Comments 27
И каков смысл такой атаки для атакующего? Мощности он все-равно будет тратить.
В любом случае, думаю, у пула есть возможность детектировать таких «диверсантов». И пул никогда не допустить свою работу в убыток.
В любом случае, думаю, у пула есть возможность детектировать таких «диверсантов». И пул никогда не допустить свою работу в убыток.
Все, теперь пулы будут «пулить» друг другу такие недо-шары =)
А вот скажите. Существуют ли вирусы, которые превращают подчиненный ботнет в распределенный кластер для майнинга?
А в чем сложность запустить майнер на машинах в составе ботнета? Это обычное приложение.
Единственное что желательно наличие подходящего графического адаптера, но и на процессоре можно считать, например алгоритм scrypt для альтернативных криптовалют, таких как litecoin или novacoin.
Единственное что желательно наличие подходящего графического адаптера, но и на процессоре можно считать, например алгоритм scrypt для альтернативных криптовалют, таких как litecoin или novacoin.
Если у вас уже есть подконтрольный ботнет, то ему не вирус нужен, а управляющая программа. Такие программы есть, многие ботнеты давно и успешно майнят криптовалюты.
Получается, практически «легальный» вид деятельности (ну, по сравнению с ддосами).
++ Идея: многие гуманитарные/благотворительные/медицинские организации могут создать свой «легальный» ботнет, предоставляя пользователям программу для майнинга биткоинов в пользу этой организации. 100 тысяч человек установят программу — и от пользователей ничего не зависит, но в фонд идут нормальные такие деньги. (кстати, какие примерно?)
п.с. Или такая идея тоже не нова? (именно с криптовалютами, всякие seti@home понятное дело давно работают)
++ Идея: многие гуманитарные/благотворительные/медицинские организации могут создать свой «легальный» ботнет, предоставляя пользователям программу для майнинга биткоинов в пользу этой организации. 100 тысяч человек установят программу — и от пользователей ничего не зависит, но в фонд идут нормальные такие деньги. (кстати, какие примерно?)
п.с. Или такая идея тоже не нова? (именно с криптовалютами, всякие seti@home понятное дело давно работают)
Этого не знаю. Но с текущей сложностью майнинга, ценами на свет и хилостью оборудования в обычных компьютерах чувствую, что от этого будет больше вреда, чем пользы. Грубо — юзер больше отдаст за электричество, чем придет в фонд.
А можно прикинуть доход с серверов? Плюс-минус?
Вот если, например, в Мэйл.ру есть, условно, 5 тыс. серверов, которые почту хранят — соответственно, процессоры там практически не используются (ну, не более чем на 10%, по-идее). Если на них все установить софт для майнинга, то сколько будет теоретически получаться? (максимально усреднив конфигурацию почтового сервера в плане железа)
Вот если, например, в Мэйл.ру есть, условно, 5 тыс. серверов, которые почту хранят — соответственно, процессоры там практически не используются (ну, не более чем на 10%, по-идее). Если на них все установить софт для майнинга, то сколько будет теоретически получаться? (максимально усреднив конфигурацию почтового сервера в плане железа)
Ну если не лень, то прикиньте по 50 килохэшей в секунду на процессор, который майнит лайткоины, курс в 4 доллара за штуку и по 50-100 Вт лишней мощности на этот нагруженный процессор и бешено ревущий кулер. Вот тут например. Центов 30 в сутки можно на одном полностью нагруженном современном процессоре заработать, наверное.
Только сомневаюсь я, что мейлрушечка для хранения почты использует пять тыщ процессоров. Системы хранения они на то и системы хранения, что в них много места и мало вычислительной мощности. Хотя от мэйлару всего можно ждать, да.
Только сомневаюсь я, что мейлрушечка для хранения почты использует пять тыщ процессоров. Системы хранения они на то и системы хранения, что в них много места и мало вычислительной мощности. Хотя от мэйлару всего можно ждать, да.
UFO just landed and posted this here
Если пул недополучит денег, то он меньше заплатит участникам. так как атакующий тратит свои ресурсы, то это прямой ущерб атакующего.
Ну и еще большой вопрос в том что сделает с этой задачей пул — отдаст следующему через полчасика?
Ну и еще большой вопрос в том что сделает с этой задачей пул — отдаст следующему через полчасика?
Подскажите что я неправильно сказал? Пять раз перечитал — всё логично.
Разве что если второе утверждение про отдачу той же работы другому немного вызывает сомнение, но это уже не идеологическая уязвимость, а уязвимость конкретной реализации. Ведь можно же отдавать потом работу другому, даже если и как защита от таких вот ситуаций.
Разве что если второе утверждение про отдачу той же работы другому немного вызывает сомнение, но это уже не идеологическая уязвимость, а уязвимость конкретной реализации. Ведь можно же отдавать потом работу другому, даже если и как защита от таких вот ситуаций.
Все зависит от способа оплаты пулом своим майнерам.
