As we introduced in our previous blog post [25], the term Maximal Extractable Value (MEV) refers to the highest amount of value that can be extracted from a blockchain by a producer/validator during the process of creating a block. This can be achieved by including, excluding, or rearranging the order of transactions.

MEV is a relatively novel topic with many unexplored security consequences. For instance, on April 3rd, 2023, a malicious validator node operator exploited a vulnerability in the mev-boost-relay [26], the most popular MEV relay, to get access to the transaction bundle content, even when the block was created to fail the validation to be accepted by the beacon chain nodes. With the obtained list of transactions, the attacker could execute a front-running attack, earning 20 million USD from the victim block bundle builders.

The following graphic explains how the normal flow of block creation in Ethereum among validators, builders, and relays should work [27]:

Typically, block proposers (consensus validators) should blindly sign block headers created by block builders and then wait until the blocks are already announced to the network to be able to access the block content (the transactions). Hence, the proposers cannot steal the MEV created by the block builders. However, a vulnerability in the relay software allowed a malicious proposer to modify a block header with corrupt data that the network should not accept.q The relay assumed the signed block as valid and returned the block content to the proposer, which instead extracted the MEV for itself. It then created another valid block that was accepted by the network, therefore stealing the builder's profit.

Here [28], you can see the vulnerability disclosure write-up with a more detailed explanation and countermeasures taken by the developers. One of the mentioned countermeasures is that the relay does not send the block content directly to the block proposer; instead, it has to read it from the network when it's accepted. This approach is only partially practical because a malicious proposer could run many validator nodes or even launch an eclipse attack on the network so it can see the block's content much faster and try to front-run the relay. Tikuna may help detect such eclipse attacks and alert the affected relays.

As we see here, malicious validators are becoming a worrying reality. Monitoring the behavior of validators can help identify those trying to take advantage of the blockchain network. At Sakundi [21], we are developing technologies to monitor the blockchain using AI technologies that may help detect such malicious validators.

In the upcoming series of posts, we will be exploring other topics related to MEV in the context of blockchain technology. Stay tuned for more!

Have questions? Contact us today to find out more about our services.

¡Estamos encantados de anunciar la finalización de la primera fase de nuestro proyecto Tikuna! Después de meses de arduo trabajo, dedicación y colaboración, nos complace compartir los resultados de la primera ronda de la beca de investigación académica de la Fundación Ethereum (EF). Destacaremos los hitos de nuestro proyecto y examinaremos los hallazgos de nuestro equipo en este blog.

Descripción General​

La seguridad en blockchain se está volviendo cada vez más relevante en el ciberespacio actual y por eso es importante fortalecer la seguridad de cada capa de su arquitectura. Nuestro proyecto se centra en las capas más bajas del blockchain, en particular en la red P2P que permite que los nodos se comuniquen entre sí y compartan información. Esta capa es de vital importancia para cualquier blockchain, incluido Ethereum, debido a la naturaleza descentralizada de su arquitectura. No obstante, la capa de red P2P puede ser vulnerable a varios ataques, como una Denegación de Servicio Distribuida (DDoS), ataques de eclipse y ataques Sybil. En conclusión, esta capa es propensa a muchas amenazas heredadas de las redes P2P, y existe la necesidad de analizarlas y comprenderlas recopilando datos y extrayendo información del comportamiento de la red para reducir los riesgos asociados a estos ataques. Nosotros presentamos Tikuna, una herramienta de código abierto para monitorear y detectar posibles ataques a la red blockchain de Ethereum, en una etapa temprana del ataque. Tikuna usa un método de memoria a corto plazo no supervisado (LSTM por sus siglas en inglés), basado en redes neuronales recurrentes (RRN) para la detección de anomalías asociadas a posibles ataques en la red P2P. Los resultados empíricos obtenidos, indican que el algoritmo propuesto mejora significativamente el rendimiento de detección de ataques, con la capacidad de encontrarlos y clasificarlos, incluyendo ataques Eclipse, ataques Covert Flash y de otro tipo dirigidos a la capa P2P del blockchain Ethereum, con alta precisión.

