Fusiunea are loc și tranzacțiile reale sunt procesate, toate pariurile sunt oprite.
Dacă Merge va fi un succes, pare esențial ca proiectele din întregul ecosistem să se unească pentru a acoperi această lacună de confidențialitate.
Declinare de responsabilitate: Acest articol este furnizat doar în scop informativ. Nu este oferit sau intenționat să fie folosit ca sfaturi juridice, fiscale, de investiții, financiare sau de altă natură.
Sursa: https://cryptodaily.co.uk/2022/08/the-ticking-privacy-time-bomb-at-the-heart-of-the-eth2-merge