Sculpture d'un centaure en marbre noir. Image de Carole Raddato via flickr.com. Licence : Creative Commons
En mars, Monero (XMR) a été victime d'une vague de spam. Derrière cela se cache une attaque spécifique visant à briser l’anonymat des signatures en anneau. Nous expliquons ce qui s'est passé.
Au cours du mois de mars, il y a eu une attaque de spam contre le Privacycoin Monero qui tentait apparemment de rendre les transactions un peu moins anonymes.
D’une certaine manière, la vague de spam représentait la tentative la plus sophistiquée à ce jour pour briser l’anonymat le plus sophistiqué de la cryptomonnaie. Nous avons donc atteint le point culminant de la guerre technologique pour la vie privée, où les adversaires, les attaquants et les défenseurs se traitent également avec respect.
Nombre de transactions Monero quotidiennes depuis fin décembre 2023 selon BitInfoCharts.com
Il ne sera pas facile pour nous, laïcs, de comprendre ce qui s'est passé, mais cela reste une fête. En apparence, c'est ce qui s'est passé : début mars, le nombre de transactions standards est passé d'environ 15 000 par jour à plus de 100 000, et est resté à ce niveau pendant la majeure partie du mois. La taille des blocs, retrouvés toutes les deux minutes, a atteint un seuil de 300 kilo-octets, après quoi un mécanisme d'ajustement dynamique est entré en vigueur, augmentant progressivement la taille des blocs.
La communauté Monero soupçonne qu'il s'agissait d'une attaque de type « marbre noir », comme l'a décrit le développeur Rucknium. Pour le comprendre en principe, il faut savoir que Monero utilise ce qu'on appelle des signatures en anneau.
La différence entre les transactions en Bitcoin et Monero
Nous devons élaborer un peu ici : une transaction Bitcoin prend une entrée – ce qu'on appelle UTXO (sortie de transaction non dépensée) – et l'envoie comme sortie à un récepteur. Par une signature, l'expéditeur prouve qu'il est le propriétaire de l'entrée ; La chaîne d'entrées signées relie les adresses, ce qui facilite le suivi de la trace de l'argent.
Avec Monero, cette chaîne est brisée. Un émetteur n'utilise pas une seule entrée, mais plutôt un « anneau » d'entrées valides. Parmi ceux-ci se trouvent les siens, mais aussi d’autres qu’il sélectionne au hasard sur la blockchain. Par sa signature, l'expéditeur prouve seulement qu'il possède la clé pour l'une de ces entrées, mais pas pour laquelle. La taille de l'anneau indique le nombre d'entrées utilisées. Elle a actuellement 16 ans par défaut.
Une transaction Monero : sur la page des entrées, vous pouvez trouver 16 membres du groupe en anneau. Un seul d’entre eux envoie réellement de l’argent.
Les signatures en anneau rendent plus ou moins impossible l’identification de l’expéditeur et du destinataire dans une transaction. Cependant, elles ne constituent qu'une partie de l'ensemble de confidentialité de Monero : les adresses furtives garantissent que l'adresse du destinataire reste inconnue, aucune preuve de connaissance ne cache le montant envoyé.
Dans cet ensemble, les signatures en anneau sont le maillon le plus faible. Cela est également dû à l’attaque de Black Marble observée en mars.
Marbre noir
Si vous comprenez comment fonctionnent les signatures en anneau, l'attaque Black Marble est facile à comprendre : vous spammez la blockchain avec des transactions afin d'avoir autant de résultats que possible. Ceux-ci peuvent alors être exclus des anneaux d’autres transactions, ce qui réduit leur taille effective d’anneau.
L’un des avantages de l’attaque est que l’algorithme utilisé pour former un portefeuille dans l’anneau favorise les sorties les plus récentes.
Le nom de l’attaque vient du fait que le processus d’élimination rappelle le dessin d’une bille noire à travers des distributions hypergéométriques. La formule spécifique est trop mathématique pour ce point, mais elle indique à quel point les chances d'un attaquant de réduire les autres anneaux au point où le flux de transaction peut être raisonnablement compris.
