Биткоин снова под атакой: 100 000 транзакций в мемпуле

[Tomcat_MkII 3174]

 

Прошедшей ночью началась очередная DDoS-атака на сеть Биткоина, в результате которой количество неподтвержденных транзакций в пулах памяти (mempool) полных узлов установило новый антирекорд - эта цифра впервые краткосрочно превысила 100 000 транзакций.

 

Кошелек с адресом 3QQB6AWxaga6wTs6Xwq8FYppgrGinGu15f отправил сам себе более 176 000 транзакций, в результате адрес получателя в блокчейне не распознается клиентами. Еще одна "странная" деталь - сумма каждой транзакции меньше 1 сатоши, что невозможно сделать через стандартные клиенты сети Биткоина. Это значит, что атакующий использовал клиент собственной разработки. Однако, комиссия для майнеров была хоть и небольшой, но достаточно стандартной - 10 000 сатоши, т.е. около 40-45 тысяч сатоши за 1 КБ. В сумме, атака обошлась ее инициатору примерно в 18 BTC. Единственными выгодоприобретателями таких атак становятся майнеры, собирающие комиссии.

 

На данный момент, ее интенсивность пошла на убыль - размер mempool упал ниже 80 000 транзакций. Если атака не возобновится, то очередь, традиционно уменьшающаяся в выходные, "рассосется" в течение 1-2 суток.

 

 

Пока никто не взял на себя ответственность за проведение этой атаки, но она может быть выгодна обеим сторонам, участвующим в противостоянии по масштабированию сети, так как в любом случае атаки подталкивают сообщество к решению проблемы. 

 

Необходимо заметить,  что и естественный поток транзакций в сети сейчас достаточно высок, поэтому для создания "пробки" достаточно сравнительно небольших затрат и количества транзакций.

 

Например, первые атаки 2015 года требовали в несколько раз большего числа транзакций и обходились атакующим в сотни BTC. Сейчас же на создание рекордной очереди, которой хватит на несколько дней, понадобилась сумма, эквивалент которой составляет менее 30 000 долларов. Это значит, что Биткоин становится все более уязвимым даже для злоумышленников, не располагающих крупным капиталом, а скорейший поиск выхода из сложившегося тупика выглядит совершенно необходимым.

[f8192 201]

А зачем отправлять с комиссией? Можно же без нее

[FancyDancy 19]

А зачем отправлять с комиссией? Можно же без нее

 

и ждать 3 дня пока дойдет

[2lexcross 341]

и ждать 3 дня пока дойдет

Новость читали? Спамеру глубоко насрать, дойдет оно или нет.

 

По теме - не согласный я (с) Транзы с комиссией до 50 не сильно то и влияли в этот раз. Основное болото было как раз в "полезной области" 100-140 байт, а вот почему оно так тяжело рассасывается, я не понимаю. Новых транзакций сейчас создается мало, а старые тяжко уходят. Сейчас вот побыстрее стало, уже 100 байт цепляет потихоньку.

 

Вот так было, комиссия 40-50 это желтая полоска в самом низу, на что она там влияла? Разве что эффектом ддоса...

 

Edited 6 May 2017, 13:32 by 2lexcross

[Mad_Max 243]

Уважаемый редактор! Может лучше про реактор,
Про любимый лунный трактор? Ведь нельзя же так...

 

А если серьезно, то в новости просто куча неточностей и ляпов. Видимо последствия тяпницы, обычно новости тщательнее готовите.

Поехали

 

 

эта цифра впервые краткосрочно превысила 100 000 транзакций.

 

Не 100к транзакций, а 100 Мб (100к КБ) суммарного объема транзакций. Что хорошо видно по вами же приведенному графику, который в байтах, а не в штуках.

https://forum.bits.media/uploads/downloaded/050517_mempool-idet-k-120000-tx_2_38292128bf92c686d81003265add1c7a.jpg

 

В штуках размер мемпула в пике до 130-140 тысяч транзакций доходил:

 

 

Однако, комиссия для майнеров была хоть и небольшой, но достаточно стандартной - 10 000 сатоши, т.е. около 40-45 тысяч сатоши за 1 КБ.

