Ethereum Merge läheneb kiiresti. Pärast aastatepikkust arendustööd (ja viivitusi) on Ethereumi kauaoodatud üleminek töö tõendamiselt panuse tõendamisele peaaegu käes. Hiljutises arenduskutses oli ühinemise kuupäev esialgselt määratud 15. või 16. septembrile 2022.
Selle ülemineku tähtsust on raske üle hinnata. Töö konsensuse tõestust – mida Ethereumi kett võttis Bitcoinist üle ja on kasutanud alates selle loomisest 2015. aastal – kritiseeritakse sageli kui ebatõhusat ja keskkonda kahjustavat. Panuse tõendamine kulutab hinnanguliselt üle 90% vähem energiat kui töö tõendamine. Nii et see on suurepärane uudis, eks? Kahjuks on Šveitsi privaatsusprojekt HOPR tuvastanud potentsiaalse privaatsusvea, mis võib pärast ühendamist põhjustada kaose.
Probleem: kontrollija nuuskimine
Probleemi mõistmiseks peame tegema väikese kõrvalepõike, kuidas Ethereumi panuse tõendamise konsensust rakendatakse. Erinevalt töötõendist, kus kõik võistlevad samaaegselt blokkide täitmisel, määratakse panuse tõendamise korral piisava panusega osalejatele (tuntud kui valideerijatele) konkreetne pesa, kus ainult nemad saavad plokki välja pakkuda. Selle ploki kinnitavad teised võrgu liikmed ja kui see on aktsepteeritud, lisatakse see ahelasse.
Küsimus tekib selles, kuidas see praktikas välja näeb. Validaatoritele määratakse teenindusajad juhuslikult, kuid see ajakava on kõigile võrgus osalejatele eelnevalt teada. See täpsem teade annab potentsiaalsetele ründajatele aega koguda andmeid häiriva ja tulutoova ärakasutamise jaoks.
Kuigi võrgus tuvastatakse valideerijad vaid pseudonüümse avaliku võtmega, lekib teiste võrgus olevate kaaslastega suhtlemisel ka validaatorite IP-aadressid, piisava ajaga on võimalik avalikke võtmeid IP-aadressidega siduda, murdes pseudonüümsuse loori. Kui see link on paigas, on võimalik sooritada teenuse keelamise rünnak, pommitades sihtseadet päringutega ja võttes selle ajutiselt võrguühenduseta. Pärast võrgust eemaldamist ei saa validaator plokki välja pakkuda ja nende lühike pesa aken aegub täitmata.
Seda rünnakut, mille käigus võeti välja validaator, et takistada neil oma plokiahela kohustusi täitmast, on nimetatud "validaatori snaipimiseks".
Miks see oluline on? See probleem on olnud teada juba aastaid – seda mainitakse isegi mitmes Ethereumis turvaauditid –, kuid jäeti varem kõrvale kui "madala raskusastmega", kuna tundus vähe põhjust ahelat sel viisil katkestada.
Kuid pärast nende auditite esmakordset avaldamist on juhtunud midagi olulist: MEV tähtsuse tõus, kus kaevurid või valideerijad ammutavad plokiahelast väärtust, tellides ja sisestades tehinguid tahtlikult tulutooval viisil. Mõne aasta tagune vähetuntud nähtus, DeFi buumiga on MEV kasvanud miljardidollariseks rahalehmaks. MEV tegelikku ulatust on raske hinnata, kuid iga plokiuurija uurimine näitab kiiresti, et see mõjutab enamikku plokiahela plokkidest.
See on panuse tõendamise seisukohalt ülioluline, sest need tulusad MEV-võimalused muudavad validaatori snaipimise esoteerilisest ärakasutamisest sügavalt ahvatlevaks rünnakuks. Kui valideerija näeb mempoolis mahlaseid MEV-võimalusi, kuid talle määratud plokipesa ei ole piisavalt vara, on tal tugev stiimul eelmised validaatorid ajakavast välja lüüa ja oma hüvesid välja visata.
Plokiahelad sõltuvad tugevalt stiimulitest, mis on kooskõlastatud, et kõik jõuaksid üksmeelele. Kui on olemas väärad stiimulid, on võimalik, et ühinemisjärgne Ethereumi kett kannatab sageli katkestuste all ja validaatorid närivad üksteist.
Aga kui tõenäoline see on? HOPR-i meeskond viis läbi uuringu funktsionaalselt samaväärse Gnosis Beacon Chain kohta ja suutis kasutada modifitseeritud validaatori sõlme, et tuvastada seos avalike võtmete ja IP-aadresside vahel enam kui 90% usaldusväärsusega. Seda tehes analüüsis meeskond enam kui miljardit andmepunkti, mis koguti kuude jooksul kestnud valideerimisel. Pärast Ethereum Foundationi ja Gnosis Chaini meeskondadega konsulteerimist näib, et andmete kogumise seadistuse optimeerimisega saab olulise seose luua vaid viieteistkümne minutiga.
Lahendus: IP-kaitse
Mida siis teha saab? Üks võimalus on kasutada VPN-i, kuid pikemas perspektiivis on ebatõenäoline, et see piisavat kaitset pakub. Konsensusalgoritmi enda versiooniuuendused võivad aidata, kuid nende uurimine ja rakendamine võtab tõenäoliselt aastaid.
Osana oma uurimistööst soovitab HOPR, et lahenduseks võiks olla selline privaatsusmiksett, nagu see, mida nad arendavad, kuna andmete erinevatel radadel edastamise protsessil on sama mõju kui IP-aadresside regulaarsel tsüklil.
Oluline on märkida, et see probleem ei tekita otsest muret, kuna panuse tõestamise seadistuse testimise ajal pole MEV-i ärakasutamine võimalik. Kuid kui ühendamine toimub ja tegelikke tehinguid töödeldakse, on kõik panused välja lülitatud.
Kui ühendamine on edukas, näib olevat oluline, et kogu ökosüsteemi projektid tuleksid kokku, et see privaatsuslünk täita.
Kohustustest loobumine: see artikkel on ette nähtud ainult teavitamise eesmärgil. Seda ei pakuta ega kavatseta kasutada juriidilise, maksu-, investeerimis-, finants- või muu nõuandena.
Allikas: https://cryptodaily.co.uk/2022/08/the-ticking-privacy-time-bomb-at-the-heart-of-the-eth2-merge