Майнинг

Майнинг-пул Chia Maxiopool отключен из-за недостатков кода протокола

Новый пул майнинга протокола Chia Maxiopool официально объявил о закрытии. Согласно официальному объявлению майнингового пула, причиной закрытия Maxiopool был серьезный недостаток в официальном коде протокола майнингового пула Chia, который не позволял ему продолжать работу.

Согласно отзывам информированных пользователей, причина закрытия майнинг-пула Maxiopool заключается, во-первых, в том, что используемый протокол официального пула Chia имеет лазейки, а во-вторых, в финансовом кризисе, вызванном чрезмерными затратами на сервер.

Ниже приводится анализ уязвимостей протокола, выполненный архитектором облачной инфраструктуры Крисом Дюпресом:

«Новый пул майнинга протокола Chia Maxiopool объявил о своем окончательном закрытии. Это печальная новость, но на что мы должны обратить больше внимания, так это на причину их закрытия: MaxioPool обнаружил лазейку в протоколе пула в блокчейне. Они обнаружили, протестировали и доказали, что злонамеренные майнеры могут отправлять неполные графы в майнинг-пул, что также может доказать майнинговый пул Cyberspace, но они не могут создавать блоки. Ниже мы назовем этот метод атаки Lazy Farmer Attack (Атака ленивого фермера).

Прежде всего, я хочу пожелать команде Maxiopool всего наилучшего. Я работал с командой, чтобы протестировать официальный протокол майнинг-пуле. Было очень приятно работать бок о бок. Поэтому я не думаю, что их команда примет решение о закрытии навсегда. Среди всех операторов майнинговых пулов, с которыми я беседовал, они являются одними из операторов с наибольшим объемом инвестиций. Они разработали индивидуальное программное обеспечение и ряд практических инструментов для содействия долгосрочному развитию сети Chia.

Обнаруженные ими уязвимости довольно легко реализовать. Если майнер пометил /chia/farmer/farmer_api.py в new_proof_of_space, клиент Chia не может подписать блок, но может продолжить исправление незавершенного блока и отправить в пул майнинга. Однако мотивация для этой атаки кажется немного странной. В конце концов, зачем кому-то отправлять неподписанный блок, а затем лишать себя возможности создать блок?

Мотивация злоумышленника такова: предположим, я являюсь оператором злонамеренного майнингового пула и хочу максимально расширить свое киберпространство.

Один из способов состоит в том, что я могу подключить как можно больше узлов к моему майнинговому пулу, как и все нормальные участники, которые подходят к майнингу честно. Другой способ — я могу немного изменить своего клиента Chia для подключения к майнинговому пулу моего основного конкурента и использовать этого клиента, который не может создавать блоки, чтобы уменьшить их шансы на создание блоков. Если у меня будет достаточно вредоносных клиентов для доступа к пулам конкурентов, это окажет существенное влияние на пулы оппонента, уменьшит доход майнеров, которые обращаются к пулу оппонента, и сделает доход пула оппонента ниже, чем доход моего собственного пула.

После этого перейдите на ChiaForum или Reddit, чтобы опубликовать сравнение доходов конкурирующего майнингового пула и вашего собственного майнингового пула.Таким образом, майнеры майнинг-пула противника начнут вывод средств.

Следовательно, мотивация для использования этой лазейки состоит в том, что для злонамеренной конкуренции между операторами майнинговых пулов с целью захвата доли рынка оператор майнингового пула использует эту лазейку для злонамеренного подавления других операторов майнингового пула, тем самым делая себя лучшим пулом на рынке. В то же время стоимость такого типа атаки очень низкая: достаточно лишь изменить клиента и добавить его в пул конкурентов без каких-либо дополнительных затрат.

Когда MaxioPool связался с официальной командой Chia и предоставил подробную информацию об уязвимости, они были уволены, потому что официальная команда не могла понять, почему вредоносный пул для майнинга сделал бы это. Однако риск использования таких системных уязвимостей по-прежнему очень высок. В конце концов, уязвимости с более высокой стоимостью атаки и меньшей прибылью используются для получения прибыли каждый день. Даже если никто не использовал эту уязвимость для причинения вреда, весьма вероятно, что это поизойдет в будущем.

Возможно ли, что MaxioPool был закрыт по другим причинам, просто используя эту уязвимость системы в качестве предлога? Ответ в том, что это возможно. Однако я работал с MaxioPool в прошлом и много раз общался с их командой.

Они очень озабочены развитием экосистемы Chia и поддерживают ее, и они упорно трудятся, чтобы внести свой вклад в инфраструктуру. Я также использую MaxioPool в своей работе, так что я по-прежнему предпочитаю им доверять.

Это жизнеспособная уязвимость, и у злонамеренных операторов майнинговых пулов есть стимул ее использовать. В то же время выявить эксплуатацию данной уязвимости очень сложно: без большого количества данных сложно судить, эксплуатируется ли уязвимость системы, или просто из-за невезения.

Основная причина такого рода уязвимости. Обратите внимание, что я называю это эксплойтом, а не ошибкой. Архитектура блокчейна Chia разработана для подписания блоков майнерами. Следовательно, пока майнеры имеют право контролировать процесс генерации блоков, у них есть возможность совершать деструктивное поведение, не соответствующее их собственным интересам. Если есть внешние стимулы, такие как злонамеренная конкуренция между операторами майнинговых пулов, майнеры, скорее всего, будут участвовать в атаке. Я надеюсь, что официальные лица Chia могут серьезно отнестись к этой лазейке, иначе это объявленное «официальный» протокол майнинг-пула может быть отменен».

Читать так же:  Whinstone подает встречный иск на японскую компанию GMO Internet

Источник: Источник

Статьи по теме

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Back to top button