Maison / Technologie / Bitcoin et Ethereum sont-ils aussi sûrs que vous le pensez?

Bitcoin et Ethereum sont-ils aussi sûrs que vous le pensez?

Écrit par le Dr. Vincent Gramoli (Data61-CSIRO, Université de Sydney)

Le consensus est un problème fondamental de l'informatique distribuée. Bien que ce problème soit connu pour être insoluble, les protocoles existants ont été conçus pour résoudre le consensus sous diverses hypothèses. Aujourd'hui, avec l'avènement récent des chaînes de blocs, plusieurs implémentations consensuelles ont été proposées pour permettre aux répliques de parvenir à un accord sur l'ordre des transactions mettant à jour le grand livre distribué. Cependant, très peu de travail a été consacré à l'évaluation de leur niveau de sécurité. En conséquence, les protocoles existants sont parfois mal compris et il est souvent difficile de savoir si les problèmes survenant lors de leur exécution sont dus à des bogues d’implémentation ou à des problèmes de conception plus fondamentaux.

Les blockchains de preuve de travail, tels que Bitcoin et Ethereum, ont été montrés vulnérables sur le plan théorique et empirique aux attaques par double dépense. Dans l'un de mes documents de recherche “Du consensus blockchain au consensus byzantinJ'ai déjà évoqué les algorithmes de consensus des chaînes de blocs classiques et mis en garde contre les dangers liés à l'utilisation de ces chaînes de chaînes sans comprendre précisément les garanties offertes par leurs algorithmes de consensus.

Ethereum est l'un des systèmes à chaîne ouverte les plus populaires, grâce à son vaste écosystème d'applications distribuées. Malheureusement, le protocole Ethereum par défaut, appelé proof-of-work (PoW), est paramétrable, car il permet d’ajouter des blocs distincts au même index de la chaîne. Une fourchette peut conduire à des vulnérabilités en matière de sécurité, telles que le double des dépenses, lorsqu’elle croît sans être remarquée.

En conséquence, la tendance semble à réutiliser la tolérance aux pannes byzantine dans une nouvelle classe de protocoles appelée preuve d'autorité (PoA), qui vise à éviter les doubles dépenses, qui a récemment été intégrée dans les clients Ethereum les plus déployés, parité et geth, et est utilisé par les industries.

On dit que ces algorithmes de consensus Ethereum, appelés Aura et Clique, implémentent le PoA car ils limitent la création d'un bloc à un ensemble fixe de nœuds d'autorité, appelés «scelleurs». Ils visent à résoudre le problème bien connu du consensus byzantin, où un ensemble fixe de nœuds s'accorde sur un bloc unique malgré la présence de nœuds byzantins. Le PoA donne aux scelleurs le pouvoir de sceller un bloc qui consiste à signer le bloc de manière cryptographique. Cet ensemble de chasseurs de phoques peut éventuellement changer dans le temps si un sous-ensemble des participants le permet, comme ce que l'on appelle les blockchains communautaires. Ce PoA est une alternative attrayante au PoW pour les industries qui ne sont pas intéressées à dépenser une grande quantité de ressources CPU en échange d'une récompense exprimée dans une crypto-monnaie, mais plutôt à éviter les forks pour augmenter la sécurité.

Pour ces raisons, le PoA a récemment gagné du terrain dans l'industrie. Amazon Web Services propose à ses clients le PoA via le protocole Clique intégré dans geth. Les industriels, comme Lavaa, proposent un service de suivi pour prévenir la contrefaçon de fraude, qui a été expérimenté sur Ethereum / Aura. Ils ont mis en place un service visant à préserver la confidentialité et l'intégrité des données dans un scénario multi-locataire. Microsoft explique comment déployer Ethereum / Aura «en production».. Ils suggèrent aux clients Azure de déployer le protocole Aura dans différentes régions pour améliorer la disponibilité du service.

