حمله به گروه‌های استخراج equihash

اخیرا نوعی حمله توسط شرکت Qihoo 360 مشاهده شده است که افراد می توانند در گروه‌های استخراج، وانمود کنند کار زیادی انجام داده اند و بتوانند سهم بیشتری از گروه دریافت کنند.

 حمله به گروه‌های استخراج equihash

در سیستم‌های ارزکاوی، برای ثبت تراکنش‌ها باید نوعی مساله ریاضی حل شود که مستلزم محاسبات سنگینی است و در نتیجه به منابع قوی کامپیوتری نیاز دارد. افراد مختلف می‌توانند با استفاده از کامپیوترهای خود این مساله را حل کرده و مقداری ارز رمزی را به عنوان پاداش دریافت کنند.

 

الگوریتم‌های قدیمی‌تر نظیر آن چه در بیت‌کوین استفاده می‌شد، بیشتر نیازمند پردازنده‌های قوی بودند که باعث می‌شد افراد دارای پردازنده‌های قوی‌تر قدرت کسب درامد بیشتری داشته باشند. الگوریتم equihash که در سال 2016 ارائه شد، مبتنی بر حجم بالای حافظه است و نه پردازنده قوی که رقابت بین ارزکاوان را منضفانه‌تر می‌کند.

گروه‌های ارزکاوی (mining pools) این امکان را فراهم می‌کنند تا تعدادی از کاربران منابع خود را برای کاوش با هم ترکیب کنند و پاداش دریافتی را بین خود نسبت به میزان کار خود تقسیم کنند.

اخیرا نوعی حمله توسط شرکت Qihoo 360 مشاهده شده است که افراد می توانند در گروه‌های استخراج، وانمود کنند کار زیادی انجام داده اند و بتوانند سهم بیشتری از گروه دریافت کنند. البته این اشکال به الگوریتم equihash مربوط نیست، بلکه ناشی از یک باگ در یکی از پیاده‌سازی‌های تایید کنندی راه حل آن است. این تایید کننده از پروژه ی Zcash کپی شده است. اکثر ارزهای رمزی و گروه‌های ارزکاوی بزرگ این مشکل را برطرف کرده اند، اما همچنان ممکن است ارزهای کمتر شناخته شده یا گروه‌های کوچک دچار این مشکل باشند.

 

 

این آسیب پذیری از آنجایی ناشی می شود که تابع verifyEH در فایل equi.c بررسی نمی کند که یک راه حل equihash تکراری است بنابراین افراد می توانند با کپی یک راه حل تابع تایید equihash را دور بزنند.

 

 

منابع:

 

https://blog.360totalsecurity.com/en/attackers-fake-computational-power-steal-cryptocurrencies-mining-pools

https://github.com/zencashofficial/equihashverify

http://orbilu.uni.lu/bitstream/10993/22277/2/946.pdf

 

 

مرکز آپا دانشگاه سمنان آمادگی برگزاری مجدد کارگاه بلاک چین بصورت کامل تر و با مدت زمان طولانی تر و یا حتی با محتوای قبلی برای اقرادی که نتوانستند حضور داشته باشند را دارد.

 

اگر تمایل به برگزاری این کارگاه دارید درخواست خود را به ایمیل Cert@semnan.ac.ir با عنوان “درخواست کارگاه” ارسال بفرمایید.در صورتی که تعداد به حد نصاب برسد کارگاه ویژه شما برگزار خواهد شد.

 

کلمات کلیدی