 

10к сатоши за транзакцию верно, 40-45к за 1 КБ неверно, т.к. размеры транзакций спамера чуть меньше 400 байт были (1 вход, 2 выхода). Это всего около 25к сатоши за КБ. Т.е. этим он прохождению никаких нормальных транзакций в сети особо не помешал. Ну кроме самых жлобских/крохоборских.

 

Пример транзакции (они все практически одинаковые): https://blockchain.info/tx/52b5fb8ef51998f731afc80586bb9bbaa3a1c1b079d926112c5411684955c9d3

 

 

В сумме, атака обошлась ее инициатору примерно в 18 BTC. Единственными выгодоприобретателями таких атак становятся майнеры, собирающие комиссии.

 

С учетом очень низкой по текущим меркам комиссии эти транзакции майнеры вообще не будут включать в блоки. И значит спамер ничего особо не потратил. Его расходы:

- личное время на программирование/настройку нестандартного клиента

- время/ресурсы работы сервера(ров) рассылавшего спам

- 18 биткоинов не потраченных, а просто замороженных на какое-то не очень продолжительное время (пока основные майнинг пулы не выкинут эти транзакции из мемпулов или пока спамер сам не разрушит выстроенную цепочку из транзакций проведя с зайдействованными монетами другую транзакцию с большей комиссией, чем сделает все спам транзакции невалидными)

 

Майнеры соответственно тоже ничего на этом не заработали.

 

 

Кошелек с адресом 3QQB6AWxaga6wTs6Xwq8FYppgrGinGu15f отправил сам себе более 176 000 транзакций, в результате адрес получателя в блокчейне не распознается клиентами.

 

Адрес отлично распознается и кол-во транзакций тут не причем. Это просто помимо этого кошелька спамер использовал в каждой транзакции 2й дополнительный выход, где вместо адреса кошелька закодировал какое-то сообщение для сети/общественности. Его то стандартные браузеры блокчейна и не могут распознать.

Что за сообщение не знаю. В сыром виде - OP_RETURN 0d2a098d9f20b4d2d5334c01b5d77c7fc9599db226f80614473fed72102fd88dffffffffffffffff

 

Да, чуть самое главное не забыл.

 

Прошедшей ночью началась очередная DDoS-атака на сеть Биткоина, в результате которой количество неподтвержденных транзакций в пулах памяти (mempool) полных узлов установило новый антирекорд

 

Началась она не прошедшей ночью, а почти 2 месяца назад, как раз когда был пик конфликта SeqWit vs BU. Эта редиска не очень сильно, но стабильно и давно гадит в сеть. Вчера около 9 часов утра был просто очередной заурядный эпизод этой затяжной атаки. Хотя это уже не на атаку больше похоже, а на попытку взять измором/осаду.

 

В общем атака с самыми минимальными последствиями для сети, но и с минимальными расходами на ее проведение для спамера.

Edited 6 May 2017, 17:48 by Mad_Max

[sankopolo 266]

 

 

Основное болото было как раз в "полезной области" 100-140 байт, а вот почему оно так тяжело рассасывается, я не понимаю.

А чего ему быстро рассасываться-то? Если всё время такие транзакции продолжают поступать со скоростью (условно) 900кб/10 минут? Это как школьная задача про бассейн и две трубы...

@Mad_Max, а где они на вашем графике? Оранжевый цвет вроде дороже...

[2lexcross 341]

 

 

А чего ему быстро рассасываться-то?

Дак выходные, флэт и унылость везде. В прошлые выходные даже 5-10 сатошей рассосались...

