核心问题：你的节点 vs. 数字荒野

Bitcoin Magazine

核心问题：您的节点对抗数字荒野

在第一条互联网络消息发送50多年后,点对点网络在互联网丛林中仍然是稀有物种。Bitcoin提供开放货币系统的能力取决于其点对点架构,而在其攻击面中,网络层——节点如何发现并连接彼此——是最脆弱的。问题可能发生在两个主要地方:Bitcoin自身的对等协议,以及Bitcoin协议所依赖的互联网协议。从这个角度看,Core有双重任务:防止可在节点之间被滥用的拒绝服务(DOS)攻击途径,并使节点能够在互联网这个更广泛的对抗性环境中安全通信。

P2P

"政府擅长切断像Napster这样的中心化控制网络的首脑,但像Gnutella和Tor这样的纯P2P网络似乎能够坚守阵地。"

– 中本聪,2008年11月7日 [1]

P2P协议涵盖节点如何交换有关交易、区块和其他节点的消息。这种信息交换是任何交易或共识验证发生之前所必需的,因此是首要关注点。

多年来这个领域出现过几个漏洞。例如在2017年,一个恶意SOCKS服务器漏洞被修补并披露[2]。这个"缓冲区溢出"漏洞理论上可能导致许多不同的攻击:使节点崩溃、注入恶意载荷或修改节点上的数据。2020年,报告并修补了一个高严重性漏洞,远程节点可以使地址被禁止,使禁止列表呈二次方增长,因此对节点构成DOS攻击[3]。该漏洞直到2024年才被披露。这个漏洞被正确标记为"高严重性",因为攻击易于执行,其影响导致节点功能丧失,并且使其运作所需的先决条件很少。这些正是让Core开发人员夜不能寐的漏洞类型,也是为什么强烈建议将您的节点更新到仍在维护的版本(旧版本的Core未被积极维护/更新)。

我们称之为Bitcoin的这个分布式网络规模仍然相对较小:明网节点数量徘徊在2万个节点左右,即使假设有10万个TOR节点,我们仍然拥有一个小型、易于监控的网络。最近,Daniela Brozzoni和naiyoma展示[4],如果一个节点同时运行明网和Tor,映射节点的IPv4和Tor地址是轻而易举的。情报机构和链分析公司很可能已经在这样做。然后就很容易注意到哪些节点首先发布哪些交易,推断交易的原始IP,从而确定位置。虽然这本身不是一个漏洞,因为节点不会崩溃或行为异常,但它可以被视为一个漏洞,因为它提供了一种将给定IP地址与交易联系起来的方法。 

如何有效防止这种情况目前仍是一个开放性问题。

网络荒地

"我们建造计算机就像建造城市一样。随着时间推移,没有计划,建立在废墟之上。" – Ellen Ullman [5]

Bitcoin运行在互联网上,其保持分布式和去中心化系统的能力取决于互联网本身的特性。不幸的是,我们今天所知的互联网架构仍然极度不安全,已知的攻击被经常使用。这些攻击中的大多数在造成损害之前都未被发现,更不用说今天渗透互联网的监控体制。

最广为人知和实际需要关注的攻击途径称为日食攻击,受害节点的所有对等节点都是恶意的,并向受害节点提供链或网络的特定视图。这类攻击在分布式系统中是基础性的,如果你控制一个节点的对等节点,你就控制了它对网络的认知。Ethan Heilman和合作者在2015年USENIX上展示了针对Bitcoin的首批实际日食攻击之一[6],2018年,Erebus攻击论文描述了一种通过恶意自治系统(AS)进行的"隐秘"日食攻击[7]。 

这些攻击主要利用互联网网络之间通信方式的弱点,例如AS路由拓扑或通过称为边界网关协议(BGP)的协议。虽然正在进行保护BGP协议的举措——BGPsec、RPKI——但它们都有被充分理解的局限性,让互联网的管理者渴望更强大的解决方案。在那之前,互联网将继续是蛮荒西部。 

Chaincode Labs的cedarctic最近的分析发现,Bitcoin节点仅分布在4551个AS中,这是构成互联网的组成网络中相当小的一部分。他们描述了一组可以通过破坏节点所在的上游AS导致日食攻击的攻击[8]。节点在AS中的小规模分布以及这些AS之间的特定关系创造了独特的攻击途径。虽然有补救措施,但不清楚Bitcoin使用者或其对手事先是否充分理解这种攻击途径。