Nuestro proyecto tenía como objetivo implementar Tikuna, una Prueba de Concepto, para un sistema de monitoreo de seguridad, del blockchain Ethereum. Con Tikuna nuestro objetivo era mejorar la visibilidad del estado de la red P2P. El proyecto se compone de tres entregables:

1. Desarrollo de una solución de monitoreo P2P de código abierto accesible para la comunidad de EF.
2. Creación de dashboards para visualizar diferentes aspectos de monitoreo de la red P2P.
3. El borrador de un paper de investigación para presentar los hallazgos científicos de nuestro proyecto Tikuna.

Tikuna, el primer proyecto en América Latina en obtener fondos de investigación académica de la Fundación Ethereum, ha creado una estrategia novedosa para aumentar la conciencia sobre el estado de seguridad de la red P2P. Estamos orgullosos de contribuir al avance de la seguridad del blockchain y mejorar la seguridad del blockchain de Ethereum. Para obtener más información sobre Tikuna, visite nuestro sitio web [19].

Roadmap de la Fase I​

Hallazgos significativos​

Presentamos tres contribuciones principales:

• Nuestro algoritmo propuesto de detección de anomalías de aprendizaje automático, puede detectar varios ataques en la capa P2P de Ethereum utilizando datos de seguimiento de eventos de nodos en un entorno de simulación.

• Demostramos cómo detectar ataques de eclipse en un nodo en la red principal mediante la extracción de datos de registro de conexión generados de forma personalizada del cliente Ethereum Prysm y el uso de una red neuronal LSTM.

• Desarrollamos un exploit personalizado que implementa un ataque de eclipse en el mundo real. Se probó con un cliente Prysm modificado en la red principal, por lo que no reenvía spam a la red. Con esto, podríamos probar la efectividad de nuestro algoritmo.

El paso inicial de nuestro equipo fue realizar una investigación y un análisis en profundidad para obtener una comprensión completa de los diversos algoritmos de seguridad P2P existentes, es decir, el estado del arte. En base a esto, desarrollamos un plan de acción integral que describe nuestro algoritmo y metodología en el proyecto Tikuna.

Posteriormente, procedimos a implementar un algoritmo basado en LSTM para el monitoreo de la seguridad y la detección de anomalías de la red blockchain de Ethereum. Además, nuestro equipo desarrolló e implementó tres dashboards destinados a mejorar la seguridad de la red P2P. Estos dashboards son: el de estado de la red P2P de Ethereum, el dashboard para el monitoreo de nodos Beacon y el dashboard de ataques de Eclipse, los cuales describiremos más adelante.

Finalmente, a lo largo del proceso de desarrollo, probamos rigurosamente nuestro algoritmo para asegurarnos de que fuera funcional. También llevamos a cabo varios experimentos en dos entornos de red distintos: el ambiente de pruebas simulado y la red principal de Ethereum, para evaluar minuciosamente la eficacia y el rendimiento del algoritmo de Tikuna.

La siguiente es una muestra de los datos de entrenamiento utilizados para Tikuna en la red principal de Ethereum, que consta de datos de conexión de descubrimiento (UDP) de nodos atacantes normales y nodos atacantes simulados. Los datos normales se recopilaron de varios nodos durante 3 días en funcionamiento normal, y los datos maliciosos se recopilaron de un solo nodo Ethereum víctima del atacado simulado, utilizando nuestro exploit. Cada línea tiene varias funciones de entrada, incluida la marca de tiempo, la IP y el puerto eliminados de la tabla de nodos, la IP y el puerto agregados a la tabla de nodos y el bucket donde se agrega el nodo.