[Mad_Max 243]

А зачем отправлять с комиссией? Можно же без нее

Совсем без комиссий сейчас сеть транзакцию вообще не примет. Т.е. не только майнеры в блоки не будут включать, но ноды даже не станут ее пересылать друг другу и она даже в мемпулы не попадает. Т.е. спамить сеть транзакциями с нулевой комиссией сейчас невозможно.

 

Новость читали? Спамеру глубоко насрать, дойдет оно или нет.

 

По теме - не согласный я (с) Транзы с комиссией до 50 не сильно то и влияли в этот раз. Основное болото было как раз в "полезной области" 100-140 байт, а вот почему оно так тяжело рассасывается, я не понимаю. Новых транзакций сейчас создается мало, а старые тяжко уходят. Сейчас вот побыстрее стало, уже 100 байт цепляет потихоньку.

 

Вот так было, комиссия 40-50 это желтая полоска в самом низу, на что она там влияла? Разве что эффектом ддоса...

Даже не 40-50, а около 25 (см. выше). Практически не на что не влияла, кроме собственно замедления работы всех полных нод в сети, которые вынуждены все эти транзакции проверять и пересылать другу другу.

Просто помимо этой хронической спам атаки (она с перерывами уже 2 месяца идет!) была еще одна с комиссиями побольше. Плюс пик нормальных транзакций совпал.

 

А "рассасывается" очередь вполне нормально. При размере блока 1 МБ и количестве 6/блоков в час, быстрее чем на 6 Мб/час очередь в принципе не может уменьшаться, даже если вообще новых транзакций создаваться не будет (что конечно не так, поток новых транзакций даже в выходные приличный).  За текущий день где-то на 35 МБ очередь сократилась, все завалы транзакций с комиссиями в 120-200к сатоши за КБ майнеры уже расчистили, сейчас за диапазон 100-120 сатоши принялись.

Edited 6 May 2017, 17:49 by Mad_Max

[2lexcross 341]

 

 

все завалы транзакций с комиссиями в 120-200к сатоши за КБ майнеры уже расчистили, сейчас за диапазон 100-120 сатоши принялись.

Да, красиво плывёт группа в полосатых купальниках )). Дай бог, дай бог

[Mad_Max 243]

А чего ему быстро рассасываться-то? Если всё время такие транзакции продолжают поступать со скоростью (условно) 900кб/10 минут? Это как школьная задача про бассейн и две трубы...

@Mad_Max, а где они на вашем графике? Оранжевый цвет вроде дороже...

 

А в том то и суть, что конкретно эту атаку о которой написал невнимательный редактор в новости на графике практически и не видно - она в тонкой зеленой полоске внизу спряталась никому особо не мешая.

Вот тут ее получше видно - ступенька вверх на зеленой полоске около 9 часов - это она и есть:

 

Вчера всего несколько тысяч штук транзакций спамер отправил (но очень быстро - вылил несколько тысяч штук меньше чем за час, потом пауза на день или несколько дней). А 180 тыс. это суммарный мусор от него накопившийся за целых 2 месяца. Впрочем возможно он не один этот кошелек использует и общие масштабы атаки больше. Другие спамеры в сети точно есть, но не ясно толи это части одной совместно действующей группы, толи независимые участники.

 

Эффект от такой атаки чувствуют в основном слабые ноды: либо со слабым процессором (может не хватать мощности процессора проверять подписи транзакций при включении в мемпул), либо с блокчейном хранящемся на обычном жестком диске (не SSD) и недостаточно большим объемом оперативной памяти для кэша - тогда в моменты таких DDoS атак у них переполняется очередь запросов к диску и в лучшем случае они просто сильно тормозят, в худшем могут глюкануть и выпасть из  сети.

Edited 6 May 2017, 17:39 by Mad_Max

[sankopolo 266]

 

 

Эффект от такой атаки чувствуют в основном слабые ноды: либо со слабым процессором (может не хватать мощности процессора проверять подписи транзакций при включении в мемпул), либо с блокчейном хранящемся на обычном жестком диске (не SSD) и недостаточно большим объемом оперативно памяти - тогда в моменты таких DDoS атак у них переполняется очередь запросов к диску и в лучшем случае они просто сильно тормозят, в худшем могут глюкануть и выпасть из сети.

