Masalah Inti: Node Anda Vs. Alam Digital

Lebih dari 50 tahun setelah pesan antar jaringan pertama, jaringan peer-to-peer tetap menjadi makhluk langka di hutan Internet. Kemampuan Bitcoin untuk menyediakan sistem moneter terbuka bergantung pada arsitektur peer-to-peer-nya, dan di seluruh permukaan serangannya, lapisan jaringan—bagaimana peers menemukan dan terhubung satu sama lain—adalah yang paling rentan. Ada dua tempat utama masalah dapat terjadi: protokol peering Bitcoin sendiri, dan protokol Internet yang bergantung pada protokol Bitcoin. Dalam pandangan ini, Core memiliki mandat ganda untuk mencegah vektor Denial of Service (DOS) yang dapat disalahgunakan antar node, dan memungkinkan node berkomunikasi dengan aman di lingkungan adversarial yang lebih luas, yaitu Internet.

P2P

“Pemerintah pandai memutus kepala jaringan yang dikendalikan secara pusat seperti Napster, tetapi jaringan P2P murni seperti Gnutella dan Tor tampaknya tetap bertahan.”

– Satoshi, 7 Nov 2008 [1]

Protokol P2P mencakup bagaimana node bertukar pesan tentang transaksi, blok, dan peer lainnya. Pertukaran informasi ini diperlukan sebelum transaksi atau validasi konsensus dapat terjadi, sehingga menjadi perhatian utama.

Selama bertahun-tahun, ada beberapa bug di area ini. Misalnya, pada 2017, kerentanan server SOCKS jahat diperbaiki dan diungkapkan [2]. Kerentanan “buffer overflow” ini secara teori dapat menyebabkan berbagai serangan: crash node, menyuntikkan payload berbahaya, atau memodifikasi data di node. Pada 2020, dilaporkan dan diperbaiki kerentanan tingkat tinggi di mana peer jarak jauh dapat memblokir alamat, memperbesar daftar blokir secara kuadratik, dan ini merupakan DOS terhadap node [3]. Kerentanan ini tidak diungkapkan sampai 2024. Bug ini diklasifikasikan sebagai “tingkat keparahan tinggi” karena serangan mudah dilakukan, efeknya menyebabkan hilangnya fungsi node, dan sedikit prasyarat yang diperlukan agar serangan berhasil. Ini adalah jenis bug yang membuat pengembang Core tetap terjaga di malam hari, dan mengapa sangat dianjurkan untuk memperbarui node ke versi yang masih dipelihara (versi Core yang lebih lama tidak aktif dipelihara/diperbarui).

Jaringan terdistribusi yang kita sebut Bitcoin ini tetap relatif kecil: jumlah node di jaringan clearnet sekitar 20 ribu, dan bahkan dengan asumsi 100 ribu node TOR yang murah hati, kita masih memiliki jaringan kecil yang mudah diawasi. Baru-baru ini, Daniela Brozzoni dan naiyoma menunjukkan [4] bahwa jika sebuah node berjalan dengan keduanya, clearnet dan Tor, sangat mudah memetakan alamat IPv4 dan Tor dari node tersebut. Kemungkinan besar ini sudah dilakukan oleh badan intelijen dan perusahaan chainalysis. Kemudian, menjadi mudah untuk mengetahui node mana yang pertama kali mempublikasikan transaksi tertentu, menyimpulkan IP asli transaksi tersebut, dan karenanya lokasi. Meskipun ini bukan bug secara langsung, karena node tidak crash atau berperilaku buruk, ini dapat dianggap sebagai kerentanan, karena memberikan metode untuk mengaitkan alamat IP tertentu dengan transaksi.

Bagaimana mencegah ini secara efektif saat ini masih menjadi pertanyaan terbuka.

Dataran Tinggi Web

“Kami membangun komputer kami seperti kami membangun kota. Seiring waktu, tanpa rencana, di atas reruntuhan.” – Ellen Ullman [5]

Bitcoin berjalan di Internet, dan kemampuannya untuk tetap menjadi sistem terdistribusi dan desentralisasi bergantung pada properti Internet itu sendiri. Sayangnya, arsitektur Internet seperti yang kita kenal saat ini masih sangat tidak aman, dengan serangan yang diketahui dilakukan secara rutin. Kebanyakan serangan ini dilakukan tanpa terdeteksi sampai kerusakan terjadi, belum lagi rezim pengawasan yang meresap di Internet saat ini.

Vektor serangan yang paling terkenal dan praktis yang perlu diperhatikan disebut serangan eclipse, di mana peer node korban semuanya jahat, dan memberi pandangan tertentu tentang rantai atau jaringan ke node korban. Kelas serangan ini fundamental dalam sistem terdistribusi, jika Anda mengendalikan peer node, Anda mengendalikan kesadaran node tersebut terhadap jaringan. Ethan Heilman dan kolaborator mempresentasikan salah satu serangan eclipse praktis pertama pada Bitcoin di USENIX 2015 [6], dan pada 2018, makalah serangan Erebus menggambarkan serangan eclipse “diam-diam” melalui Sistem Otonom (AS) yang jahat [7].