De cette façon, vous pouvez calculer quelle était la taille effective de la bague lors de l'attaque de spam. Comme le montre Rucknium, chercheur chez Monero, ce chiffre est passé relativement rapidement de 16 à cinq ou six, alors que l'attaquant possédait 75 % de toutes les nouvelles sorties.
En effet, l’attaquant pouvait deviner quelle était la véritable entrée d’une transaction avec une probabilité d’environ un sur cinq. En d’autres termes, Monero a largement résisté.
Scénarios futurs
Vous pouvez maintenant vous détendre et expirer. Rucknium simule toujours les scénarios à long terme. Que se passe-t-il si l'attaquant remplit non seulement 300 kilo-octets, mais également 500, 1 000 ou 2 000 ? Les signatures de bague tiennent-elles toujours ?
Il s’avère qu’avec la taille d’anneau standard actuelle de 16, la taille d’anneau effective tombe à 4 de 500 kilo-octets et à deux d’environ 1 000. Désormais, un attaquant peut deviner en toute sécurité qui a envoyé de nombreuses transactions et même plus avec une probabilité raisonnable.
Tableau des tailles de bague nominales et effectives en fonction de la force d'une attaque de marbre noir. Tiré du journal Rucknium.
Si, en revanche, la taille de l'anneau était augmentée à 40 ou 60, le système resterait largement sûr, même avec 2 000 kilo-octets de spam par bloc. Cela aurait toutefois pour inconvénient que les transactions deviendraient nettement plus importantes.
L’un des problèmes de l’attaque Black Marble est qu’elle est relativement bon marché. Selon Rucknium, l'ensemble de la vague de spam ne coûte qu'entre 61,5 et 81,3 Monero (XMR), selon les modèles de frais utilisés par l'attaquant (qui ne peuvent pas être déterminés exactement car Monero est anonyme). Cela représente environ 6 500 à 9 000 euros, ce qui n'est pas vraiment grand-chose pour une attaque de 23 jours.
Cependant, les coûts d’une attaque plus étendue seront probablement beaucoup plus élevés. Car dès que le seuil de 300 kilo-octets par bloc est dépassé, les frais augmentent considérablement.
Problèmes pour les utilisateurs
Les signatures annulaires ont relativement bien survécu à l’attaque. Théoriquement, vous pouvez les briser, mais seulement temporairement, et vous devrez alors investir beaucoup d'argent.
Néanmoins, la communauté Monero envisage déjà d’augmenter la taille de la bague à 64. En outre, avec les « Full Chain Membership Proofs », il existe déjà un concept qui peut remplacer les signatures en anneau et qui, après l'attaque, sera désormais utilisé plus tôt que prévu, peut-être dans six à douze mois.
Une conséquence plus désagréable de l’attaque pourrait affecter la convivialité de Monero. De nombreux utilisateurs ont vu leurs transactions bloquées dans le pool de mémoire ; Des confirmations considérablement retardées ont eu lieu pendant la majeure partie du mois, pouvant parfois atteindre jusqu'à deux heures.
Ce qui était probablement encore plus désagréable était que la plupart des nœuds distants étaient désespérément surchargés. Les utilisateurs qui ne disposent pas d'un nœud complet y connectent leur portefeuille. Pour eux, Monero était désormais quasiment inutilisable.
Le problème des nœuds distants et des transactions retardées peut être résolu avec un meilleur logiciel, par exemple en améliorant le calcul des frais ou en interrogeant plus efficacement le pool de mémoire.
Mais un autre problème est plus difficile à résoudre : l'attaquant a créé pour quelques milliers d'euros plus de trois gigaoctets de sorties – qui ne sont plus jamais supprimées car il n'y a pas de consensus sur le moment où une sortie a été réellement utilisée. La blockchain Monero peut être gonflée avec des montants relativement modérés, à tel point que presque toutes les opérations qui y sont effectuées sont massivement perturbées.
La confidentialité est difficile et compétitive. Ce n’est pas un état que l’on a atteint une fois, mais qu’il faut continuellement maintenir.
Source:https://bitcoinblog.de/2024/04/04/spam-welle-auf-monero-der-angriff-des-schwarzen-marmors/
