Das Kernproblem: Ihr Node vs. die digitale Wildnis

Bitcoin Magazine

Das Kernproblem: Ihr Node gegen die digitale Wildnis

Über 50 Jahre nach der ersten vernetzten Nachricht bleiben Peer-to-Peer-Netzwerke seltene Wesen im Dschungel des Internets. Bitcoins Fähigkeit, ein offenes Währungssystem bereitzustellen, hängt von seiner Peer-to-Peer-Architektur ab, und über seine Angriffsfläche hinweg ist die Netzwerkschicht – wie Peers sich gegenseitig entdecken und verbinden – am verwundbarsten. Es gibt zwei Hauptstellen, an denen Probleme auftreten können: Bitcoins eigenes Peering-Protokoll und die Internetprotokolle, von denen Bitcoins Protokoll abhängt. In diesem Licht hat Core ein doppeltes Mandat, um Denial-of-Service (DOS)-Vektoren zu verhindern, die zwischen Nodes missbraucht werden können, und um Nodes zu ermöglichen, in der breiteren gegnerischen Umgebung, die das Internet ist, sicher zu kommunizieren.

P2P

„Regierungen sind gut darin, die Köpfe von zentral kontrollierten Netzwerken wie Napster abzuschneiden, aber reine P2P-Netzwerke wie Gnutella und Tor scheinen sich zu behaupten."

– Satoshi, 07.11.2008 [1]

Das P2P-Protokoll umfasst, wie Nodes Nachrichten über Transaktionen, Blöcke und andere Peers austauschen. Dieser Informationsaustausch ist erforderlich, bevor eine Transaktions- oder Konsensvalidierung stattfinden kann, und ist daher ein Hauptanliegen.

Es gab in diesem Bereich im Laufe der Jahre mehrere Bugs. Im Jahr 2017 wurde beispielsweise eine bösartige SOCKS-Server-Schwachstelle gepatcht und offengelegt [2]. Diese „Buffer-Overflow"-Schwachstelle könnte theoretisch zu vielen verschiedenen Angriffen führen: den Node zum Absturz bringen, bösartige Payloads einschleusen oder Daten auf dem Node ändern. Im Jahr 2020 wurde eine hochschwere Schwachstelle gemeldet und gepatcht, bei der ein entfernter Peer Adressen sperren lassen konnte, wodurch die Sperrliste quadratisch wuchs, und daher ein DOS auf den Node darstellt [3]. Die Schwachstelle wurde erst 2024 offengelegt. Dieser Bug ist zu Recht als „hochschwer" markiert, da der Angriff einfach auszuführen ist, seine Wirkung zu einem Funktionsverlust für den Node führt und nur wenige Voraussetzungen erforderlich sind, damit er funktioniert. Dies sind die Art von Bugs, die Core-Entwickler nachts wach halten, und warum es dringend empfohlen wird, Ihren Node auf eine noch gewartete Version zu aktualisieren (ältere Versionen von Core werden nicht aktiv gewartet/aktualisiert).

Dieses verteilte Netzwerk, das wir Bitcoin nennen, bleibt relativ klein: Die Clearnet-Node-Anzahl schwebt um 20.000 Nodes, und selbst bei großzügigen 100.000 TOR-Nodes haben wir immer noch ein kleines, leicht überwachbares Netzwerk. Kürzlich zeigten Daniela Brozzoni und naiyoma [4], dass es trivial ist, die IPv4- und Tor-Adressen eines Nodes zuzuordnen, wenn ein Node sowohl mit Clearnet als auch mit Tor läuft. Es ist sehr wahrscheinlich, dass dies bereits von Geheimdiensten und Chainalysis-Unternehmen durchgeführt wird. Es wird dann einfach zu bemerken, welche Nodes welche Transaktionen zuerst veröffentlichen, wobei die ursprüngliche IP der Transaktion und damit der Standort abgeleitet werden. Obwohl dies nicht per se ein Bug ist, da der Node nicht abstürzt oder sich fehlverhält, kann es als Schwachstelle betrachtet werden, da es eine Methode darstellt, eine bestimmte IP-Adresse mit einer Transaktion zu verknüpfen. 

Wie man dies effektiv verhindern kann, ist derzeit eine offene Frage.