Максимальная уязвимость у метода PPS — стоимость атаки в этом случае будет равна комиссиям, забираемой пулом (уже таких мало осталось, все берут порядка 2%-3%)
Дальше идет метод PPLNS — при длинных очередях (когда учитываются шары за последние несколько дней) — стоимость атаки в данном случае сравнима с PPS, а короткие очереди не любят сами пользователи за недостатки как системах Prop
Способы оплаты Prop может и самые дорогие с точки зрения такой атаки, но метод выплат подвержен pool hopping, когда майнеры прыгают по пулам по особому алгоритму, собирая сливки с коротких раундов (во время удачи пула) и уходя с длинных, забирая доход у честных майнеров.
p.s. пул сможет обнаружить атаку только статистически — после нескольких таких краж, за это время можно успеть вывести награду и уйти с пула (сменить аккаунт)
Максимальная уязвимость у метода PPS — стоимость атаки в этом случае будет равна комиссиям, забираемой пулом (уже таких мало осталось, все берут порядка 2%-3%)
Дальше идет метод PPLNS — при длинных очередях (когда учитываются шары за последние несколько дней) — стоимость атаки в данном случае сравнима с PPS, а короткие очереди не любят сами пользователи за недостатки как системах Prop
Способы оплаты Prop может и самые дорогие с точки зрения такой атаки, но метод выплат подвержен pool hopping, когда майнеры прыгают по пулам по особому алгоритму, собирая сливки с коротких раундов (во время удачи пула) и уходя с длинных, забирая доход у честных майнеров.
p.s. пул сможет обнаружить атаку только статистически — после нескольких таких краж, за это время можно успеть вывести награду и уйти с пула (сменить аккаунт)
Ну да, есть уязвимые варианты, есть неуязвимые. И есть возможность защитится.
Всё верно. За что минусы то?)))
Вот реально не понимаю.
Специально посмотрел — топик не ализаровский.
Был бы ализаровский было бы простительно что названо так как названо а не «Гипотетическая идеологическая уязвимость некоторых реализаций пулов майнинга».
Вы то ТС, ваша позиция понятна. Идея то забавная, я тоже о ней думал года два назад, да пришел к выводу, что передача потерянной задачи другому майнеру решит проблему.
Но ведь Вы не один минусовали. А это по меньшей мере странно.
Всё верно. За что минусы то?)))
Вот реально не понимаю.
Специально посмотрел — топик не ализаровский.
Был бы ализаровский было бы простительно что названо так как названо а не «Гипотетическая идеологическая уязвимость некоторых реализаций пулов майнинга».
Вы то ТС, ваша позиция понятна. Идея то забавная, я тоже о ней думал года два назад, да пришел к выводу, что передача потерянной задачи другому майнеру решит проблему.
Но ведь Вы не один минусовали. А это по меньшей мере странно.
Я не минусую людей, с которыми я не согласен, я даже рад таким сообщениям.
Я вообще очень редко ставлю минус, обычно либо за ужасный троллинг, либо сообщения, которые совершенно не хочется видеть на хабре.
Почти наверняка атака такого рода имеет место быть, просто посмотрите на слабые пулы майнинга, как часто у них случаются неудачи… в среднем. Правда определить, атака ли это или мошенничество самого пула — невозможно.
bitcointalk.org/index.php?topic=190830.msg1975074#msg1975074
bitcointalk.org/index.php?topic=190830.msg1975197#msg1975197
bitcointalk.org/index.php?topic=190835.msg1985419#msg1985419
Шары как таковые не имеют цены, это обещание пула выплатить в будущем, когда кто-то из майнеров найдет блок.
Я вообще очень редко ставлю минус, обычно либо за ужасный троллинг, либо сообщения, которые совершенно не хочется видеть на хабре.
Почти наверняка атака такого рода имеет место быть, просто посмотрите на слабые пулы майнинга, как часто у них случаются неудачи… в среднем. Правда определить, атака ли это или мошенничество самого пула — невозможно.
передача потерянной задачи другому майнеру решит проблему.да сколько раз говорить, решение не может быть использовано никем другим, кроме пула, выдавшего задачу, решением которой оно является.
bitcointalk.org/index.php?topic=190830.msg1975074#msg1975074
bitcointalk.org/index.php?topic=190830.msg1975197#msg1975197
bitcointalk.org/index.php?topic=190835.msg1985419#msg1985419
Шары как таковые не имеют цены, это обещание пула выплатить в будущем, когда кто-то из майнеров найдет блок.
передача потерянной задачи другому майнеру решит проблему.
да сколько раз говорить, решение не может быть использовано никем другим, кроме пула, выдавшего задачу, решением которой оно является
Передача _ЗАДАЧИ_ а не решения.
Пул выдает постоянно пачку на проверку. Мы проверяем, и возвращаем ответ. Но один раз, когда там лежит золото — мы не возвращаем.
Пул видит, что ответа от нас нет, ну и фиг с нами. Может просто в оффлайн ушли. А отдавать эту же задачу другому лень — для этого надо учет вести, какая-то балансировка. В общем лень. Работы на всех хватит.