Судя по вашим графикам, эффект от "DDoS атаки" чувствовать мог только сам атакующий: зеленая область составляет совсем небольшую долю от мемпула в любой момент и уж тем более от общего количества транзакций.

 

Реальный эффект от неё (если постоянно добавлять такие транзакции - месяцами) может быть таков: у людей совсем перестанут проходить транзакции с комиссией <25 сат/кб => они станут ставить комиссии побольше => номер повторить.

[sankopolo 266]

Говорят, это Bitfury развлекается.

 

an oldy but a goodie: 3QQB6AWxaga6wTs6Xwq8FYppgrGinGu15f
This address (most probably) belongs to BitFury.
so far this key has made 142102 transactions with very low fee of 25 satoshi/byte and BitFury includes these inside the blocks they mine themselves.

for example:
https://blockchain.info/block-index/1477998 block has been mined on 2017-04-15 10:04:57 while mempool size was 30.8 MB (24.6 K tx). and worst part is that this blocks (and similar blocks) contain a large number of these transactions (in this case 1066 transaction or 411000 bytes - nearly half the block size).

Edited 6 May 2017, 18:33 by sankopolo

[AlexeyZv 20]

OP_RETURN в транзакциях разный

Почему сразу атака?

Может какие нибудь сервисы по помещению картинки JPEG или файла в блокчейн?!

Это, конечно, не гуд, но и запретить нельзя

[Mad_Max 243]

Судя по вашим графикам, эффект от "DDoS атаки" чувствовать мог только сам атакующий: зеленая область составляет совсем небольшую долю от мемпула в любой момент и уж тем более от общего количества транзакций.

 

Реальный эффект от неё (если постоянно добавлять такие транзакции - месяцами) может быть таков: у людей совсем перестанут проходить транзакции с комиссией <25 сат/кб => они станут ставить комиссии побольше => номер повторить.

 

 

Ну эффект я выше написал на что может быть - мешать работе полный нод сети размещенных на слабом железе. И дело тут не в общем объеме транзакций, а в пиковой скорости с какой они кидаются в сеть. Если блокчейн на обычном жестком диске, а весь UXTO не закеширован в оперативной памяти, то ноде или полному Core кошельку в этот такие моменты становится плохо - они практически перестают нормально работать, а диск захлебывается от нагрузки.

 

Все как в классическом DDoS когда цель потоком запросов вызвать перегрузку сервера и отказ его в нормальной работе для других пользователей.

 

Ну и полностью заблокировать прохождение транзакций с комиссией ниже определенной - тоже сработает. Если мониторить мемпулы и по пере надобности докидывать, чтобы прослойка на определенном уровне комиссий до нуля никогда не спадала, тогда все что ниже нее в нормальных условиях (если не договориться с кем-нибудь из майнеров/пулов напрямую о приоритетном/льготном включении в блок) застрянет на неопределенно большой срок.

 

 

Говорят, это Bitfury развлекается.

 

Хм. Похоже на правду. Проверил старые транзакци этого спамера. Несмотря на очень низкую комиссию (25 сатоши за байт) многие из них все-таки были включены в блоки несмотря на то, что в очереди было полно более дорогих транзакций. И в подавляющем большинстве случаев соответствующий блок был добыт как раз BitFury.

Это конечно не прямое доказательство, что Битфури этим спамом и занимается. Но если и не они, то по какой-то причине они спамеру по факту помогают, за свой счет. Т.к. включая эти транзакции в блок вместо более дорогих стоящих в очереди они по сути берут на себя существенную часть расходов по проведению спам атаки (в виде упущенной выгоды от не включения более дорогих транзакций).

