Что такое DDoS-атаки в блокчейн-сетях и как их предотвратить?

Распределенная атака типа «отказ в обслуживании» (DDoS) - это попытка вывести из строя веб-сайт, компьютер или онлайн-сервис, заполняя их запросами, истощая их возможности и влияя на способность отвечать на действительные запросы.

DDoS-атака заключается в том, что хакеры внедряют вредоносное ПО, возможно, в тысячи устройств с доступом в Интернет, которые в совокупности называются ботнетом, и побуждают их одновременно отправлять множество запросов в целевую систему. Эти взломанные машины, которые по отдельности называются ботами или зомби, могут быть мобильными телефонами, настольными компьютерами, серверами или даже устройствами Интернета вещей (IoT). Злоумышленники обычно устанавливают прямой контроль над ботами, заражая их вредоносным ПО без ведома жертв.

Приток входящего трафика снижает способность целевой системы отвечать на действительные запросы, ведь атака потребляет слишком много пропускной способности, вычислительной мощности или памяти. В своем отчете об угрозах DDoS-атак за 1 квартал 2024 года Cloudflare отметила тревожный рост числа DDoS-атак на 50%.

Теоретически возможно атаковать блокчейн-сеть с помощью DDoS-атаки, хотя это сложнее, чем атаковать централизованные системы, такие как веб-сайты или серверы. Благодаря своей децентрализации, блокчейн-сети по своей сути являются устойчивыми к таким атакам.

Блокчейн работает как децентрализованный распределенный реестр, который функционирует через множество узлов, отвечающих за проверку и обработку транзакций и создание блоков. В отличие от традиционных систем, в сети блокчейн нет центральной точки управления. Децентрализация затрудняет атаку на блокчейн-сеть, поскольку злоумышленникам приходится иметь дело с множеством узлов.

Одним из способов нарушить работу сети является заполнение блокчейна спам-транзакциями, что перегружает сеть и замедляет пропускную способность транзакций, препятствуя своевременной проверке законных транзакций. Это ставит транзакции от подлинных пользователей в очередь в мемпул, механизм в узлах блокчейна, который хранит неподтвержденные транзакции.

Хорошо известным примером DDoS-атаки была атака на блокчейн-сеть Solana, которая привела к 17-часовому простою в сентябре 2021 года. Во время первоначального предложения децентрализованного обмена по Grape Protocol (IDO) на платформе DEX Raydium, базирующейся на Solana, боты загружали сеть со скоростью 400 000 транзакций в секунду, вызывая перегрузку сети.

DDoS-атаки могут быть нацелены на децентрализованные приложения (dApps), которые представляют собой приложения, построенные поверх блокчейна, а не на саму блокчейн-сеть. Криптовалютные биржи, которые играют ключевую роль в обеспечении ликвидности в экосистеме, основанной на блокчейне, часто становятся жертвами DDoS-атак, что приводит к временным перебоям в обслуживании.

DDoS-атаки могут повлиять на блокчейн-сети посредством переполнения транзакций и компрометации смарт-контрактов. Цель состоит в том, чтобы засорить сеть мошенническими транзакциями, замедлить ее работу, а в худших случаях и вовсе остановить. 

Переполнение транзакций

Злоумышленники могут намеренно перегружать блокчейн-сеть большим количеством транзакций, нарушая ее нормальную работу. Злоумышленники запускают поток запросов на транзакции, обычно используя автоматизированные скрипты или специализированное программное обеспечение. Эти транзакции напоминают законные транзакции, но предназначены для ограничения работы сети.

Злоумышленники передают эти транзакции узлам. Для достижения консенсуса сеть распространяет транзакции по нескольким узлам, которые обрабатывают эти транзакции. Однако сам объем входящих транзакций превышает их возможности по обработке. Сеть становится перегруженной, и даже подлинные транзакции застревают в бэклоге. Сбои могут повлиять на бизнес, биржи и другие сервисы, зависящие от сети блокчейн.

Смарт-контракты

Хакеры могут идентифицировать уязвимые смарт-контракты в сети блокчейнов и заполнять их запросами на транзакции. Эти транзакции содержат мошеннические инструкции или чрезмерные вычисления, которые приводят к исчерпанию функциональности контракта и базовой сети. Выполнение кода в смарт-контракте становится все более обременительным, что приводит к чрезмерным задержкам при проверке транзакций.

Поскольку смарт-контракты являются ключевой частью блокчейнов, последствия такой атаки могут распространяться по всей сети, влияя на другие смарт-контракты и транзакции, нарушая критически важные операции и делая сервисы недоступными для законных пользователей. 

