Topic: Stato DISASTROSO rete ethereum - page 23. (Read 6937 times)

sul punto 2), anche senza conoscere nulla del meccanismo di consenso, una delle poche cose che so è che qualunque funzione di generazione di numeri random (più propriamente pseudo-random) deve ottenere esattamente lo stesso valore (a parità di input) su qualunque nodo venga fatta girare.
Ma questo vale più in generale per qualsiasi input esterno, proveniente da oracoli, e deve essere così by design, visto che il network dei nodi, come quello di bitcoin, è costituito per definizione da repliche identiche (a livello logico) che condividono la stessa blockchain.

Infatti questo e' un punto cardine... e mi fa piacere che hai colto molto bene il punto dell'attacco,
e anche la dinamica... mi sa che sei l'unico per ora

Pero' considera un po' di cose:

1) in ethereum, le fee le prendono i miner. mentre tutto il lavoro di calcolo degli smart contract lo fanno i nodi!
  (in bitcoin succede un qualcosa di simile, ma almeno i nodi fanno un lavoro direi monotono, di verifica di correttezza delle transazioni e basta)
  Qui invece essendo il codice programmabile, i nodi si possono beccare delle sberle di carico computazionale
  non indifferente... ed infatti e' importante capie come fanno ad eseguire il vari task, come li ordinano per priorita', come gestiscono il multitask...
  praticamente la EVM deve avere anche tutta la logica di un sistema operativo integrata, per la suddivisione delle risorse tra i vari smart contract in esecuzione.

2) poi le EVM in esecuzione sui vari nodi devono giungere ad un consenso, quindi dovranno anche scambiarsi delle info.... e se studi uno smart contract
 che ad ogni esecuzione fa calcoli random, quindi ogni EVM potrebbe giungere ad un risultato diverso... come fanno a giungere ad un consenso?

3) Inoltre le EVM che girano sui nodi debbono continuamente controllare se hanno sforato il le risorse disponibili
(ossia se il gas consumato, al valore attuale (ma di quando?) ha superato il deposito ethereum disponibile). Questo mi fa pensare ad un overhead per ogni opcode  eseguito mostruoso!

Ho provato a leggere lo yellow paper su questo punto, ma lui stesso lo descrive "la parte piu' ostica del protocollo ethereum", e
per ora non ho capito come i vari nodi convergono al consenso.

Comunque, se le cose vanno cosi', man mano dovrebbero sparire i nodi gestiti da utenti, e tutti i nodi concentrarsi in clud centralizzati
(e probabilmente gestiti dallo staff ethereum) anche perche' ribadisco che il carico computazionale gestito dai nodi e' in continuo aumento,
e i nodi non ci guadagnano nulla. (e mi sembra che sia proprio la dinamica in corso).

Tra l'altro e' proprio seguendo questa dinamica che mi sono iniziate a venire le idee per questo potenziale attacco.

Insomma, magari  non avro' centrato in pieno il bersaglio, ma sono convintissimo di aver messo le mani su una zona davvero "delicata".
Inoltre ribadisco il fatto che sia sparita la possibilita' di mettere delle tag (e quindi usare direttamente la jump) in assembler mi puzza proprio molto.

alla questione delle possibili contromisure ci avevo pensato anch'io. Mi metto nell'ottica di chi ha un interesse da difendere in ethereum, soprattutto chi gestisce i nodi validatori. Avevi già scritto che oltre la metà sono in cloud, se vedessi diminuire le prestazioni dei miei server per aumento del carico, la cosa più banale da fare sarebbe aggiungere altre risorse hw per compensare. Ovviamente aumenterebbero i costi, ma questo potrebbe essere bilanciato dal beneficio di mantenere stabile il valore di ETH.

Se poi oltre a validatore sono anche miner, comunque aumenterebbero le mie entrate provenienti dal gas sprecato [questo punto in realtà non mi è ancora chiaro: se lo smart contract esaurisce il gas prima di terminare, e quindi i nodi validatori lo rigettano, cosa viene finalizzato su blockchain? Le fees vengono comunque incamerate dai miner?]

Ok bianchi hai ragione tu allora. 

Ho già iniziato.
Solita tecnica di GT + revisione a mano.
Stasera condivido qualcosa.

Se qualcuno vuole iniziare...

Mah ci ho riflettuto, e visto che io ho iniziato a studiare ethereum una settimana fa...
se mi confronto con la comunita' possono succedere queste cose:

0) Espongo alla comunita'

1) l'idea e' buona e la usano... che in fondo e' quello che mi interessa.
2) Mi criticano in eventuali punti deboli, e magari riesco a lavorarci su e tornare al punto 0
3) Mi motivano (seriamente) che e' una cagata. Mi sono divertito un po' ed e' morta li'.

Direi che in ogni caso va bene, in pieno spirito open source

Ottimo lavoro davvero!
A livello tecnico non ci capisco una mazza e non entro assolutamente nel merito ma a livello concettuale sembra una figata e se dovesse riuscire...
Comunque immagino esistano dei rimedi/correttivi. Prima di fare qualsiasi azione studierei le eventuali azioni di contrasto così da anticiparle.
Per la traduzione in inglese  gbianchi mi ha chiesto in pvt ma al momento non riesco prima di qualche giorno. Se qualcuno vuole iniziare...

