Bitcoin Core 0.7ms 的代價

GameDemon ()

Bitcoin Core 0.7ms 的代價 細說 CVE201817144的來龍去脈 圖文好讀 Medium 版 : https://tinyurl.com/y7l8gf53 前言 Bitcoin Core 在 2018/09/18 時緊急發布了新版本 0.16.3,並在其中提到: We highly recommend users of all affected versions immediately upgrade to 0.16.3.(Ref1) 區塊鏈圈無不掀起一波討論,當然各式媒體也相繼報導;最聳動的莫過於這句話: 康奈爾大學教授 EminGünSirer 表示,估計只需不到 8 萬美元的成本 (12.5 枚比特幣)就能癱瘓整條比特幣區塊鏈。 (Ref2) 事情真有這麼可怕?癱瘓整條鏈?只要八萬美元? 秉持著工程師精神,追根究柢找了一些資料終於瞭解整件事情的前因後果, 就讓我娓娓道來。 ============= 前因 Bitcoin Core 身為元老級的 bitcoin 用戶端 (Bitcoin 的其餘分支也師承此 source code),算得上是 open source 界經典範例。 擁有五百個以上的全球貢獻者時時都為 Bitcoin Core 上 pull request, 有的為了修正 bug,有的為了提升效能。 那現在我們就要回到 2016/11 的 pull request 9049 (Ref3): Benchmark results indicate this saves about 0.50.7ms during CheckBlock. 這個 PR 提高了 CheckBlock 的效能,主要是做了以下的 change: // Check for duplicate inputs note that this check is slow so we skip it in CheckBlock https://i.imgur.com/T2e1MtP.png (Code Snippet for PR9049) 簡單來說,礦工們會無所不用其極地節省各式計算的時間, 以期在挖礦時確保能挖的比別人快。所以這個 PR 的用意在於, 想要在 CheckBlock 時略過檢查於 transaction 中是否有兩個相同的 input, 以節省時間。 (檢查的方式算是蠻暴力的,利用 std::set::count 與 std::set::insert 來檢查 是否有重複,時間複雜度為 O(n log n)) 其實,有沒有相同的 input 是一個非常重要的檢查, 意義在於避免雙花(doublespending) ;當初此 PR 作者群認為, 每個 transaction 在上到 mempool 的時候,就應該做過檢查了, 所以當 block 上鏈後,照理說事後應不需多花這個計算時間重複檢驗。 ============= 後果 But,就是這個 but ,在將近兩年後的 2018/09/17 , 這段 comment 被一位 Bitcoin Cash/Bitcoin Unlimited 的開發者 Awemany 於開發時無意發現(Ref4),於是做了一些實驗, 製造出具有相同的 input 的 transaction, 來測試 Bitcoin ABC (Bitcoin Cash 的 client),居然遇到了 assert() , 程式直接 crash ,當他轉而測試 Bitcoin Core 也得到相同結果 (這並不意外,Bitcoin 子子孫孫的原始程式大多都從 Bitcoin Core fork 出來), 這時候 Awemany 就知道不太妙了,開始做後續通報的動作。 https://i.imgur.com/SOoc2XI.jpg (bitcoin/src/validation.cpp code snippet) Assertion failure point 在CheckBlock()之後的鏈結區塊ConnectBlock()。 而其中之 UpdateCoin() 會檢查 input 是否有被重複 spend,若有則 assert()。 Bitcoin Core 團隊迅速的於24小時內提出修正並釋出新版本(Ref5)。 Fix 非常簡單,就是把原本於CheckBlock() 的duplicate inputs重新打開(Ref6) ============= 這件事情為什麼是個區塊鏈圈大新聞,這邊歸納為以下幾點: 1. 影響範圍廣大 :許多區塊鏈實作受到影響,尤其是從 Bitcoin 分叉出來的, 除了上述的 Bitcoin Cash、Bitcoin Unlimited 外,Litecoin 也受其影響。 2. 可能引發嚴重後果 :普通程式異常關閉雖然是我們生活中的日常, 但在區塊鏈的世界中卻是一件大事。礦工利用程式挖礦,以建立共識並確認交易; 當程式異常關閉(而且是一直關閉),就不會有礦工可以幫交易做確認, 整條區塊鏈可以算是癱瘓; 更嚴重的是,只要駭客成功算出一個包含有重複 input 的區塊放到鏈上, 會成為一種阻斷服務攻擊(DoS),可以大大的降低整體算力, 使 51% 攻擊更容易成功,進而修改區塊鏈上的資料 。 3. 修復是一個緩慢的過程 :P2P 世界中,成千上萬的節點需要被更新, 這不是像按一個按鈕就可以完成的。截至 9/24 修正釋出的一個禮拜後, Bitcoin 全網仍有 87% 的節點受此CVE 影響 (Ref7)。(真的是87%.) ============= 反思 理解了來龍去脈,回到最前言的部分, 到現在為止我們已經知道了為什麼大家認為這是一個(目前)史上最嚴重的 Bitcoin bug,會使整條鏈癱瘓。 但讓我再次引用 INSIDE 文章的某一段文字: 康奈爾大學教授 EminGünSirer 表示, 估計只需不到 8 萬美元的成本(12.5 枚比特幣)就能癱瘓整條比特幣區塊鏈 。(Ref2) 那個 8 萬美元的成本(12.5 枚比特幣)到底是怎麼算出來, 一直困擾著我。查閱了 Bitcoin Core 0.16.3 的 release note 後發現: Such blocks are invalid so they can only be created by a miner willing to sacrifice their allowed income for creating a block of at least 12.5 BTC (about 80000 USD as of this writing) 原來國內外媒體一直引用的 8 萬美元的成本(12.5 枚比特幣) 就可以癱瘓 Bitcoin 的這句話是有一些誤解的。 原意其實是指:攻擊者先必須真正的算出合法的 hash, 才可將不合法的交易包入區塊中,進而達成攻擊。 反過來說,攻擊者等於是放棄了這 12.5 枚比特幣挖礦獎勵 (時下匯率換算約八萬美元),來達成攻擊, 因為包含了不合法的交易之區塊絕對不會被其他礦工承認。 所以真正要成功完成攻擊,成本絕對是遠高於所謂的 8 萬美元。 (cryptoglobe 文章中提到,www.crypto51.app 已經成功預估出於 Bitcoin Private (BTCP) 網路上,只需 122 美金即可達成 51% 攻擊(Ref8), 不過目前還找不到相關佐證文件) ============= 另一個反思則是,區塊鏈世界強調去中心化,但吸引眾多使用者的交易所、 共用的智能合約與區塊鏈全網使用的相同程式,再再的打破去中心化的概念, 只要任何一點被攻破,都是重大的損失,這樣還算是真正的去中心化嗎? ============= Note : 若有錯誤,歡迎指正;也歡迎討論與指教,謝謝。 References : 1. https://bitcoincore.org/en/2018/09/18/release0.16.3/ 2. https://tinyurl.com/ycg2cmlm 3. https://github.com/bitcoin/bitcoin/pull/9049 4. https://medium.com/@awemany/600microsecondsb70f87b0b2a6 5. https://bitcoincore.org/en/2018/09/20/notice/ 6. https://github.com/bitcoin/bitcoin/pull/14247 7. https://twitter.com/LukeDashjr/status/1044224230114627586 8. https://tinyurl.com/ycq5gzjb

推文