 

Странно. Насколько помню Битфури выступают против BU и других предложений по увеличению размера блока. Так что не понятно, зачем им нужна подобная спам активность усугубляющая проблему нехватки места в блоках и играющая на руку BU.

Можно конечно сказать, что они это делают, чтобы свалить это на сторонников BU и обвинить их в этом. Но вроде таких обвинений не было (?), хотя занимаются этим они очень давно.

Ну и в этом случае было бы очень глупо и наивно подписывать соответствующие блоки своим именем (в coinbase транзакции). В этом случае следовало бы перевести часть собственных мощностей из пула в соломайнинг и пихать этот спам в анонимные блоки.

 

А вообще таких спам кошельков много. Вот например более дорогими и крупными транзакциями спамят прямо сейчас (сегодня),

 https://blockchain.info/address/1E2ac2gxeFR2ir1H3vqETTperWkiXkwy99?show_adv=true

 

https://blockchain.info/address/1L5ykndv7aiEB33ojjDqyTKjmVykiHtobH?show_adv=true

 

https://blockchain.info/address/19yj1mUuA6nAoCRVvPY7Wo8MmBc9jPJBpo?show_adv=true

 

 

 

Несколько кошельков(выше это только 3 примера, а так их уже больше десятка), по каждому из которых по несколько тысячи крупных (больше 1000 байт, с 5-10 мелких входов/выходов) транзакций с приличной комиссией (почти 100 сатоши/байт, а там где новые выходы пачками создаются до 300 сатоши/байт).

Тот о котором была новость, тоже активировался и 6 мая повторил наброс, правда в этот раз намного слабее - всего около 500 штук спам транзакций в сеть кинул короткой очередью за несколько минут.

Edited 7 May 2017, 00:49 by Mad_Max

[alexeyy 72]

тоже так хочу

где научиться то

[Neotex 1075]

Либо кто-то закупиться не успел, либо альткойны пампят )). Вон лайт как на ракете на луну летит.

[sankopolo 266]

 

 

Но если и не они, то по какой-то причине они спамеру по факту помогают, за свой счет. Т.к. включая эти транзакции в блок вместо более дорогих стоящих в очереди они по сути берут на себя существенную часть расходов по проведению спам атаки (в виде упущенной выгоды от не включения более дорогих транзакций).

 

Может какие нибудь сервисы по помещению картинки JPEG или файла в блокчейн?!

Соглашусь с AlexeyZv. Скорее всего они просто что-то левое постят в блокчейн таким образом. Делают неаккуратно - поэтому выглядит похоже на атаку.

 

 

Насколько помню Битфури выступают против BU и других предложений по увеличению размера блока. Так что не понятно, зачем им нужна подобная спам активность усугубляющая проблему нехватки места в блоках и играющая на руку BU.

Думаю, они просто делают то, что считают выгодным для себя. И кстати здесь видна разница подходов сторонников Core/Bigblock:

• Самый яркий (Viabtc) сторонник Bigblock запустил бесплатный акселератор для всех пользователей.
• Самый яркий (Bitfury) сторонник Core забивает блокчейн биткоина чем-то левым в чьих-то интересах.
• Сторонник Bigblock (Bitmain) продает свои майнеры в розницу.
• Самый яркий (опять Bitfury) сторонник Core майнит только сам ну или с большими дядями вместе.

[Zhivuigrayuchi 98]

Интересно, если таким спамом можно повышать стоимость реальных транзакций, а ещё интересней, если картельный сговор майнеров позволит вывести такой спам на самоокупаемость.. Это реально, хотя бы теоретически?

Edited 7 May 2017, 07:37 by Zhivuigrayuchi

[2lexcross 341]

Может, пора сделать капчу в самом блокчейне?

[razdva 58]

Интересно, если таким спамом можно повышать стоимость реальных транзакций, а ещё интересней, если картельный сговор майнеров позволит вывести такой спам на самоокупаемость.. Это реально, хотя бы теоретически?

