Исследователи из бостонского и питсбургского университетов опубликовали (https://www.cs.bu.edu/~goldbe/projects/eclipseEth.pdf) метод атаки "Eclipse" на P2P-сеть Ethereum, второй по размеру капитализации криптовалюты, позволяющий блокировать подключение жертвы к легитимным P2P-узлам и получить контроль за представлением блокчейна для жертвы. Атака вызвана недоработками в процессе определения соседних узлов в P2P-сети Ethereum, базирующейся на протоколе Kademlia (https://ru.wikipedia.org/wiki/Kademlia).Атака может быть проведена с использованием всего двух оконечных хостов с отдельными IP-адресами, без необходимости получения контроля за привилегированными элементами сети между жертвой и остальной сетью Ethereum. В ходе атаки можно получить контроль над всеми входящими и исходящими соединениями жертвы. Изолировав жертву от остальной P2P-сети атакующий может отфильтровать представление блокчейна для жертвы или вовлечь систему жертвы в проведение более изощрённой атаки на алгоритм вычисления консенсуса при выполнении майнинга. Для сравнения, выявленная в 2015 году похожая атака (https://eprint.iacr.org/2015/263.pdf) на P2P-сеть Bitcoin требовала получения контроля за сотнями или тысячами хостов с отдельными IP-адресами.
С практической стороны получение контроля за блокчейном с которым взаимодействует жертва позволяет злоумышленникам инициировать двойные траты, присваивать себе достижения в майнинге, обманывать жертву при просмотре некорректных деталей транзакций или обманным путём получать товар у продавцов на основании транзакций, которые реально не были завершены. Искажения представления блокчейна можно применять для нарушения работы умных контрактов, например, задерживая появления параметров, применяемых во внутренних вычислениях контракта, можно добиться формирования неверного вывода умными контрактами.
Исследователями разработано три метода атаки:- Простейший метод, для которого требуется всего два узла с разными IP-адресами, основан на генерации данными узлами большого числа криптографических ключей, которые протокол Ethereum использует для назначения P2P-узлов. Атакующий добивается переподключения жертвы к P2P-сети, дождавшись перезагрузки компьютера жертвы или через эксплуатацию DoS-уязвимостей добивается краха системы, после чего сразу инициирует со своих узлов большое число входящих соединений до того, как узел жертвы попытается установить исходящее соединение.- Второй метод реализуется через создание большого числа узлов, подконтрольных атакующему, которые отправляют на узел жертвы специальные пакеты, засоряющие базу доступных узлов. После перезагрузке в базе с определённой вероятностью остаются только сведения об узлах атакующего к которым и подключается жертва;
- Третий метод требует, чтобы часы на узле жертвы были установлены на 20 или более секунд вперёд, по сравнению с другими узлами P2P-сети. Так как протокол Ethereum для защиты от повторной отправки старых аутентифицированных сообщений не принимает сообщения отстающие от текущего времени более чем на 20 секунд, атакующий на своих узлах также переводит часы на 20 секунд вперёд и жертва начинает отбрасывать сообщения с легитимных узлов и принимает их только с узлов атакующего.
До публикации деталей в открытом доступе исследователи предварительно информировали организацию Ethereum Foundation и предложили ряд методов для противодействия атаке, которые были включены в состав Ethereum-клиента geth 1.8 (https://github.com/ethereum/go-ethereum), выпущенного (https://github.com/ethereum/go-ethereum/releases/tag/v1.8.0) 14 февраля.
Реализованный метод защиты полностью не устраняет возможность атаки, но существенно её усложняет - для проведения атаки теперь требуется получение контроля за тысячами узлов, а не двух. В частности, реализованы меры для блокирования первого и второго методов атаки путем обязательного создания исходящих соединений всегда к другим пирам и ограничение на число соединений в рамках одной подсети (/24). Защита от третьего метода атаки не реализована, но данный метод требует получения контроля за трафиком (MiTM) или получения доступа к компьютеру жертвы.
Отмечается, что до включения рекомендованных изменений, P2P-сеть Ethereum была существенно менее безопасной, чем P2P-сеть Bitcoin, несмотря на сложившееся обратное мнение (ранее считалось, что для атаки на Ethereum потребуется значительно больше ресурсов, так как в Ethereum применяется надежный механизм криптографической аутентификации сообщений и по умолчанию устанавливается 13 исходящих соединений с пирами, вместо 8 для Bitcoin).URL: https://arstechnica.com/information-technology/2018/03/ether.../
Новость: https://www.opennet.me/opennews/art.shtml?num=48191
Эфир уже стоит 0$?
Вы слишком высокого мнения о криптотрейдерах.
По большому счёту, это неприятность, но не катастрофа. Примерно как очередная уязвимость в ядре - ну бывает, закрыли и поехали дальше.
Ну обнулят кошельки, ну подумашь. Да, планета не остановиться, но осадочек остался.
Да и тех, у кого этот осадочек останется, тоже не жалко.
Если ты не заметил, они апдейт уже выкатили.
Ну удалят со всех компов мира где установлен Линукс всю информацию - такая логика? С каждой уязвимостью от Линукса все должны отказаться?
> Ну обнулят кошельки, ну подумашь. Да, планета не остановиться, но осадочек остался.Обнулят только у сильно некоторых, которые много клювом хлопают или были достаточно глупы чтобы хранить кучу денег в одной системе, которая в результате подверглась профессиональной прицельной атаке.
А знаешь, естественный отбор - это не так уж и плохо. Идиоты лучше смотрятся на DarwinAwards, или накрайняк в очереди у сберкассы.
> До публикации деталей в открытом доступе исследователи предварительно информировали организацию Ethereum FoundationДак вот почему в начале февраля был обвал почти в два раза (https://coinmarketcap.com/currencies/ethereum/#charts). Все свои были в курсе и кинулись выводить средства.
Касперский (не тот, а этот) уже родил статью: https://e-kaspersky.livejournal.com/475501.html
свой блог пиаришь?)
> свой блог пиаришь?)Твой, Жека. Извини, чувак, спалил тебя. :)
"этот" и "тот" - это кто?
Евгений и Крис (который погиб уже)
Крис погиб?? А где прочитать подробности про него? Его статьи и книга открыли для меня дорогу в дизассемблирование и не только
> Крис погиб?? А где прочитать подробности про него? Его статьи и книга
> открыли для меня дорогу в дизассемблирование и не только
У Криса фамилия без "й".
Тот - это крутой но мертвый. Этот - бестолковый но раскрученный и живой.
Крутой это который декомпилировал фаерфокс, вместо того чтобы в исходники смотреть?
Крутой он был по большей части болтолог, помнится :(
может и так. Но на работу его в штаты забрали. Именно забрали.
> Крутой он был по большей части болтолог, помнится :(Зато он не был вралем и ИБДшником, в отличие от.
> Тот - это крутой но мертвый. Этот - бестолковый но раскрученный и
> живой.Однако у "бестолкового" миллионы, если не миллиарды, а у крутого - могила, из-за глупого увлечения экстримом.
> из-за глупого увлечения экстримом.Спору нет, жизнь овоща на грядке - это тоже вариант. Но противненький и скучный.
> Однако у "бестолкового" миллионы, если не миллиарды, а у крутого - могила,
> из-за глупого увлечения экстримом."Рожденный ползать - летать не может"
> Касперский (не тот, а этот) уже родил статью: https://e-kaspersky.livejournal.com/475501.htmlыыыы
Учитывая что эфир скам -- всем пофиг.
Почему скам? Ну, то есть большинство ICO - понятно, скам, но платформа в принципе вполне интересная же, хоть и не без странностей (а-ля Великий Виталик). Или я что-то крупное пропустил?
с кефиром вообще крайне мутная история:
1) когда он якобы был запущен (лето 15-го?) для майна всеми желающими его уже было 70 млн. монет (сейчас 96 млн.), т.е. даже сейчас, годы спустя, 70% кефира это премайн Кидалика Буратин;
2) Кидалик постоянно меняет правила игры в кефире, а кто будет играть с мошенником по его правилам?
3) Кидалик "банил" неугодных ему людей конфискуя весь их кефир;
4) Кидалик как бы случайно делает ошибки в коде из-за которых люди теряют миллионы;
5) кефир, якобы крипта будущего, лёг из-за котиков, лол;
6) кефир инфляционен, централизирован и функционирует в интересах неизвестной группы лиц;
7) сообщество не имеет никакого влияние ни на его развитие, ни на принятие решений, ничерта.Мутноватая история, не правда ли? Вот поэтому, если вкратце, кефир скам.