Das Ödland des Webs

„Wir bauen unsere Computer, wie wir unsere Städte bauen. Im Laufe der Zeit, ohne Plan, auf Ruinen." – Ellen Ullman [5]

Bitcoin läuft im Internet, und seine Fähigkeit, ein verteiltes und dezentralisiertes System zu bleiben, hängt von den Eigenschaften des Internets selbst ab. Leider bleibt die Architektur des Internets, wie wir sie heute kennen, beklagenswert unsicher, mit bekannten Angriffen, die routinemäßig eingesetzt werden. Die meisten dieser Angriffe werden unentdeckt durchgeführt, bis Schaden angerichtet wurde, und dies ist noch nicht einmal die Überwachungsregime zu erwähnen, die das Internet heute durchdringen.

Der bekannteste und praktischste Angriffsvektor, um den man sich Sorgen machen sollte, wird Eclipse-Angriff genannt, bei dem die Peers eines Opfer-Nodes alle bösartig sind und dem Opfer-Node eine bestimmte Ansicht der Chain oder des Netzwerks zuführen. Diese Angriffsklasse ist fundamental in verteilten Systemen, wenn Sie die Peers eines Nodes kontrollieren, kontrollieren Sie sein Bewusstsein für das Netzwerk. Ethan Heilman und Mitarbeiter präsentierten einen der ersten praktischen Eclipse-Angriffe auf Bitcoin bei USENIX 2015 [6], und 2018 beschrieb das Erebus-Angriffspapier einen „heimlichen" Eclipse-Angriff über ein bösartiges Autonomes System (AS) [7]. 

Diese Angriffe nutzen weitgehend Schwächen in der Art und Weise, wie die Netzwerke des Internets untereinander kommunizieren, wie z.B. ASs-Routing-Topologie oder über ein Protokoll namens Border Gateway Protocol (BGP). Während es laufende Initiativen gibt, um das BGP-Protokoll zu sichern – BGPsec, RPKI – haben beide Einschränkungen, die gut verstanden sind, und lassen die Verwalter des Internets nach stärkeren Lösungen streben. Bis dahin wird das Internet der wilde Westen bleiben. 

Eine kürzlich durchgeführte Analyse von cedarctic bei Chaincode Labs ergab, dass Bitcoin-Nodes innerhalb von nur 4.551 ASs angesiedelt sind, einem ziemlich kleinen Teilbereich der konstituierenden Netzwerke, die das Internet ausmachen. Sie beschreiben eine Reihe von Angriffen, die zu Eclipse-Angriffen führen können, indem das Upstream-AS kompromittiert wird, in dem Nodes betrieben werden [8]. Die geringe Verteilung von Nodes unter ASs und die spezifischen Beziehungen zwischen diesen ASs schaffen einen einzigartigen Angriffsvektor. Während es Abhilfemaßnahmen gibt, ist unklar, ob dieser Angriffsvektor zuvor von Bitcoinern oder ihren Gegnern gut verstanden wurde.

Jeder Angriff, der auf der Kompromittierung eines oder mehrerer ASs beruht, erfordert Ressourcen, Koordination und Fähigkeiten, um erfolgreich zu sein. Obwohl kein erfolgreicher Angriff dieser Art auf einen Bitcoin-Node gemeldet wurde, wurden solche Angriffe erfolgreich gegen Miner [9], Wallets [10], Swap-Plattformen [11] und Bridges [12] durchgeführt. Während wir das Internet nicht reparieren werden, können wir Nodes mit den Werkzeugen ausstatten, um in dieser gegnerischen Umgebung zu operieren.

Netzwerk-Arsenal

Im Folgenden sind einige Funktionen und Funktionalitäten aufgeführt, die Bitcoin Core entwickelt oder integrierte Unterstützung dafür bietet, um Benutzer gegen Angriffe auf Netzwerkebene zu wappnen:

TOR (the Onion Router) ist das älteste datenschutzorientierte Overlay-Netzwerk, das in Bitcoin Core integriert ist. Es erstellt Hops zwischen einem zufälligen Netzwerk von Peers, um den Datenverkehr zu verschleiern. 

v2transport [13] verschlüsselt Verbindungen zwischen Peers und verbirgt den Datenverkehr vor Spionen und Zensoren. Das Ziel ist es, passive Netzwerkbeobachter daran zu hindern, den Inhalt Ihrer Kommunikation mit anderen Nodes auszuspionieren.

I2P (the Invisible Internet Project [14]) ist eine optionale Funktion von Core, die eine zusätzliche, private, verschlüsselte Ebene für die eigenen Verbindungen ermöglicht. Es ist ein Tor-ähnliches Anonymitätsnetzwerk, das sich auf Peers verlässt, um den Datenverkehr zwischen Clients und Servern zu verschleiern.