El model y las simulaciones​

Nosotros hemos utilizado RNN's para nuestra investigación. Son un tipo de modelo frecuentemente utilizado para procesar datos secuenciales como series de tiempo. Estos modelos están especializados en procesar una secuencia de valores en función del tiempo. Los RNN's pueden escalar a largas secuencias que no serían prácticas para redes sin especialización basada en secuencias. La mayoría de las redes recurrentes también pueden procesar secuencias de longitud variable.

Uno de estos modelos es de especial interés para nuestra investigación. El modelo de memoria a corto plazo largo (LSTM) utiliza un mecanismo de puerta para garantizar la propagación adecuada de la información a través de muchas iteraciones en el tiempo. Las redes LSTM tienen una celda de memoria específica y pueden capturar dependencias a largo plazo en datos secuenciales. LSTM son herramientas valiosas para problemas de modelado de lenguaje. Las redes LSTM son una versión de las redes neuronales recurrentes útiles para largas secuencias de datos interrelacionadas. LSTM fue elegido en esta investigación para la detección de anomalías para encontrar conexiones maliciosas en la comunicación con otros nodos de un cliente de Ethereum.

A continuación se muestra un ejemplo de la salida del modelo de ML para la red principal donde obtuvimos los mejores resultados detectando ataques de eclipse, con 1’000,000 de líneas de registro de conexión normales para entrenamiento y alrededor de 3,000 líneas de registros de ataques de eclipse para su evaluación:

2023-03-06 18:52:07,641 P7 INFO Epoch 84/100, training loss: 1.98741
2023-03-06 18:52:07,661 P7 INFO Evaluating test data.
2023-03-06 18:52:18,910 P7 INFO Finish inference. Show iteration top-k results:
2023-03-06 18:52:19,272 P7 INFO {'f1': '0.847', 'Recall': '0.883', 'Precision': '0.813', 'Accuracy': '0.866'}
2023-03-06 18:52:19,284 P7 INFO {'f1': '0.804', 'Recall': '0.757', 'Precision': '0.858', 'Accuracy': '0.846'}
2023-03-06 18:52:19,296 P7 INFO {'f1': '0.740', 'Recall': '0.645', 'Precision': '0.868', 'Accuracy': '0.811'}
2023-03-06 18:52:19,308 P7 INFO {'f1': '0.704', 'Recall': '0.588', 'Precision': '0.879', 'Accuracy': '0.794'}
2023-03-06 18:52:19,320 P7 INFO {'f1': '0.683', 'Recall': '0.554', 'Precision': '0.889', 'Accuracy': '0.785'}

Nostros utilizamos métricas de medidas estándar para la detección de intrusiones con ML, como f1, recuperación, precisión y exactitud. Revise el repositorio de Github y esté atento a la publicación de nuestro borrador del paper de investigación si desea obtener más detalles.

Dashboards​

Como parte de nuestra investigación, nuestro equipo consideró importante mostrar los resultados obtenidos, así como una posible implementación. Para lograr esto, creamos tres dashboards de Grafana que están integrados con Prometheus. Estos dashboards capturan métricas de monitoreo y muestran el comportamiento de la red P2P, el vecindario y el nodo Prysm en tiempo real.

• Estado de la red P2P Ethereum: La información que se muestra en el dashboard del estado de la red P2P Ethereum proviene de nuestro nodo Prysm y se obtiene al monitorear el puerto 8080. Brinda datos sobre el vecindario de nuestro nodo y cómo este interactúa con los otros nodos del Blockchain. Este muestra la cantidad de pares conectados, el socket actual y el principal, los diversos tipos de bibliotecas P2P que están conectados a nuestro nodo junto con sus calificaciones, así como información sobre la tasa de participación y la vitalidad de la red P2P. Además de esto, brinda información sobre los nodos validadores, como su número total, el estado de sus cuentas y la cantidad promedio de ether en sus saldos.