Cependant, le niveau de sécurité offert par les protocoles du PoA n'a pas encore été évalué et il n'a pas été clairement établi si un attaquant pourrait violer l'intégrité des données. Alors que l'industrie s'appuie sur ces protocoles pour utiliser Ethereum dans un consortium d'institutions, il est devenu crucial d'évaluer leur vulnérabilité.

Dans un nouveau papier «L’attaque des clones contre preuve d’autorité”, Écrit en collaboration avec des collègues chercheurs de l'Université de Sydney et du CSIRO, nous avons exploré les vulnérabilités et les contre-mesures du protocole de consensus du PoA.

Dans le document, nous avons montré que, dans certaines conditions, le PoA n’est pas sécurisé. Nous avons conçu, mis en œuvre et expérimenté une attaque, appelée l'attaque de clonage, contre les protocoles Ethereum / Aura et Ethereum / Clique, qui permettait de voler des actifs numériques et proposait des moyens de réduire la vulnérabilité.

Nous avons déployé les deux versions de PoA Ethereum sur notre réseau de test privé et effectué l'attaque de clonage sur les deux protocoles. D'une part, nous avons constaté qu'Aura nécessitait moins de connaissances topologiques pour qu'un scellant malveillant réalise des doubles dépenses avec un taux de réussite de 100% par rapport à Clique. D'autre part, l'attaque contre Clique est environ deux fois plus rapide mais son taux de réussite varie de 60% à 100% en fonction de la connaissance topologique de chasseurs de phoques malicieux. En conséquence, il semble qu'en dépit de la tolérance de panne byzantine récemment introduite, Ethereum reste extrêmement vulnérable aux attaques de mise en réseau lorsqu'il est utilisé en consortium.

Afin de remédier à cette vulnérabilité, nous avons proposé de modifier ces deux algorithmes de consensus et de préserver leurs garanties de sécurité. Cependant, comme inconvénient, nos contre-mesures introduisent une limitation potentielle de la vivacité de l’algorithme Clique.

En guise de contre-mesure, nous proposons un protocole particulièrement prometteur – le Blockchain Ventre Rouge. Il s'appuie sur le BFT démocratique qui résout le problème du consensus byzantin de la Blockchain. N'ayant pas recours à un algorithme de consensus byzantin classique standard, Red Belly Blockchain s'adapte déjà à plus de 100 participants au consensus et gère une charge de travail de plus de 600 000 transactions par seconde, tolérant ainsi un nombre potentiellement beaucoup plus grand de les participants à la blockchain qui émettent des transactions et demandent des soldes que les autres blockchains. Contrairement aux autres chaînes de blocs à grande échelle, la Red Belly Blockchain permet un règlement rapide (généralement dans les 3 secondes) car elle ne nécessite aucune preuve de travail.

Le document «L’attaque des clones contre preuve d’autorité» a été rédigé par M. Vincent Gramoli (Université de Sydney), Parinya Ekparinya (Université de Sydney) et Guillaume Jourjon (Data61-CSIRO). lien: https://www.researchgate.net/publication/331370565_The_Attack_of_the_Clones_Against_Proof-of-Authority

Vincent Gramoli est professeur agrégé à l'Université de Sydney, où il dirige le groupe de recherche sur les systèmes concurrents. Il est également chercheur principal chez Data61-CSIRO. Auparavant, il était affilié à l'INRIA, à Cornell et à l'EPFL. Vincent est président du comité technique Blockchain de la Australian Computer Society et futur membre du Australian Research Council.


Bitcoin et Ethereum sont-ils aussi sûrs que vous le pensez? a été publié à l'origine dans Hacker midi sur Medium, où les gens poursuivent la conversation en soulignant et en répondant à cette histoire.

Source

A propos newstrotteur-fr

Découvrez également

Publication de superbes photos de First Look pour LITTLE WOMEN de Greta Gerwig avec Saoirse Ronan et Emma Watson – Newstrotteur

Nous avons un beau premier regard pour vous lors de la prochaine adaptation cinématographique de …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *