黄金财经区块链9月8日预言机服务提供商chainlink在去中心化金融领域扮演着非常重要的角色。它为去中心化交易所、钱包和去中心化金融协议聚合服务提供商提供定价服务。然而,8月底,9家连锁节点运营商遭到所谓的垃圾邮件攻击,攻击者从他们的热钱包中获得约700以太坊(当时价值约33.5万美元)。
到目前为止,受影响的9家已知连锁链接节点运营商分别是:T-Systems(德国电信的子公司)、01node、anyblock *ytics、b-harvest、chainlayer、evertake、segment Networks、Linkpool和chainlink本身。
由于链节点运营商的钱包余额很大程度上取决于其内部政策,部分运营商钱包中的ETH资产超过50项,而其他运营商钱包中的ETH资产仅为2-3项。如果攻击者运气好,他们很可能会攫取更多利润。
据悉,此次攻击是通过短垃圾邮件进行的,利用了节点响应查询的漏洞,还涉及到一代币与网络的交易成本和币代的使用情况有关。整个过程大约持续两个小时。攻击者通过发送有效的价格请求,使节点运营商支付大量的以太坊交易费用,即汽油费。以太坊的天然气价格采用“Gwei”定价。攻击者通过提高这些预言机机器的天然气***格,迫使他们用更高成本的币来代替币。币代通常用于支付较高的天然气成本。然而,当汽油成本增加时,攻击者可以出售Chi而不是币来换取ETH。据消息人士透露,恶意攻击者最终使用基于以太坊的事务混合器tornado cash来掩盖非法获取的以太坊代币传输路径。
通常,链家会通过节点运营商向区块链智能合约发送AFI**币的价格,因为根据设计规则,智能合约无法与外部系统通信,节点运营商将获得相关工作的报酬。例如,chainlink使用其原生代币 link来支付成本。然而,恶意攻击者可以使用节点操作员的备用气体来挖矿Chi气体生成币,该气体由去中心化的交易所服务提供商1聚合英寸。交换创建。Chi是一种GAS FEE用,而不是币,旨在用弹性波动来对冲天然气成本。Chi被称为目前市场上液化气产量**的币。这一代币在1INCH自动做市商协议moonisswap中有着巨大的流动性,这可能是恶意攻击者选择它的主要原因。
此次攻击不仅导致上述9节点运营商耗尽钱包中所有交易所代币,而且在攻击过程中未能响应和满足数据请求。一旦节点运营商耗尽了交易所代币,他们就不能再支付交易费用,也不能在链上响应请求或提供数据,这基本上就瘫痪了。不幸的是,大多数受影响的节点操作员当时并没有意识到这是一次攻击。他们只是认为当天的高交易量导致了天然气成本的峰值,于是选择继续给钱包充值,以补充天然气和燃料,但所有新注入的资金很快就用完了。代表币的奇的铸造方法很快被链家团队发现,于是安全团队开始对其进行修补。然后,通过白名单解决方案,通过只满足白名单上的要求,同时屏蔽所有未列入白名单的申请人,最终解决了这个问题。然而,白名单只能被视为一个暂时的解决方案。如果要获得**性的解决方案,chainlink需要在node操作符更改system;之前找出quot;与实际数据用户的共同点。
尽管chainlink证实了这次攻击,但它没有透露以太坊的损失量以及受影响的节点运营商数量,并将其描述为向网络发送垃圾邮件的失败尝试。Chainlink表示,尽管这种垃圾邮件攻击确实需要Chainlink节点花费更多的以太坊,但当网络开始正确处理垃圾邮件时,这种攻击的影响就会很快消除。在垃圾邮件请求攻击的初始阶段,网络通常会消耗更多的资源,直到相关请求被识别为垃圾邮件。这种针对链的垃圾邮件攻击实际上是一次失败的尝试,对整个区块链和网络没有实质性的影响。这一失败的尝试向链接网络发送垃圾邮件证明了链接网络已经变得越来越有弹性。
客观地说,这种攻击对chainlin网络没有任何实质性的影响,因为未受影响的节点运营商可以继续增加数据的供给速率。例如,ETH/USD官方定价需要大约25或28个数据提供商,因此当9个节点运营商出现问题时,其他节点运营商仍然可以更新定价数据。但是,如果攻击影响到大约一半的链接节点运营商,那么在没有足够的备份之前,定价数据就会受到影响。
一方面,chainlink坚称攻击基本上是预料之中的,不会影响其网络。另一方面,它也接触到一些攻击和热钱包没有足够的交易所代币据报道,拥有10-20 ETH损失资金的节点运营商可以获得补充资金支持,因为他们使用自动补充脚本造成资金枯竭,但不确定是否所有节点运营商可以补偿。
值得一提的是,就在攻击发生前,链节点运营商certus one在短短几天内损失数千美元。然而,node运营商的首席执行官亨德里克霍夫斯塔特(Hendrik hofstadt)向用户保证,他们永远不会受到影响。整个系统,称为聚合器的智能合约,没有改变,但已经更新。这些聚合器运营商将向节点运营商支付费用。大多数数据用户,包括chainlink,实际上是向节点运营商付费,然后他们的去中心化应用程序就可以免费访问链上的价格数据。当然,每个人都可以免费获取定价数据。
与此同时,亨德里克·霍夫斯塔特还表示,天然气价格上涨是袭击的主要原因。他认为,在正常情况下,利用链接漏洞的恶意攻击者并不“幸运”,因为币的气体生成通常不是有效的百分比。只有当有足够的请求被响应时,恶意攻击者才能被视为没有损失金钱。然而,这种做**将天然气价格推高到可以赚钱的地步,这与拒绝服务攻击非常相似。此外,执行这种攻击的成本非常昂贵,不会给攻击者带来任何可观的利润。
然而,加密界仍然认为,这种类的攻击会给节点运营商带来风险,因为一旦实施攻击,就会牺牲诚实的行为体获取利润的时间,网络本身也会付出巨大的代价。
这篇文章的一部分来自于块
文章标题:链接节点的垃圾邮件攻击分析
文章链接:https://www.btchangqing.cn/100352.html
更新时间:2020年09月08日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
