Facebook 
Pinterest 연구에 따르면 EOS 네트워크가 동결 될 수 있고 Block.one이 모든 오류를 거부 할 수 있다고 주장합니다.
지난 몇 주 동안 EOS 블록 체인 프로토콜 사용자는 네트워크 액세스에 대한주기적인 문제를 경험했습니다. 최근 조 익명의 스마트 계약 개발자이자 보안 엔지니어 인 Dexaran이 작성한 덱 사란은 문제의 명백한 근본 원인을 설명했습니다. 이는 해커가 단 몇 달러 가치의 EOS로 네트워크를 “혼잡”하거나 저효율 모드로 전환 할 수있는 저렴한 기술입니다..
이 익스플로잇은 해커가 9 월 초 EOS 도박 애플리케이션 인 EOSPlay에서 11 만 달러 이상의 암호 화폐를 훔칠 수 있었던 것으로 보입니다. 하지만 EOS의 모회사 인 Block.one의 경영진은, 당황하지 않는다, 네트워크가 “올바르게”작동하고 있다고 주장합니다.
EOS 기본 : 거버넌스, 스테이 킹 및 혼잡 모드
EOS.io는 분산 형 애플리케이션 (DApp)의 개발 및 호스팅을위한 블록 체인 기반 스마트 계약 프로토콜입니다. 위임 된 지분 증명 (DPoS)이라는 합의 모델을 사용하며 EOS 사용자 계약 (EUA).
계약에 따라 21 개 블록 생산자 중 최소 15 개 (예 : EOS 블록 체인에서 블록 처리를 담당하는 독립 엔티티)간에 합의가있을 때 네트워크를 변경할 수 있습니다..
이 프로토콜은 현재 총 시가 총액 기준으로 7 번째로 큰 자산 인 시조 고유 암호 화폐에 의해 지원됩니다. 이러한 토큰은 EOS의 독특한 기능 중 하나 인 내장 된 리소스 스테이 킹 메커니즘의 핵심입니다. 거래가 EOS 네트워크에 제출 될 때마다 블록 생산자는이를 처리해야합니다..
블록 생산자가 트랜잭션을 검증하는 데 필요한 시간 (마이크로 초 단위로 측정)을 CPU라고합니다. 간단히 말해, EOS 사용자와 개발자는 토큰을 스테이 킹하여 체인 전체 CPU 및 대역폭 리소스에 액세스 할 수 있습니다. 블록은 500 밀리 초마다 생성됩니다. 각 블록 생산자는 블록을 검증하는 데 200 밀리 초를가집니다. 나머지 300 밀리 초는 네트워크를 통한 배포를 위해 남습니다..
특히 200 밀리 초의 한도 내에는 네트워크에서 속도 제한이 시작되는 백분율 임계 값도 있습니다. 즉, 블록이 블록 당 허용되는 총 200 밀리 초 CPU의 10 % 한도에 도달하면 트리거 “혼잡”모드로 들어가는 CPU 할당 알고리즘.
기사 작성자는 “이 한도에 도달하기 전에는 모든 사용자가 ‘혼잡 모드’가 아니기 때문에 네트워크에서 자유롭게 거래 할 수 있습니다.” 설명. “이 제한이 지나면 사용자는 총 지 분당 CPU 할당량 중 비례하는 비율로 다시 제한됩니다.”
에 따라 다른 기사 EOS 블록 체인 네트워크의 주요 블록 생산자 인 EOS Canada가 작성했습니다. 주어진 순간에 CPU에 1,000 개의 토큰이 스테이 킹되고 단일 계정에 20 개의 토큰이 스테이 킹 된 경우 해당 계정은 전체 CPU의 2 %를 보장 받게됩니다. 네트워크 용량.
그러나 네트워크가 속도 제한이 활성화 된 임계 값에 도달하지 않은 경우 ( ‘혼잡’모드가 아님) 해당 계정은 보장 된 양인 2 % 이상으로 거래를 푸시 할 수 있습니다. 해당 임계 값이 통과되면 계정은 할당량을 초과 할 수 없습니다. ㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ 또한 "충혈" 단계에서 각 사용자의 CPU 양은 모든 혼잡 한 당사자가 CPU를 모두 사용하고 CPU를 사용하는 작업을 중지 할 때까지 감소하기 시작합니다..
EOS의 공동 창립자이자 Block.one의 CTO 인 Daniel Larimer, 참조 이 메커니즘을 네트워크의 “무료 혜택”으로 :
“#eos를 소유하고 스테이 킹하면 사용자에게 사용 가능한 대역폭의 비례적인 공유가 제공됩니다. 사람들이 자신의 몫을 사용하지 않으면 비례 적으로 다른 사람에게 리디렉션됩니다. ㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ 사용량이 많은 사용자는 더 이상이 무료 혜택을받을 수 없습니다. “
문제점 : 혼잡 모드가 트리거하기 너무 쉽습니다.