Quindi, gbianchi, se quello che dice Makkara è vero, forse non è così semprlice?
Beh, ma allora puoi provare a farlo giarare immmediatamente se non c'è nessuna controindicazione!

Mi parreva strano fosse stato così semplice...

nella peggiore non viene eseguita nemmeno perchè si accorge prima che non termina. 8

A parte il fatto che quella funzione, non scrivendo nella blockchain, non viene eseguita da nessun miner, ma solo da chi la esegue senza nessun costo.
Pure se ci metti un istruzione write non ha senso, nella migliore delle ipotesi esegue fino a che ci stanno fondi, nella peggiore non viene eseguita nemmeno perchè si accorge prima che non termina. 8

Vero ci avevo pensato. Ma in questo caso basterebbe lanciare n ricorrenze dello smart contract, magari
leggermente diverse una dall'altra per confondere un po' le idee alla rete.

........

ho trovato ben due punti g!
Ecco i miei punti che me lo rendono impossiible!

Un caso di studio nato proprio da una tua osservazione:

Una possibile strategia di attacco alla rete ethereum.

Di gbianchi bitcointalk.org

questo studio nasce da alcune osservazioni:

1) nella rete ethereum non esiste nessun concetto di "smart contract vietato", la rete e' permissionless
   ossia qualsiasi utente puo' immettere in rete qualsiasi tipo di codice, basta che il codice sia formalmente corretto
   e che paghi il caricamento e l'esecuzione del codice.

2) ogni "smart contract" si comporta by design come un virus, ossia se eseguito, viene eseguito automaticamente
   su tutti i nodi, proprio in virtu' del principio di decentralizzazione, ogni nodo deve ri-eseguire il codice  
   per verificare il lavoro fatto dagli altri e giungere al consenso con gli altri nodi.

3) L'unico meccanismo per "governare" l'esecuzione del codice  e' il fatto che l'esecuzione di qualsiasi
   smart contract costa gas, proporzionale al numero di istruzioni eseguite ed al tipo di istruzioni.

4) gli smart contract vengono normalmente scritti in solidity, ma vengono poi compilati e tradotti in linguaggio
   macchina EVM, e solidity da' la possibilita' di scrivere direttamente in linguaggio assembler della EVM.

5) Una volta immesso, il codice e' immutabile, quindi non vi e' modo di "togliere di mezzo" lo smart contract dalla rete,
   a meno di un hard fork tipo DAO. Ma mentre Dao sfruttava un bug, qui viene utilizzata l'architettura di base di ethereum,
   rendendo veramente difficile la progettazione di un hard fork abbastanza efficace.

In base a queste osservazioni, si puo' progettare uno smart contract "DeathStar" la cui esecuzione costi il meno possibile,
e che "bruci" ethereum solo per competere con gli altri smart contract sui vari nodi, e ottenere piu' risorse elaborative possibili,
rallentando e facendo stagnare l'esecuzione di tutti gli altri smart contract.

Un gruppo di attaccanti potrebbe essere incentivato per svariati motivi a bruciare ethereum per mettere in difficolta' la rete, ad esempio:

- ad esempio essere i sostenitori di un'altra moneta competitor,
- oppure organizzare  uno short su ethereum prima dell'attacco, congestionare la rete ethereum e ricoprirsi a prezzi piu' bassi,
  recuperndo i soldi dell'attacco e guadagnandoci
- mettere in difficolta' uno o piu' degli svariati smart contract che girano su ethereum

In generale qualsiasi persona o gruppo con sufficenti mezzi e con un qualsiasi tipo di interesse alla decadenza della rete ethereum
e/o degli smart contract che vi girano, potrebbe usare questa linea di attacco.


Descrizione tecnica di DeathStar

lo yellow paper di ethereum  https://ethereum.github.io/yellowpaper/paper.pdf e' la fonte di informazioni ufficiale.
 
All'interno si trovano (tra tante al tre cose) la descrizione degli opcode EVM (Ethereum Virtual Machine)
e  le tabelle del costo in gas di ogni opcode.

Emerge che ogni smart contract viene compilato e convertito in opcode EVM, e dalla tabella
"Appendix G FEE SCHEDULE" emerge che questi opcode hanno  costi che vanno da 0 gas (opcode STOP, RETURN, REVERT)
fino a 20.000 gas o piu' per opcode di store di dati, 32.000 gas per la CREATE ecc.

Introduciamo ora il concetto di costo medio per opcode. Uno smart contract e' composto da un insieme di opcode che
formano la logica dello smart contract stesso, quindi chiamate funzionali, operazioni logiche, calcoli, storage dei risultati ecc.