ASmap [15] ist eine weitere optionale Funktion von Core, die eine Abschwächung für den Erebus-Angriff implementiert, den die Autoren bereits im Papier skizziert haben, und die auf alle AS-basierten Angriffe anwendbar ist. Indem Bitcoins Peering-Mechanismus über das AS, von dem Peers kommen, informiert wird, um Vielfalt unter Peers sicherzustellen, wird ein Eclipse exponentiell schwieriger, da ein Angreifer viele ASs kompromittieren müsste, was höchst unwahrscheinlich und fast unmöglich ist, ohne entdeckt zu werden. Bitcoin Core unterstützt seit Core 20.0 die Verwendung einer Karte von IP-Netzwerken zu ihrem AS (eine AS-map), und das Kartograf-Projekt ermöglicht es jedem Benutzer, eine solche ASmap einfach zu generieren.

Angesichts der Tatsache, dass das Internet wahrscheinlich weiterhin anfällig für viele Angriffe sein wird, können wir das Verhalten unserer Peers beobachten, um zu versuchen, bösartiges Verhalten zu erkennen. Dies ist der Anstoß hinter dem peer-observer-Projekt von 0xb10c [16]. Es bietet ein vollständiges eBPF-Tracepoint-basiertes Logging-System (eine Möglichkeit, die kleinsten Aktionen in einem auf einem Betriebssystem laufenden Programm zu beobachten), um die Aktivität eines Nodes zu beobachten, einschließlich des Peer-Verhaltens. Es gibt Ihnen auch alles, was Sie brauchen, um Ihre eigenen Logging-Systeme zu erstellen.

Bitcoin muss robust sein

Die Sicherstellung der Fähigkeit, sich mit Peers zu verbinden und Nachrichten auszutauschen, ist eine Schlüsselkomponente dessen, was Bitcoin antreibt.

Bitcoin operiert in einer mehrdimensionalen gegnerischen Umgebung, in der viele der Bedrohungen durch Einschränkungen der Architektur des Internets selbst geschaffen werden. Wenn Bitcoin überleben und gedeihen soll, müssen seine Entwickler und Benutzer lernen, in diesen seltsamen Gewässern zu navigieren.

Der Preis offener Netzwerke ist ewige Wachsamkeit.

Verpassen Sie nicht Ihre Chance, The Core Issue zu besitzen — mit Artikeln, die von vielen Core-Entwicklern geschrieben wurden, die die Projekte erklären, an denen sie selbst arbeiten!

Dieses Stück ist der Brief des Herausgebers, der in der neuesten Printausgabe von Bitcoin Magazine, The Core Issue, enthalten ist. Wir teilen es hier als frühen Einblick in die Ideen, die in der gesamten Ausgabe untersucht werden.

[0] https://web.mit.edu/gtmarx/www/connect.html

[1] https://satoshi.nakamotoinstitute.org/emails/cryptography/4/

[2] https://bitcoincore.org/en/2019/11/08/CVE-2017-18350/

[3] https://bitcoincore.org/en/2024/07/03/disclose-unbounded-banlist/

[4] https://delvingbitcoin.org/t/fingerprinting-nodes-via-addr-requests/1786/

[5] https://en.wikiquote.org/wiki/Ellen_Ullman

[6] https://www.usenix.org/system/files/conference/usenixsecurity15/sec15-paper-heilman.pdf

[7] https://ihchoi12.github.io/assets/tran2020stealthier.pdf

[8] https://delvingbitcoin.org/t/eclipsing-bitcoin-nodes-with-bgp-interception-attacks/1965

[9] https://www.theregister.com/2014/08/07/bgp_bitcoin_mining_heist/

[10] https://www.theverge.com/2018/4/24/17275982/myetherwallet-hack-bgp-dns-hijacking-stolen-ethereum

[11] https://medium.com/s2wblog/post-mortem-of-klayswap-incident-through-bgp-hijacking-en-3ed7e33de600

[12] www.coinbase.com/blog/celer-bridge-incident-analysis

[13] https://bitcoinops.org/en/topics/v2-p2p-transport/

[14] https://geti2p.net/en/

[15] https://asmap.org

[16] https://peer.observer

[13] https://github.com/asmap/kartograf

Dieser Beitrag The Core Issue: Your Node Vs. The Digital Wilderness erschien zuerst auf Bitcoin Magazine und wurde von Julien Urraca, Fabian Jahr, 0xb10c und CedArctic verfasst.