Сбои программного обеспечения

Основное прикладное программное обеспечение в блокчейнах имеет встроенные ограничения в отношении выделяемой памяти и количества транзакций, которые оно может обрабатывать в блоке и сохранять в мемпул. При резком увеличении количества транзакций программное обеспечение может вести себя неожиданно или просто выходить из строя.

Более того, неизменность является неотъемлемой характеристикой блокчейн-транзакций. Это означает, что их просто невозможно изменить после того, как они записаны в блоки. Этот механизм создает проблему, когда транзакции переполняют сеть во время атаки. Сеть перегружается бесполезными транзакциями, с которыми программное обеспечение может не справиться.

Сбой узла

Узлы, выполняющие функции валидаторов или майнеров, запускают основное программное обеспечение блокчейна на оборудовании, которое является достаточно надежным для удовлетворения высоких требований. Когда злоумышленники передают множество нежелательных данных в ходе DDoS-атаки, узлу может не хватить памяти или вычислительной мощности, и он выйдет из строя. Сбой узла из-за атаки увеличит нагрузку на другие узлы сети.

Блокчейн-сети, по сути, представляют собой объединение узлов, где каждый принимающий узел отслеживает состояние блокчейна и передает информацию о транзакциях другим узлам. Поток мошеннических транзакций пагубно влияет на архитектуру узла, замедляя работу всей сети или даже выводя ее из строя.

Криптобиржи являются неотъемлемой частью блокчейн-экосистемы, ведь они делают цифровые активы ликвидными. Они часто становятся мишенью злоумышленников.

При атаке на биржи злоумышленники используют такие уязвимости, как устаревшие исправления безопасности в инфраструктуре биржи, нарушают работу, вымогают выкуп или манипулируют рынками. По данным Cloudflare, основная часть DDoS-атак на криптобиржи была вызвана атаками с усилением по Simple Service Discovery Protocol (SSDP), атаками с усилением по Network Time Protocol (NTP) и атаками на уровне приложений.

SSDP-атака - это DDoS-атака на основе отражения, которая использует сетевые протоколы Universal Plug-and-Play (UPnP) для передачи огромного объема трафика в целевую систему. NTP-атака - это метод, при котором злоумышленник отправляет серию небольших запросов, которые вызывают большие ответы от разных ботов, увеличивая трафик. Атака на прикладном уровне - это методология злоумышленника, которая нацелена на верхний уровень в модели взаимодействия открытых систем (OSI).

Для защиты блокчейн-сетей от DDoS-атак необходимы меры безопасности на узловом и сетевом уровнях. Регулярные аудиты устраняют уязвимости, в то время как избыточная инфраструктура и стресс-тестирование поддерживают работоспособность сети даже во время атаки.

Меры безопасности на уровне узлов

Узлы должны обладать достаточным объемом памяти, вычислительной мощностью и пропускной способностью сети, чтобы быть устойчивыми к DDoS-атакам. Надежные методы аутентификации и контроля доступа помогают защитить сетевые узлы. Полностью автоматизированный публичный тест Тьюринга, который позволяет отличить компьютеры от людей (CAPTCHA), является весьма полезным для обеспечения того, чтобы только законные пользователи могли отправлять запросы на транзакции, и предотвращает проникновение ботов в сеть. Балансировка нагрузки помогает разделить трафик и уменьшить влияние атак на уровне узлов.

Защита на сетевом уровне

Для защиты блокчейн-сети следует внедрить адекватные механизмы защиты на сетевом уровне. Для выявления и снижения воздействия DDoS-атак хорошо подходят брандмауэры и системы обнаружения и предотвращения вторжений (IDS/IPS). Сети доставки контента (CDN) также помогают в распределении и поглощении атакуемого трафика. 

Аудиты

Чтобы найти и устранить любые уязвимости, важен тщательный аудит различных аспектов блокчейна. Это должно включать анализ смарт-контрактов, аудит целостности структуры данных блокчейна и проверку алгоритмов консенсуса. Отказоустойчивость механизмов консенсуса должна быть достаточно высокой, чтобы противостоять атакам. Регулярное обновление кода важно для предотвращения атак злоумышленников и повышения безопасности.

Стресс-тестирование

Сети и системы должны регулярно проводить стресс-тесты блокчейн-протоколов, чтобы оценить их способность противостоять DDoS-атакам. Это облегчит своевременное обнаружение потенциальных уязвимостей, что позволит внести исправления в сетевую инфраструктуру и модернизировать механизмы защиты.

Избыточность и резервное копирование

Протоколы блокчейна и приложения dApps должны иметь избыточную сетевую инфраструктуру и резервные серверы, чтобы гарантировать, что система продолжает функционировать даже в случае атаки. Узлы, расположенные в нескольких географических точках, могут противостоять DDoS-атаке, которая ограничена определенным регионом.