Вот собственно в этом самом «в общем лень» и кроется уязвимость, а вовсе не в идеологии.
Так…
Вы предлагаете 'в случае неполучения решения от майнера' повторно выдать ту же задачу другому майнеру? Замечательно, а как пул поймет, для какой задачи он не получил решения? Ответ — никак, трудоемкость этого равна нахождению самого решения!
Нет никакой возможности на стороне пула узнать, скрыл ли майнер решение или нет, кроме как статистически, на основе скорости майнера и вероятности найти при такой скорости решение за определенное время.
Только вот незадача, если пулы начнут выгонять неудачливых майнеров со своих пулов… кому они сделают хуже?
Проблема описанная в топике есть, и она сочетается с проблемой кражи пулами блоков (это доказуемо только если все майнеры будут где то еще на независимой стороне публиковать свои шары, которые могут оказаться решением).
Вы предлагаете 'в случае неполучения решения от майнера' повторно выдать ту же задачу другому майнеру? Замечательно, а как пул поймет, для какой задачи он не получил решения? Ответ — никак, трудоемкость этого равна нахождению самого решения!
Нет никакой возможности на стороне пула узнать, скрыл ли майнер решение или нет, кроме как статистически, на основе скорости майнера и вероятности найти при такой скорости решение за определенное время.
Только вот незадача, если пулы начнут выгонять неудачливых майнеров со своих пулов… кому они сделают хуже?
Проблема описанная в топике есть, и она сочетается с проблемой кражи пулами блоков (это доказуемо только если все майнеры будут где то еще на независимой стороне публиковать свои шары, которые могут оказаться решением).
Ну если НИКАК не проверять майнера, то можно просто на все задачи говорить «я проверил, там ничего нет», и не грузить свои мощности.
Вариантов как контролировать факт выполнения работы есть много, и мне сложно себе представить такой, который при этом не отловит частичную «недодачу» работы которую мы обсуждаем.
Если я не прав, то просветите по алгоритмам защиты от фейковых работ.
Вариантов как контролировать факт выполнения работы есть много, и мне сложно себе представить такой, который при этом не отловит частичную «недодачу» работы которую мы обсуждаем.
Если я не прав, то просветите по алгоритмам защиты от фейковых работ.
Выбор метода начисления наград майнерам — очень сложная задача.
* Выберешь PPS — будет опасность долговой ямы и недополучения шар, но зато майнеры будут спокойны, краж 'у них' не будет, но PPS из-за своей особенности требует комиссию, что не нравится самим майнерам, к тому же этот метод выплат не совместим с комиссиями с транзакций, собираемыми пулом, он их просто не учитывает и майнеры не получают с них ничего, пока это не критично, но года через 4-8 это станет заметно.
* Выберешь Prop — будешь абсолютно защищен от краж, но пул станет уязвим к pool hopping, когда прыгающие по пулам майнеры забирают ощутимую часть наград у честных майнеров.
* PPLNS — проблема насторйки, качественный требует нетрадиционного подхода к начислению наград (пример p2pool, когда выплаты растягиваются на пару суток, даже когда уже не майнишь), а классический (учитывается половина шар от раунда) — подходит только к слабым пулам, а пулы по мощнее стараются растянуть длину очереди учитываемых шар на много суток, включая много раундов, превращая майнинг в фактический PPS (это хорошо, так как дополнительно учитывается и комиссия с транзакций), но уязвимость к сокрытию решения — остается!
* Выберешь PPS — будет опасность долговой ямы и недополучения шар, но зато майнеры будут спокойны, краж 'у них' не будет, но PPS из-за своей особенности требует комиссию, что не нравится самим майнерам, к тому же этот метод выплат не совместим с комиссиями с транзакций, собираемыми пулом, он их просто не учитывает и майнеры не получают с них ничего, пока это не критично, но года через 4-8 это станет заметно.
* Выберешь Prop — будешь абсолютно защищен от краж, но пул станет уязвим к pool hopping, когда прыгающие по пулам майнеры забирают ощутимую часть наград у честных майнеров.
* PPLNS — проблема насторйки, качественный требует нетрадиционного подхода к начислению наград (пример p2pool, когда выплаты растягиваются на пару суток, даже когда уже не майнишь), а классический (учитывается половина шар от раунда) — подходит только к слабым пулам, а пулы по мощнее стараются растянуть длину очереди учитываемых шар на много суток, включая много раундов, превращая майнинг в фактический PPS (это хорошо, так как дополнительно учитывается и комиссия с транзакций), но уязвимость к сокрытию решения — остается!
Я думал, что пул все-таки скрывает задачу, выдаваемую майнеру. И именно для того, чтобы клиент сам не подписал блок. Не понимаю, зачем было переходить на «открытый» протокол?
> та ли это задача, что обещает пул?
зачем это проверять? пул дает задачу, мы ее решаем — получаем выплату
> та ли это задача, что обещает пул?
зачем это проверять? пул дает задачу, мы ее решаем — получаем выплату
Sign up to leave a comment.
Идеологическая уязвимость, атака на пулы майнинга криптовалют