L'esecuzione di uno smart contract sara' quindi l'esecuzione di tante di questi opcode, dai vari costi, che portano alla fine
al costo totale dell'esecuzione.

supponiamo che uno smart contract esegua questi opcode:
10 da 3 gas, 5 da 8 gas uno da 700 gas e uno da 20.000 gas (le operazioni sullo storage sono molto costose).
avremo quindi un costo totale di 30+40+700+20.000=20770 gas per 17 opcode. Il costo medio per opcode sara'
quindi di 1221.76 gas.

Per essere lo smart contract piu' "competitivo" in temine di costo per opcode, DeathStar dovra' essere progettato attorno
ad un opcode che costi il meno possibile, per avere il minor costo medio per opcode possibile.

Non si possono usare gli opcode da costo 0 (STOP, RETURN, REVERT)  in quanto tutti terminano l'esecuzione dello smart contract.

Quindi passiamo all'unico opcode  al costo di 1 gas: JUMDEST. Jumpdest e' un opcode  che non fa quasi nulla,
se non "Mark a valide destination for jump". non fa push e/o pop dallo stack, non fa nulla se non settare una posizione
dove poter saltare con una JUMP.

L'idea e' di wrappare una serie di opcode  JUMPDEST in un loop, in modo tale da abbassare il piu' possibile costo medio per opcode
di esecuzione di questo loop, in modo da renderlo vicino ad 1 gas per opcode, target al quale nessuno smart
contract che implementa qualche logica' potra' mai neanche lontanamente arrivare.

Ma ricordiamo il nostro scopo non e' avere una logica (infatti da un punto di vista elaborativo questo codice non produce nulla, non ha una logica)
e' semplicemente avere il costo medio per opcode piu' basso possibile,  per eseguire con una certa somma il maggior numero possibile di opcode che
"drenano" risorse elaborative dal network.

Ultima nota che ci serve sapere, e' che ethereum ha un criterio molto semplice per "interrompere" i loop infiniti: li termina quando
sono finiti i fondi. Quindi Caricando opportunamete di fondi lo smart contract, questo continuera' a girare, scalando un gas a opcode (in media)
in competizione con altri smart contract molto piu' costosi in termini di costo medio a opcode, che e' esattamente lo scopo
che ci eravamo prefissi: Avere uno smart contract che brucia ethereum al costo piu' basso possibile in competizione con gli altri smart
contract in esecuzione che avranno costi medi per opcode  di gran lunga piu' alti.

Un "trucco" che ci aiuta ad ottenere il codice binario e' che nelle vecchie versioni di solidity (fino alla versione 0.4)
era possibile immettere in assembler delle tag per le istruzioni jump, e che queste tag erano implementate proprio con degli opcode JUMPSET,
quindi usando un compilatore solc della versione 0.4.x il codice si compila in un attimo.
Coincidenza vuole che questa tecnica di codifica non sia  piu' possibile nei nuovi compilatori.


Codice di DeathStar:

pragma solidity ^0.4.0;

contract DeathStar
   {
   function DeathLoop() public
      {
      assembly
       {
       loop000:
       loop001:
       loop002:
       loop003:
       loop004:
       loop005:
       ....
       ....
       loop992:
       loop993:
       loop994:
       loop995:
       loop996:
       loop997:
       loop998:
       loop999:
      
       jump(loop000)
       }
     }
   }


viene compilato cosi':

...

JUMPDEST
JUMPDEST
JUMPDEST
...
JUMPDEST
JUMPDEST
PUSH2 0x4F
JUMP

Con 1000 jumpdest (ogni tag loopxxx: genera una jumpdest) + una push (costo 3 gas) + una jump (costo 8 gas)
abbiamo 1002 opcode al costo di 1011 gas  il costo medio per opcode del loop e' quindi attorno a 1,0089 gas.
Ipotizzando un costo gas di 36 Gwei, abbiamo un costo medio ad istruzione di 36,32 Gwei per opcode,
ossia con un ethereum possiamo eseguire ben 27.500.000 di opcode.
Notare che aggiungere piu' jumpdest allunga il codice ma migliora il costo medio per opcode in modo molto marginale,
non credo ne valga la pena.

Codice binario dello smart contract compilato:

Binary:
6060604052341561000c57fe5b5b6104688061001c6000396000f30060606040526000357c01000 00000000000000000000000000000000000000000000000000000900463ffffffff1680634b489b 321461003b575bfe5b341561004357fe5b61004b61004d565b005b5b5b5b5b5b5b5b5b5b5b5b5b5 b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b 5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5 b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b 5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5 b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b 5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5 b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b 5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5 b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b 5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5 b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b 5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5 b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b 5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5 b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b 5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5 b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b 5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5 b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b 5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5 b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b 5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5 b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b 5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5 b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b5b 61004e565b5600a165627a7a7230582038b23d251247261d10e2d2488b65e84ad63f17d7c93525f da5e1c3551ac3ae460029


Un ringraziamento ai ragazzi della comunita' italiana di bitcointalk.org (filippone, acquafredda, HostFat, jack0m ed altri)
che mi hanno dato spunti interessanti per la realizzazione di questo studio.

Ecco i miei punti che me lo rendono impossiible!