Dexaran은 문제는 혼잡 모드를 트리거하기가 너무 쉽다는 점이라고 주장했습니다. 분석 후 스마트 계약 개발자는 EOSBetDice라는 베팅 DApp으로 인해 매 시간 초에 CPU 사용량이 급증하는 것을 발견했습니다. Dexaran은 네트워크를 정체 상태로 만드는 데 필요한 CPU 양을 평가하기로 결정했습니다..
실험을 위해 개발자는 CPU에 7,156 EOS를 스테이 킹했습니다. 그 양의 EOS는 한 달에 2 개의 EOS (6 달러 미만)의 저렴한 비용으로 리소스 거래소에서 빌릴 수 있다고 Dexaran은 강조했습니다. 테스트가 평균 EOS 네트워크 사용자에게 어떤 영향을 미치는지 확인하기 위해 보안 엔지니어는 세션이 시작되기 직전에 EOSKnights DApp을 온라인으로 플레이하는 3 개의 임의 사용자 계정을 미리 선택했습니다..
그런 다음 개발자는 1 초의 지연으로 많은 지연된 트랜잭션을 생성하는 계약을 실행했으며 각 트랜잭션은 “25 ~ 27ms의 CPU”를 사용했습니다. 1 분 동안 CPU 사용률을 독점 한 후 계약은 EOS 네트워크를 혼잡 모드로 밀어 넣었습니다. 결과적으로 세 개의 샘플 계정 모두 CPU가 부족하여 “완전히 동결”되었습니다. 기본적으로 모든 일반 EOS 사용자는 당시 네트워크에서 DApp에 참여할 수 없었습니다..
2 분 후 앞서 언급 한 EOSBetDice DApp (실험과 관계없이 매시간 정기적으로 CPU 스파이크를 일으켰습니다)이 일정에 따라 작동하기 시작했습니다. 이미 과부하 상태 일 때 네트워크에서 더 많은 CPU를 소비함으로써 무의식적으로 Dexaran에 의해 시작된 혼잡에 기여했습니다. 개발자는 “연속으로 CPU를 많이 소비할수록 혼잡 모드가 ‘깊어지고’네트워크가 정상 모드로 복구되는 데 더 오래 걸립니다.”라고 말했습니다..
그 결과 EOS 네트워크는 더욱 “더 깊은”혼잡 상태에 빠졌고 모든 EOS 사용자의 CPU 가용성이 35 배 감소한 것으로 알려졌습니다. “CPU에 EOS를 아무리 스테이 킹해도 3 % 이상 사용하면 동결 될 것입니다.”라고 Dexaran은 관찰했습니다..
Dexaran의 계약과 EOSBetDice가 총 5 분 동안 네트워크를 강조한 후 네트워크는 표면적으로 다음 10 분 동안 마비 상태를 유지했습니다. 6 분이 더 지난 후 크게 회복되었지만 리소스 교환시 EOS의 대출 가격은 여전히 정상보다 약 3 배 높았으며, 이는 네트워크가 스트레스 테스트로 인해 당시 CPU에 할당 된 많은 양의 토큰을 필요로 함을 나타냅니다..
네트워크는 마지막 30 분 후에 완전히 복원되었습니다. "악의 있는" 동작. 개발자의 추정에 따르면 공격이 매시간 수행 될 수 있기 때문에 사용자에게 “다음 혼잡 세션까지 25 분의 기간”을 제공합니다. 연구원은“7000 EOS는 EOS 네트워크를 상당한 시간 동안 혼잡 모드로 전환하기에 충분합니다.”라고 결론을 내 렸습니다.
“설명 된 혼잡 세션은 (1) CPU 대역폭의 특정 부분을 소비 한 사용자, (2) CPU 대역폭이 매우 낮은 사용자에게만 문제를 일으킬 것입니다. 설명 된 혼잡 세션은 (1) 사용 가능한 CPU가 많은 DApp, (2) 활동에 참여하지 않고 CPU를 완전히 사용할 수있는 사용자 (이러한 사용자가 단일 tx를 만들기에 충분한 CPU를 가지고 있다고 가정)에 영향을 미치지 않습니다. ).”
또한 Dexaran은 일부 EOS 사용자가 자신을 A라고 부를 수 있다고 강조했습니다. "해커" 의도적으로 네트워크에 과부하가 걸리기 때문에 “정확히 그 반대입니다. 저는 제 투자와 귀하의 투자를 보호하고 있습니다.”
특히 EOS 혼잡에 대한 Dexaran의 항목이 게시되기 며칠 전에 개발자 Christoph Michel 블로그 게시물 작성 최근 EOSPlay 카지노 해킹을 네트워크 혼잡에 연결하여 네트워크 문제가 어떻게 이익을 위해 악용 될 수 있는지 보여줍니다..
