Bhudia A, O’Keeffe D, Hurley-Smith D. Revoke: Mitigating Ransomware Attacks Against Ethereum Validators[C]//European Symposium on Research in Computer Security. Cham: Springer Nature Switzerland, 2024: 333-353.
Abstract
由于以太坊网络中PoS的机制的设计,受到了勒索病毒攻击的validator(验证者)可能会被处以罚金,验证者成为了勒索病毒的攻击对象,目前缺少对验证者从勒索攻击中恢复的机制。即使是尝试退出网络的验证者,在提取期内也可能被追溯性削减权益。
本文提出了 Revoke,对以太坊协议的扩展,用于缓解验证者遭受勒索软件攻击的影响。Revoke 引入了一种新的去中心化密钥吊销机制,使验证者无需提取质押即可更换其签名密钥。Revoke 面临的一个挑战是,在为单个验证者提供吊销机制的实用性与可能降低整个链的安全性之间寻求平衡。
Revoke 的设计揭示了一个权衡:验证者在吊销过程中无法提议或验证区块,因此会受到非活跃惩罚,但可以避免更为严重的削减惩罚。本文的设计扩展了以太坊规范,以捕捉 Revoke 核心密钥更换机制对信标链状态转换函数和分叉选择决策的影响。调整了以太坊现有的安全性和活性证明,以涵盖 Revoke 的影响。
Introduction
运行validator需要质押大量资产(32ETH,2024年12月约为$115K)
为了防止验证者丢失金额,验证者的密钥被划分为:
提款密钥 withdrawal key: 用于读取质押的ETH,常规操作不需要该密钥,可以存储在离线设备
签名密钥 signing key: 对于消息进行签名,容易受到攻击
但是,尽管无法获得提款密钥,攻击者会威胁验证者,将会使用签名密钥作恶(为冲突的交易或区块签名)。根据以太坊协议,作恶的验证者会被惩罚,因此验证者更倾向于支付赎金
通过智能合约确保验证者在支付赎金后免受进一步的削减处罚,从而最大程度地减少受害验证者对勒索软件攻击者的信任需求。
这里的问题其实是密钥撤销的问题