Die Erebus Attacke, Bitcoin in Gefahr!

Die Erebus Attacke ist ein Verfahren, bei dem Nodes aus dem Bitcoin Netzwerk isoliert werden und somit vom Rest des Netzwerkes abgetrennt sind.

Dadurch wird das Netzwerk geschwächt und Angreifern fällt es leichter, eine 51% Attacke auf das Netzwerk auszuführen.

Die Attacke kann am besten von einem ISP (Internet Service Provider wie z.B. Telekom) ausgeführt werden.

Die Erebus Attacke hat hier einen anderen Ansatz, bei dem auch kein Bug ausgenutzt wird.

Grafik vom Erebus Angriff auf eine Bitcoin Node über 40 Tage
Quelle: https://erebus-attack.comp.nus.edu.sg/

Die Grafik zeigt einen Erebus Angriff über 40 Tage, dabei wurden Pakete von zwei verschiedenen IPs an die Bitcoin Node gesendet.
Nach 40 Tagen, war die Node dann vollständig vom restlichen Bitcoin Netzwerk Isoliert.
Wichtig an dieser Stelle, das ganze verlief in einer Emulation, die aber den echten Gegebenheiten des Bitcoin Netzwerks folgt.

Wie funktioniert der Angriff?

Bei dem Angriff wird das Opfer von mehreren „Schatten IPs“ mit Blockinformationen versorgt.
Dabei vermittelt die angreifende Node, der Opfernode eine vermeintliche Übersicht über das Bitcoin Netzwerk.
Diese besteht aus vermeintlichen gültigen IP-Adressen von anderen Nodes im Netzwerk.
Dies müssen IPs sein, die nicht wirklich im Bitcoin Netzwerk vorhanden sind.

Über einen Zeitraum von mehreren Wochen, wird so die „Opfer-Node“ mit falschen Informationen über das Bitcoin Netzwerk versorgt und bekommt ein falsches Bild von der Struktur.

Somit fängt die Opfernode von Zeit zu Zeit an, seine Verbindungen in das Netzwerk über die angrifenden IPs abzubilden.
Diese werden dann vom Angreifer „verschluckt“ und nicht in das Bitcoin Netzwerk geleitet werden.
Dadurch ist die Opfernode vom eigentlichen Netzwerk isoliert.
In der Emulation hat dieser Angriff etwa 40 Tage gedauert, bis die Node vollständig isoliert war.

Es wäre auch möglich, den Traffic von Node zu Node durch „falsches“ Routing fehlzuleiten.
Doch das würde Spuren hinterlassen, wodurch man den Angreifer identifizieren könnte.
Den Angreifer zu identifizieren ist bei der Erebus-Attacke nicht möglich!

Übersicht eines Erebus-Angriffs auf eine Bitcoin Node
Quelle: https://erebus-attack.comp.nus.edu.sg/

Warum ist dieser Angriff so gefährlich?

Der Angriff lässt sich nicht durch Monitoring Tools feststellen.
Das liegt daran, dass der Angriff auf Datenebene und nicht auf Netzwerkebene stattfindet.
So wird der Traffic der Node nicht aktiv fehlgeleitet oder Pakete verändert, sondern lediglich reale Informationen an die Node übermittelt. Somit schlägt kein Monitoring Tool an.

Im Bitcoin Netzwerk sind derzeit etwa 10.000 aktive Nodes, würde man einen Großteil dieser Nodes mit dem Angriff isolieren, wäre eine 51% Attacke auf den Bitcoin durchaus denkbar.

Wer kann einen solchen Angriff ausführen?

Um einen solchen Angriff auszuführen, braucht es einen ISP (Internet Service Provider), der über viele Schatten-IPs verfügt.

Somit wäre weder ein Botnetz, noch ein Bug im Bitcoin Netzwerk notwendig.
In Deutschland oder Ländern mit fester Gesetzgebung wäre ein solcher Angriff durch einen ISP nahezu ausgeschlossen.
Doch gibt es auch Länder, in denen die ISPs unter nicht so strengen Regeln arbeiten oder gar von der Regierung gelenkt werden.

Somit wäre ein solcher Angriff durch z.B. die chinesische Regierung durchaus möglich.

Welche Kryptowährungen können angegriffen werden?

Der Angriff funktioniert auf alle Kryptowährungen, die der Bitcoin Struktur ähneln.
Eine Übersicht findet ihr in folgender Grafik:

Übersicht aller Kryptowährungen, die durch eine Erebus Attack angegriffen werden können.
Quelle: https://erebus-attack.comp.nus.edu.sg/

Wie kann ein Nodebetreiber sich gegen die Erebus-Attacke schützen?

Betroffen sind zu aller erst nur Nodes, welche Verbindungen zulassen.
Nodes, die selbst keine eingehenden Verbindungen erlauben, sind somit nicht angreifbar.
Weiter sind nur Nodes im öffentlichen Netzwerk betroffen.
Nodes die ihre Verbindungen über das Tor Netzwerk (auch Darknet genannt) abbilden, sind ebenfalls nicht betroffen.

Somit wäre es ratsam, seine Bitcoin Node über das Tor Netzwerk kommunizieren zu lassen.

Fazit

Der Angriff ähnelt der Eclipse-Attack und ist grundlegend nicht neu und ein eigentlich bekanntes Problem.
Es besteht dennoch eine reale Gefahr für diverse Projekte, die sich an der technischen Basis des Bitcoin Netzwerks orientieren.

Schutz vor einem solchen Angriff, können nur Nodebetreiber selbst realisieren, indem sie ihren Traffic über das Tor Netzwerk leiten.

Weitere Informationen findest du in meinem Video zur Erebus Attacke:

Erebus Attacke erklärt!

Quellen:

https://erebus-attack.comp.nus.edu.sg/
https://erebus-attack.comp.nus.edu.sg/erebus-attack.pdf

Autor

Roman oder einfach der Blocktrainer :)