> функционирует в интересах неизвестной группы лицНеизвестны только конкретные дица. А группа это ZOG.
>Кидалик "банил" неугодных ему людей конфискуя весь их кефирЭто ты про инцидент с расколом на Эфир и Эфир Классический? Или ещё были прецеденты?
До кидалика даже с маленьким премайном не брали крипту на биржи, а сейчас токены со 100% контролем берут. Скатилась крипта по полной :(
> 3) Кидалик "банил" неугодных ему людей конфискуя весь их кефир;Пруфы?
> 5) кефир, якобы крипта будущего, лёг из-за котиков, лол;
Они не крипта будущего, они больше чем это. Они распределенная децентрализованная платформа смарт-контрактов. И это довольно круто. Это будущее. То что Виталик озолотится... а пусть, тот кто придумал ЭТО - заслуживает озолотиться. Крутая технология.
> Они не крипта будущего, они больше чем это. Они распределенная децентрализованная платформа
> смарт-контрактов. И это довольно круто. Это будущее. То что Виталик озолотится...
> а пусть, тот кто придумал ЭТО - заслуживает озолотиться. Крутая технология.смарт-контракты, которыми можно вертеть-куда-хотеть, или в данном случае реализация не очень?
Контракты, которыми нельзя вертеть это как идеальный газ, все на него ссылаются, но в природе он не существует. Блокчейны как раз тот самый самогонный аппарат, позволяющий гнать из грубой материи то, что не существует.
> смарт-контракты, которыми можно вертеть-куда-хотеть, или в данном случае реализация не очень?Если страдать идеализмом в тяжелой форме - у биткоина тоже реализация не очень. А первый самолет так и вообще стремно выглядел. Но мы помним братьев Райт. Даже если бы и не отважились летать на их куске фанеры.
Контракт, будь он смарт или не смарт, должен определяться волей заключивших его сторон, а не консенсусом непонятно кого.
> Контракт, будь он смарт или не смарт, должен определяться волей
> заключивших его сторон, а не консенсусом непонятно кого.Вот об эту подмену, в частности, вскружившие себе голову и будут спотыкаться ещё не раз. Впрочем, кому годится гевалт вместо слова -- тем поделом.
Оно, как бы, так и есть. Консенсусом тут заменили ту сущность, которая гарантирует неизменность контракта. ну можно вместо консенсуса какое-нибудь "правительство", но там проблем явно больше
Опять эту придурь сюда несут? В прошлые разы же всё перетерли. Воля сторон подменяется на математическое описание. Петя хочет от Васи получить вкусную пиццу. А не кошелек петя передаст койн кошельку вася после получения объекта пицца. Разницу понимаем?
Не знаю, что там насчёт "прошлых разов", но есть до чёрта случаев, которые именно этой формалистикой покрываются. Обмен валют, распределение прибыли по заранее описанным правилам, отложенные вознаграждения, escrow, тот самый lightning network... Плюс всё, реестры чего доступны (или будут доступны) в онлайновой форме.А для удалённой торговли - ну да, по-прежнему посредник нужен, и вообще идеальных решений, пригодных для всего, не бывает.
Да, ещё одно забыл - собственно, обычные контракты именно так и работают, как ты описал - никого не интересует "вкусная пицца", интересует, есть ли у Пети с Васей какие-то доказательства - кассовые чеки, квитацнии о переводе денег, выписки из банка, акты приёма-передачи, видеозапись события, наконец. Всё это от "объекта пицца" в блокчейне отличается разве что худщей защищённостью и неоднозначностью.
Нда, бесполезняк тут что-либо объяснять. Думай что блокчейновские контракты и их исполнение идентично реальной жизни. Что уж тут поделаешь.
> Нда, бесполезняк тут что-либо объяснять. Думай что блокчейновские контракты и их исполнение
> идентично реальной жизни. Что уж тут поделаешь.Так собственно если какая-то сторона не исполнит контракт - он и не будет засчитан. И глядя на то как работает российский арбитраж - любая автоматика намного лучше чем ЭТО.
У вас реально с пониманием смысла текста проблемы? Вы хоть помедитируйте почему в законах наказание от и до, и встречаются такие строчки: ...Суд оценивает доказательства по своему внутреннему убеждению...
