Ethereum wird erneut angegriffen.

Nach den Denial-of-Service-Angriffen auf das Ethereum-Netzwerk im vergangenen Jahr, die mit einem Paar Gabeln gestoppt wurden, in denen alle Minenarbeiter auf ein Netzwerk mit neuen Regeln aufrüsten, hat sich ein Angreifer ein einfacheres Ziel für Spam ausgesucht: Ropsten, der Ethereum-Test Netzwerk.

Ähnlich wie im Hauptnetzwerk, speichern Sie ein paar Details. Das Testnet ist ein Netzwerk, in dem Entwickler ihre dezentralisierten Anwendungen oder "dapps" testen können, um zu simulieren, was im Hauptnetzwerk passiert und ob ihre Dapps richtig funktionieren.

Seit Januar hat ein anonymer Bergarbeiter das Netzwerk mit Spam in einem solchen Ausmaß verstopft, dass es für Entwickler schwierig ist, Transaktionen und Smart Contracts auf der Haupt-Testarena zu senden.

Wenn sie es versuchen, dauert es oft viel länger als normal.

Die Adresse des Angreifers ist dieselbe wie diejenige, die mit einem früheren Fork des Test-Netzwerks verbunden ist, sagt der Softwareentwickler Ricardo Guilherme Schmidt, der mit der Adresse verbundene Aktionen verfolgt hat.

Mindestens ein paar Entwickler und Führungskräfte auf der Launch-Veranstaltung der Enterprise Ethereum Alliance in Brooklyn argumentierten, dass ein Grund, warum sie sich für die Zusammenarbeit mit Ethereum entschieden haben, darin liegt, dass es sich um eine stärker getestete Plattform handelt. Ironischerweise ist eines der wichtigsten Testwerkzeuge von Ethereum seit mehr als einem Monat außer Betrieb.

Da die Identität des Bergmanns unbekannt ist, haben die Benutzer nur spekuliert, warum er (oder sie) das Netzwerk mit Spam verstopft. Sie versuchen vielleicht, einen sicherheitsrelevanten Punkt zu beweisen, oder sie versuchen einfach zu trollen.

Einfache Lösung

Viele Ethereum-Apps sind momentan nur im Testnet verfügbar. Daher haben Entwickler von Apps wie uPort und Status Verzögerungen bei der Test-App erwähnt. Etheroll hat die Testnet-Option vorübergehend geschlossen.

Gnosis CTO Stefan George sagte CoinDesk:

"Für uns Entwickler ist das ein großes Problem, da Integrationen zwischen verschiedenen Dapps nur in einem gemeinsamen Testnetzwerk getestet werden können. Wir bauen gerade einen Twitterbot für Gnosis mit uPort, kann aber wegen dieses Angriffs nicht richtig getestet werden. "

George fügte hinzu, dass dies bedeutet, dass Entwickler auf lokale Testnetze oder den Test-RPC-Client beschränkt sind, um Anwendungen zu testen. Mit diesen eingeschränkten Testumgebungen ist es schwieriger zu testen, wie Dapps miteinander interagieren. Dafür brauchen Entwickler ein globales Testnetzwerk wie Ropsten.

Allerdings argumentiert George, dass es eine einfache Lösung dafür gibt: Whitelisting, bei dem Bergleute am Testnetzwerk teilnehmen können.

Laut George würde dieser Ansatz keine Nachteile haben. Die Mining-Gruppe auf der weißen Liste könnte aus großen Ethereum-Organisationen bestehen, sagen wir Ethereum Foundation und ConsenSys, die das Netzwerk pflegen.

Anatomie der Attacken

Was macht der Angreifer genau?

Wie das Hauptnetzwerk wird das Ethereum-Testnetzwerk von Minenarbeitern gepflegt. Der Unterschied besteht darin, dass die Bergleute, die sie unterhalten, keinen Anreiz haben, leistungsfähigere Hardware zu verwenden, weil die Token wertlos sind - sie werden nur zum Testen von Transaktionen verwendet.

Dieser spezielle Bergmann benutzt eine GPU (einen Rechenprozessor, der viel mächtiger ist als der, den andere Bergleute im Netzwerk benutzen), um zu minen, was merkwürdig ist, weil der Bergmann keinen Anreiz hat, dies zu tun.

"Es gab kaum jemanden, der auf Ropsten Bergbau betrieben hat, da es nur zum Testen ist. Der Angreifer könnte leicht die Minenmehrheit bekommen", sagte George.

Im Testnet ist es einfach, die Token entweder selbst zu minen, zum Beispiel mit der Ethereum Wallet. Oder Tester können kostenlose Tokens von sogenannten "Wasserhähnen" erhalten.

Der Angreifer macht mehrere Dinge: Auf der einen Seite gewinnen sie die meisten Blöcke und erhalten die Belohnungen, so dass andere Minenarbeiter das nicht tun können, und sie haben einen oder mehrere Verträge genutzt, um mindestens einen Wasserhahn zu leeren sein freier Äther. Daher wird es für App-Entwickler schwieriger, Test-Äther zu erhalten, mit denen sie Testtransaktionen durchführen können.

Zweitens, weil es Bergbau mit relativ hoher Rechenleistung ist, war der Bergmann in der Lage, die maximale Rechenleistung in jedem Block (das "Gaslimit") auf 2 GB zu erhöhen und füllt sie mit Spam-Transaktionen.

"Er hat auch einen Vertrag [like] blockiert. Gaslimit oder msg. Gas um einen Spam im Netzwerk mit maximal möglichem Gas zu loopen", sagte Schmidt.

Anders gesagt, der Minenbetreiber nutzt die Transaktionsbandbreite, so dass andere Benutzer Schwierigkeiten haben, sie zu nutzen.

Kostenfaktor

Das laufende Spamming erinnert an die Angriffe des letzten Jahres, die Transaktionen und Smart Contracts im Ethereum-Netzwerk monatelang verlangsamten.

Der Unterschied ist natürlich, dass dieser Angriff das Hauptnetzwerk des Ethereums nicht beeinflusst.

Dezentrale Anwendungen, die im Hauptnetzwerk bereitgestellt werden, funktionieren einwandfrei. Joseph Urgo, der Leiter der Abteilung für Wirtschaftsfragen, bemerkte, dass seine Plattform zum Beispiel von dem Angriff nicht betroffen sei.

Wenn der Angreifer den gleichen Angriff auf das Hauptnetzwerk ausführen würde, würde er oder sie nicht viel Erfolg haben.

Der Angreifer hat bis zum letzten Sonntag schätzungsweise $ 120 ausgegeben, um das Netzwerk zu spammen. Basierend auf groben Berechnungen von Ethereum-Erfinder Vitalik Buterin, würde es $ 4 kosten. 5m, um den gleichen Effekt auf das Hauptnetzwerk zu haben.

Buterin schlussfolgert:

"Also alles in allem nicht viel billiger als ein 51% -Angriff."

Helikopter-Bild über Shutterstock