Michel에 따르면, 공격자는 CPU 및 NET 리소스 대여 시장 인 REX에서 EOS 토큰을 대여 한 다음이를 쌓아서 카지노가 기능을 유지하도록하기 위해 자신과 EOSPlay의 CPU를 모두 늘 렸습니다. 따라서 베팅 금액을 지불 할 수 있습니다. 그런 다음 해커는 Dexaran과 유사한 트랜잭션으로 네트워크에 스팸을 보내고 EOSPlay에서 여러 주사위 게임을하여 50/50 결과에 베팅했습니다. EOSPlay는 결과 블록의 블록 해시를보고 오른쪽에서 시작하여 0에서 9 사이의 처음 두 문자를 주사위 굴림으로 가져 오므로 게임에서이기려면 결과 블록의 블록 해시를 예측해야합니다..
“예측에서 알려지지 않은 유일한 것은 블록에 포함 된 트랜잭션입니다.”라고 Michel이 설명했습니다. “하지만 다른 사람이 거래를 보낼 수 없도록 스팸 메일을 보내고 네트워크를 혼잡하게 만들 수 있다면 어떨까요?”
개발자에 따르면 공격자가 네트워크에 스팸을 보내기 위해 EOS를 빌린 바로 그 이유입니다. 네트워크를 제어하고 블록 해시를 예측하고 대부분의 베팅에서 이길 수 있기 때문입니다. 잘못된 예측의 경우 공격자는 또 다른 임의의 트랜잭션을 블록에 보낼 수 있으므로 추가 “코인 플립”을 수행하여 확률을 크게 높일 수 있습니다..
궁극적으로 해커는 1,000 달러가 조금 넘는 가치가있는 300 개의 EOS 만 사용했는데, 이는 몇 달러에 임대 할 수있었습니다. 그 대가로 고정 우승은 30,000 EOS 이상 또는 약 $ 110,000를 가져 왔습니다..
EOS 개발자는 네트워크가 “올바르게 작동”하는지 확인하지만 모두가 동의하는 것은 아닙니다.
Dexaran의 혼잡 실험은 눈에 띄지 않았습니다. 많은 사용자가 “CPU 문제”가 있다고보고했습니다. 트위터 과 레딧. 스마트 계약 개발자 팀인 Graphene Lab의 CEO 인 Denis Bredikhin은 Cointelegraph에 자사의 포커 기반 EOS 베팅 DApp 사용자가 애플리케이션 자체가 손상되지 않았지만 지난 몇 주 동안 문제를 경험했다고 확인했습니다. Bredikhin 님의 메시지 :
“스팸이 최고조에 이르렀을 때 CPU에 8 ~ 10,000 개의 EOS를 할당 한 플레이어도 아무 작업도 할 수 없었습니다.”
그에 따르면 10 월 1 일부터 플레이어는 스팸 세션 중에 게임이 중단되지 않도록 CPU에 “최대 10,000 EOS”를 할당해야합니다. 한편 Block.one의 Larimer는 EOS가 “올바르게 작동하고있다”고 커뮤니티를 안심시키기 위해 Twitter로 이동했습니다. 그 썼다:
“이는 공격자가 높은 수수료의 거래 스팸으로 eth 또는 비트 코인을 범람 할 때와 다르지 않습니다. 토큰 보유자에게는 네트워크가 동결되지 않았으며 무료로 사용할 수있는 추가 대역폭이 없었습니다. “
그러나 일부 커뮤니티 구성원은 다르게 구걸합니다. “EOS에 대한이 공격과 BTC 또는 ETH에 대한 고비용 스팸의 차이점은 BTC 또는 ETH에서 거래를 보내기 위해 더 많은 비용을 지불 할 수 있다는 것입니다.” 논쟁 미국에 기반을 둔 EOS 블록 프로듀서 CypherGlass의 CEO 인 Rob Finch. 그는 덧붙였다:
“많은 EOS 사용자들이 더 많은 CPU를 빌릴만큼 충분한 CPU를 가지고 있지 않아 얼어 붙었습니다. 올바르게 작동하는 것은 최선의 대응 IMO가 아닙니다.”
또 다른 EOS 사용자, 블록 체인 기업가 인 Jared Moore, 확인 네트워크는 DApp이나 그의 지갑에 사용할 수 없었습니다. 그는 또한 Block.one이“EOS 커뮤니티를 돕고 REX 공격을 방지하는 방법에 대한 지침을 게시”할 것인지 궁금해했습니다.
Cointelegraph는 추가 의견을 위해 Block.one에 연락했으며 추가 정보가 확보되면 기사를 업데이트 할 것입니다..