> в законах наказание от и до, и встречаются такие строчки: ...Суд
> оценивает доказательства по своему внутреннему убеждению...Я видел как на примере роснефть vs афк система это работало и какие там у кого "убеждения". Поэтому и предпочту смарт-контракты разруливаемые бездушными железками.
Сейчас ты конечно предоставишь свои дипломы по юридической части, результаты ознакомления со всеми материалами дела и свою юридическую практику. Или ты Лев Простой?
Не зря я там выше всё это написал, не зря. Но до глупеньких итшников не доходит. Петя хочет вкусную пиццу. А не факт получения объекта пицца. В реальном мире это решается по другому. А тут - бах контракт исполнен. А, ещё забавная ситуация. А если петя васе передал не пиццу? Смарт-контракты это не отслеживают. Возможно два человека просто хотят что бы для внешнего мира это выглядело как обмен пиццы на деньги. А на самом деле может быть что угодно. Как помогут твои смарт-контракты от такой ситуации? Да никак.
> Сейчас ты конечно предоставишь свои дипломы по юридической части, результаты ознакомления
> со всеми материалами дела и свою юридическую практику. Или ты Лев Простой?Если я вижу дела в которых например американское государство сливает с треском гражданам или компаниям, признает косяки, выплачивает ущерб и все такое - я имею основания считать арбитраж и судество хотя-бы частично независимыми (от государства).
А когда российский арбитраж почему-то завершает 100% дел в пользу государства или аффилированных структур против всех остальных - вот тут извините.
И выбирая между системой которая 100% сыграет против меня (потому что я не государство и не дружок верхушки) или хрен бы его знает какой автоматикой - "хрен бы его знает" для меня лучше чем гарантированный проигрыш. Вот так просто и банально.
Ответ то на вопрос будет про образование и ознакомление с материалами дела?
Или как большинство нынешних итшников за компиком уже реальную жизнь не видишь и обладаешь магическим мышлением?
BTC = $11 387.00
Да и хрен бы с ним
> BTC = $11 387.00И чо?
А то, что доллары уже обычная бумага, а не деньги.
Для начала надо дождаться конца роста, чтобы курс как-то стабилизировался.By the way - прямо сейчас у биткоина инфляция больше, чем у доллара. Но падает,и предсказуемо, это да.
> By the way - прямо сейчас у биткоина инфляция больше, чем у доллара.Скорее таки дефляция, особенно если усреднять за хотя-бы год, а не последние 2 часа, где может быть что угодно в зависимости от хода торгов.
> А то, что доллары уже обычная бумага, а не деньги.Они уже давно "обычная бумага", которая ничем таким особо не обеспечена. Про прочие рубли, гривны и зайчики даже и вспоминать неудобно. Просто глядя на уровень инфляции, особенно не на номинальные релизы центробанков а на фактическую покупательную способность.
На долларах США написано: In God we trust
МММ тоже пользовалось спросом в свое время. И пользуется сейчас, в Африке.
Вот вам полный P2P. Говорили же уже сто раз, что хотя бы без какой-то степени централизации, и шкурной заинтересованности держателей этих центров, не будет стабильности и скорости работы сети. Вот в DASH и некоем "сибирском червонце" (который форканут от DASH) это решено, благодаря мастернодам. Больше никто не сподобился.
Даже странно, и как биткоин без всяких мастернод жив...
Как бы так сказать. За пределами самосовокупления внутри биржи битки как средство платежа фактически мертвы. Сколько там надо ждать прохождения транзакции при скорости 300к транзакций в сутки? Даже поверхностный анализ показывает как биткоины, потащенные на биржу в моменты максимума пришли на площадки спустя почти две недели.
Твои сведения чуток устарели. Hint: segwit adoption, transaction batching - это то, что наконец получили. Ну и lightning ждём, там вообще ограничений никаких. И прочие заклинания - MAST, Schnorr и т.д., но тут я таймфрейм не совсем понимаю.Выбора-то, в общем, ровно два: либо второй уровень либо пихать всё в блокчейн, а потом быть неспособным поднять под это дело ноду. Наличие или отсутствие мастернод на это не влияет примерно никак, как и разница между PoS и PoW. В биткоине второй вариант ("всё в блокчейн") на фиг не нужен, что прекрасно видно по популярности биткеша. А, ещё вариант - шардинг, который на порядок усложняет реализацию и ухудшает безопасность пропорционально количеству шардов. IMHO, из этого второй уровень - самый логичный подход, основа остаётся нетронутой, а то, что поверх - может расти в своём темпе.