任何依赖于破坏一个或多个AS的攻击都需要资源、协调和技能才能实现。尽管没有报告针对Bitcoin节点的此类成功攻击,但此类攻击已成功针对矿工[9]、钱包[10]、交换平台[11]和桥接[12]。虽然我们不会修复互联网,但我们可以为节点配备在这种对抗环境中运作的工具。

网络武器库

以下是Bitcoin Core开发或集成支持的一些功能,以便武装用户对抗网络级别的攻击:

TOR(洋葱路由器)是Bitcoin Core中整合的最古老的注重隐私的覆盖网络。它在随机的对等节点网络之间创建跳跃以混淆流量。 

v2transport [13]加密对等节点之间的连接,向窥探者和审查者隐藏流量。其目的是阻止被动网络观察者窥探您与其他节点通信的内容。

I2P(隐形互联网项目[14])是Core的可选功能,为连接启用额外的私密加密层。它是一个类似Tor的匿名网络,依靠对等节点来混淆客户端和服务器之间的流量。

ASmap [15]是Core的另一个可选功能,它实施了作者在论文中已经概述的针对Erebus攻击的缓解措施,并适用于所有基于AS的攻击。通过让Bitcoin的对等机制意识到对等节点来自的AS以确保对等节点之间的多样性,日食攻击变得呈指数级困难,因为攻击者必须破坏许多AS,这极不可能且几乎不可能不被发现。Bitcoin Core自Core 20.0起支持获取IP网络到其AS的映射(AS-map),Kartograf项目使任何用户都能轻松生成这样的ASmap。

鉴于互联网可能继续容易受到许多攻击,我们可以做的一件事是观察对等节点的行为以尝试检测恶意行为。这就是0xb10c的peer-observer项目背后的推动力[16]。它提供了一个完整的基于eBPF追踪点的日志系统(一种观察操作系统上运行的程序中最微小操作的方法)来观察节点的活动,包括对等节点行为。它还为您提供构建自己日志系统所需的一切。

Bitcoin必须强大

确保连接对等节点和交换消息的能力是使Bitcoin运转的基石组成部分。

Bitcoin在多维对抗环境中运作,其中许多威胁是由互联网架构本身的局限性造成的。如果Bitcoin要生存和繁荣,其开发者和用户必须学会在这些陌生水域中航行。

开放网络的代价是永恒的警惕。

不要错过拥有 核心问题 的机会——收录了许多Core开发人员亲自撰写的文章,解释他们自己从事的项目!

这篇文章是Bitcoin Magazine最新印刷版核心问题中的编辑来信。我们在这里分享它,作为对整个期刊所探讨想法的抢先一瞥。

[0] https://web.mit.edu/gtmarx/www/connect.html

[1] https://satoshi.nakamotoinstitute.org/emails/cryptography/4/

[2] https://bitcoincore.org/en/2019/11/08/CVE-2017-18350/

[3] https://bitcoincore.org/en/2024/07/03/disclose-unbounded-banlist/

[4] https://delvingbitcoin.org/t/fingerprinting-nodes-via-addr-requests/1786/

[5] https://en.wikiquote.org/wiki/Ellen_Ullman

[6] https://www.usenix.org/system/files/conference/usenixsecurity15/sec15-paper-heilman.pdf

[7] https://ihchoi12.github.io/assets/tran2020stealthier.pdf

[8] https://delvingbitcoin.org/t/eclipsing-bitcoin-nodes-with-bgp-interception-attacks/1965

[9] https://www.theregister.com/2014/08/07/bgp_bitcoin_mining_heist/

[10] https://www.theverge.com/2018/4/24/17275982/myetherwallet-hack-bgp-dns-hijacking-stolen-ethereum

[11] https://medium.com/s2wblog/post-mortem-of-klayswap-incident-through-bgp-hijacking-en-3ed7e33de600

[12] www.coinbase.com/blog/celer-bridge-incident-analysis

[13] https://bitcoinops.org/en/topics/v2-p2p-transport/

[14] https://geti2p.net/en/

[15] https://asmap.org

[16] https://peer.observer

[13] https://github.com/asmap/kartograf

本文核心问题:您的节点对抗数字荒野首次发表于Bitcoin Magazine,作者为Julien Urraca, Fabian Jahr, 0xb10c 和 CedArctic。