Serangan ini sebagian besar memanfaatkan kelemahan dalam cara jaringan Internet berkomunikasi satu sama lain, seperti topologi routing AS atau melalui protokol yang disebut Border Gateway Protocol (BGP). Meskipun ada inisiatif yang sedang berlangsung untuk mengamankan protokol BGP—BGPsec, RPKI—keduanya memiliki keterbatasan yang sudah dipahami dengan baik, dan meninggalkan para pengelola Internet menginginkan solusi yang lebih kuat. Sampai saat itu, Internet akan tetap menjadi wilayah liar.

Analisis terbaru oleh cedarctic di Chaincode Labs menemukan bahwa node Bitcoin hanya berada di 4551 AS, sebuah subbagian kecil dari jaringan yang membentuk Internet. Mereka menggambarkan serangkaian serangan yang dapat menyebabkan serangan eclipse dengan mengorbankan AS upstream tempat node beroperasi [8]. Distribusi node yang kecil di antara AS dan hubungan khusus di antara AS ini menciptakan vektor serangan yang unik. Meskipun ada solusi, belum jelas apakah vektor serangan ini sudah dipahami dengan baik sebelumnya oleh para pengguna Bitcoin atau lawan mereka.

Setiap serangan yang bergantung pada kompromi satu atau beberapa AS membutuhkan sumber daya, koordinasi, dan keahlian untuk dilakukan. Meskipun belum ada laporan serangan sukses terhadap node Bitcoin, serangan semacam ini telah berhasil dilakukan terhadap penambang [9], dompet [10], platform swap [11], dan jembatan [12]. Meskipun kita tidak akan memperbaiki Internet secara langsung, kita dapat membekali node dengan alat untuk beroperasi di lingkungan yang penuh ancaman ini.

Perlengkapan Jaringan

Berikut adalah beberapa fitur dan fungsi yang telah dikembangkan atau didukung oleh Bitcoin Core untuk membekali pengguna terhadap serangan tingkat jaringan:

TOR (The Onion Router) adalah jaringan overlay berfokus privasi tertua yang diintegrasikan ke dalam Bitcoin Core. Ia membuat hop antara jaringan peer acak untuk mengaburkan lalu lintas.

v2transport [13] mengenkripsi koneksi antar peer, menyembunyikan lalu lintas dari penyadap dan sensor. Tujuannya adalah untuk mencegah pengamat jaringan pasif menyadap isi komunikasi Anda dengan node lain.

I2P (The Invisible Internet Project [14]) adalah fitur opsional dari Core yang memungkinkan lapisan tambahan yang pribadi dan terenkripsi untuk koneksi Anda. Ini adalah jaringan anonimitas mirip Tor yang bergantung pada peer untuk mengaburkan lalu lintas antara klien dan server.

ASmap [15] adalah fitur opsional lain dari Core yang menerapkan mitigasi terhadap serangan Erebus yang sudah dijelaskan penulis dalam makalah tersebut, dan berlaku untuk semua serangan berbasis AS. Dengan membuat mekanisme peering Bitcoin sadar akan AS dari mana peer berasal untuk memastikan keberagaman di antara peer, eclipse menjadi jauh lebih sulit, karena penyerang harus mengorbankan banyak AS, yang sangat tidak mungkin dan hampir tidak mungkin tanpa terdeteksi. Bitcoin Core mendukung pengambilan peta jaringan IP ke AS mereka (AS-map) sejak Core 20.0, dan proyek Kartograf memungkinkan pengguna mana pun untuk dengan mudah menghasilkan ASmap tersebut.

Mengingat bahwa Internet kemungkinan akan terus rentan terhadap banyak serangan, salah satu hal yang dapat kita lakukan adalah mengamati perilaku peer kita untuk mencoba mendeteksi perilaku jahat. Inilah dorongan di balik proyek peer-observer oleh 0xb10c [16]. Proyek ini menyediakan sistem pencatatan berbasis tracepoint eBPF lengkap (cara mengamati tindakan terkecil dalam sebuah program yang berjalan di sistem operasi) untuk mengamati aktivitas node, termasuk perilaku peer. Ini juga memberi Anda semua yang diperlukan untuk membangun sistem pencatatan sendiri.

Bitcoin Harus Kuat

Mengamankan kemampuan untuk terhubung ke peer dan bertukar pesan adalah komponen kunci dari apa yang membuat Bitcoin berjalan.

Bitcoin beroperasi dalam lingkungan adversarial multi-dimensi, di mana banyak ancaman berasal dari keterbatasan arsitektur internet itu sendiri. Jika Bitcoin ingin bertahan dan berkembang, pengembang dan penggunanya harus belajar menavigasi perairan aneh ini.

Harga jaringan terbuka adalah kewaspadaan yang terus-menerus.

Dapatkan salinan The Core Issue hari ini!

Jangan lewatkan kesempatan Anda untuk memiliki The Core Issue — berisi artikel yang ditulis oleh banyak Pengembang Inti yang menjelaskan proyek yang mereka kerjakan sendiri!

Artikel ini adalah Surat dari Editor yang ditampilkan dalam edisi cetak terbaru Bitcoin Magazine, The Core Issue. Kami membagikannya di sini sebagai gambaran awal tentang ide-ide yang dieksplorasi di seluruh edisi lengkap.

[0]

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12] www.coinbase.com/blog/celer-bridge-incident-analysis

[13]

[14]

[15]

[16]

[13]