Ещё больше всего забавляют картины P2P для каждой бабушки, которые рисуют некоторые футуристы, при том, что люди уже вообще, по факту, пересели на смартфоны, в качестве основных PC, а на 3G/4G сетях все айпишники серые и все порты закрыты. И открывать нельзя, во избежание ботнет-апокалипсиса. Да и у большинства проводных провайдеров теперь тоже всё закрыто, открывают только за отдельную плату. Какой тут P2P. Так что и Lightning не поможет, он ведь всё равно полный P2P. Поможет только жирная прослойка в виде мутных компаний-посредников а-ля какой-нибудь BTCPayPal. Что через несколько лет, в результате конкуренции, приводит опять к тотальной централизации. Кое кто начинает взывать к STUN-серверам, как к последней соломинке, но тут же вопрос - а за чей счёт банкет? Вот в мастернодах понятно, за чей счёт.
> STUN-серверамТьфу ты. TURN, а не STUN. Что-то заклинило.
> Тьфу ты. TURN, а не STUN. Что-то заклинило.Если ты выучил пару слов, это еще не значит что ты разобрался в теме. Конкретно в таких системах каждый full node до кучи может быть немного TURN, потому что релэит блоки тем кто приконектился.
Он, конечно, полный p2p. Но как раз в нём стационарных нод будет много - по факту любая кафешка, его понимающая. И, по идее, именно с такими нодами каналы и будут в основном открываться. Плюс IPv6.
Вот в моем мире почему-то ни один из известных мне (т.е. окружающих меня в быту) проводных провайдеров ничего не закрыто. Ну.., за редким исключением исходящего smtp у одного-другого провайдера, да и тот открывают по первому требованию.
Почти та же ситуация и в 3г/4г сетях - там при наличии нормального тарифа открыто все.
Я уже молчу про тотальное ipv6 полному триумфу которогого сейчас мешают, разве что, дешевые роутеры десятилетней давности да оконечные уст-ва без поддержки оного.
Ты в какой стране живешь, бедовый? Хотя вопрос риторический...Да, ты можешь забавляться сколько угодно истерически ухахатываясь..
В то время как я, например, за последний год только одних айфоно-ноутбуков купил уже штук 15, именно за биткойны, честно мной заработанные..Централизация, за чей счет, в мастернодах....
Меня так умиляют размышления наивных диванных теоретиков, во всю забавляющихся в то время, когда как космические корабли уже давным-давно бороздят.
Ну ты смейся, смейся...
>как и разница между PoS и PoW.В PoS начальное распределение монет не утилитарно же.
>как и разница между PoS и PoW.И весьма слабый стимул добавлять вычислительные ресурсы для ускорения постверждения транзакций.
>[оверквотинг удален]
> таймфрейм не совсем понимаю.
> Выбора-то, в общем, ровно два: либо второй уровень либо пихать всё в
> блокчейн, а потом быть неспособным поднять под это дело ноду. Наличие
> или отсутствие мастернод на это не влияет примерно никак, как и
> разница между PoS и PoW. В биткоине второй вариант ("всё в
> блокчейн") на фиг не нужен, что прекрасно видно по популярности биткеша.
> А, ещё вариант - шардинг, который на порядок усложняет реализацию и
> ухудшает безопасность пропорционально количеству шардов. IMHO, из этого второй уровень
> - самый логичный подход, основа остаётся нетронутой, а то, что поверх
> - может расти в своём темпе.Рипл - спасет всех отцов мировой демократии.
>которые были включены в состав Ethereum-клиента geth 1.8ха-ха. Недавно запускал ноду, и там можно было смотреть версии подключившихся клиентов. Так вот, актуальные там были в лучшем случае у 1 из 10. Натурально, люди скачивают крутую прогу себе на винду и начинают майнить. О том, что надо следить за новостями и регулярно обновляться, они естественно не задумываются.
> майнить. О том, что надо следить за новостями и регулярно обновляться,
> они естественно не задумываются.Ну не знаю, установка майнеров вроде неплохо учит народ патчиться :). А спертые кошели по идее должны учить этому еще эффективнее :). В кои-то веки придуман способ заставить юзерей заботиться о безопасности систем.