имхо реально. Может кто посчитает точно, думаю начиная с определенного % от общего хешрейта это становится выгодно

[Meisner 493]

 

 

Самый яркий (Viabtc) сторонник Bigblock запустил бесплатный акселератор для всех пользователей. Самый яркий (Bitfury) сторонник Core забивает блокчейн биткоина чем-то левым в чьих-то интересах. Сторонник Bigblock (Bitmain) продает свои майнеры в розницу. Самый яркий (опять Bitfury) сторонник Core майнит только сам ну или с большими дядями вместе.

причина не в принятой ими стороне, просто валера  изначально поц

[adv 3031]

@Meisner,

именно поц?  именно как стоить понимать?

не развернешь наверное.....

[sankopolo 266]

 

 

причина не в принятой ими стороне, просто валера изначально поц

Конечно, причина в людях и их целях, остальное - следствия.

[RustamXXI 45]

А в том то и суть, что конкретно эту атаку о которой написал невнимательный редактор в новости на графике практически и не видно - она в тонкой зеленой полоске внизу спряталась никому особо не мешая.

Вот тут ее получше видно - ступенька вверх на зеленой полоске около 9 часов - это она и есть:

bitcoin_spam-2.png

 

Вчера всего несколько тысяч штук транзакций спамер отправил (но очень быстро - вылил несколько тысяч штук меньше чем за час, потом пауза на день или несколько дней). А 180 тыс. это суммарный мусор от него накопившийся за целых 2 месяца. Впрочем возможно он не один этот кошелек использует и общие масштабы атаки больше. Другие спамеры в сети точно есть, но не ясно толи это части одной совместно действующей группы, толи независимые участники.

 

Эффект от такой атаки чувствуют в основном слабые ноды: либо со слабым процессором (может не хватать мощности процессора проверять подписи транзакций при включении в мемпул), либо с блокчейном хранящемся на обычном жестком диске (не SSD) и недостаточно большим объемом оперативной памяти для кэша - тогда в моменты таких DDoS атак у них переполняется очередь запросов к диску и в лучшем случае они просто сильно тормозят, в худшем могут глюкануть и выпасть из  сети.

Дико извиняюсь что не в тему, скиньте пожалуйста ссылку сайта где этот график вы берете.

[jzj53430 8]

в каждой транзакции 2й дополнительный выход, где вместо адреса кошелька закодировал какое-то сообщение для сети/общественности. Его то стандартные браузеры блокчейна и не могут распознать.

Что за сообщение не знаю. В сыром виде - OP_RETURN 0d2a098d9f20b4d2d5334c01b5d77c7fc9599db226f80614473fed72102fd88dffffffffffffffff

 

 

 

OP_RETURN в транзакциях разный

Почему сразу атака?

Может какие нибудь сервисы по помещению картинки JPEG или файла в блокчейн?!

Это, конечно, не гуд, но и запретить нельзя

 

 

 

 

Соглашусь с AlexeyZv. Скорее всего они просто что-то левое постят в блокчейн таким образом. Делают неаккуратно - поэтому выглядит похоже на атаку.

 

 

https://bankcomat.com/news/Pravitel-stvo-Gruzii-sovmestno-s-Bitfury-v-nyneshnem-godu-sozdast-proekt-reestra-nedvizhimosti.html

https://napr.gov.ge/p/1520

https://naprweb.reestri.gov.ge/

 

OP_RETURN это хеш SHA3-256 от выписки из публичного реестра

 

пример

https://naprweb.reestri.gov.ge/#/view/14300198

если скачать документ и вычислить хеш, получим

d24fe36fdb9c9098357f13fa154b3c09cc2f24697b4701d3f2721802e1e264b0

 

а тепер сравним

https://blockchain.info/tx/de64826fee8facfca05a85fa7fc819ae47f0f851b9d6860019adf02a2d0bcc3c

 

Совпадает? значит документ подлинный  :)