Img. 1 El dashboard del estado de la red P2P Ethereum

• Beacon Node Monitor: Este dashboard está relacionado a la infraestructura de nuestro nodo de consenso Prysm, muestra información como el uso de CPU, RAM, espacio en disco, consumo de ancho de banda y detalles sobre el comportamiento de los discos. Esta información se recuperó del clúster de Kubernetes que sirve como host para nuestro nodo de consenso, donde reside actualmente.

Img. 2 El dashboard de monitoreo del nodo Beacon

• Eclipse Attacks Dashboard: La creación del tablero final requirió el desarrollo de una interfaz que pudiera registrar los posibles ataques de eclipse descubiertos por nuestro algoritmo de aprendizaje automático y luego ingresar esos registros en el componente AlertManager de Prometheus. Después de eso, Grafana crea una tabla que muestra una fila para cada ataque de eclipse identificado en un nodo determinado.

Img. 3 El dashboard de ataques de eclipse

En Tikuna, creemos que hacer una red P2P más segura y confiable requiere accesibilidad y transparencia, por lo que hemos desarrollado una sección de usuario integral para nuestra prueba de concepto. Nuestra sección de usuario ofrece instrucciones detalladas y tutoriales que guían a los usuarios de todos los niveles técnicos a través del proceso de instalación y explican cómo interpretar la información presentada en los dashboards. Con Tikuna, una audiencia más amplia puede beneficiarse de nuestro sistema de monitoreo P2P. Estamos orgullosos de contribuir al avance de la seguridad de blockchain a través de nuestras ideas innovadoras y compromiso con soluciones fáciles de usar. Para obtener más información sobre Tikuna y cómo usar nuestro sistema de monitoreo, visite nuestro sitio web [19] y navegue a través de nuestra sección de usuario.

El borrador del paper de investigación​

Actualmente estamos trabajando en un borrador de un paper de investigación que se basa en los hallazgos y resultados obtenidos durante nuestra investigación. Una vez que recibamos los comentarios de EF, tenemos la intención de enviar el paper de investigación a una conferencia internacional. The paper de investigación está organizado en cinco capítulos principales. El primer capítulo es una introducción a la cadena de bloques de Ethereum, que enfatiza la importancia de comprender los riesgos asociados con las redes P2P de Blockchain y desarrollar soluciones centradas en la seguridad para garantizar su confiabilidad. También destaca las tres contribuciones principales del proyecto, que incluyen el algoritmo de aprendizaje automático propuesto para detectar ataques en la capa P2P, un método para detectar ataques de eclipse utilizando datos de registro de conexión generados de forma personalizada y redes neuronales LSTM, y un exploit personalizado para ejecutar ataques de eclipse. El segundo capítulo, titulado "Trabajos relacionados", ofrece una descripción general de los trabajos más recientes que abordan los desafíos de seguridad de las redes P2P de blockchain de Ethereum. El tercer capítulo presenta el algoritmo de Tikuna describiendo cada uno de los tres pasos y discutiendo los diversos tipos de ataques a la red P2P de blockchain. El cuarto capítulo evalúa la efectividad del algoritmo de Tikuna utilizando un conjunto de datos de simulación y de conexión a la red principal. El último capítulo presenta un resumen del trabajo propuesto, las conclusiones y las posibles direcciones futuras de investigación. Finalmente, los autores reconocen que el trabajo presentado fue apoyado por las becas de investigación del EF.

Siguientes pasos​

Nos enorgullecemos enormemente de los logros de nuestro equipo y extendemos nuestra gratitud a todos los que contribuyeron a garantizar el éxito del proyecto. La experiencia, la dedicación y el espíritu colaborativo de nuestro equipo fueron cruciales para entregar la primera fase del proyecto Tikuna. Este es solo el comienzo de nuestro proyecto, ya que nuestro objetivo es desarrollar Tikuna como una herramienta para contribuir a la comunidad Ethereum y otras Blockchains. Nuestros esfuerzos se centrarán en identificar ataques adicionales, minimizar los falsos positivos, detectar incidentes del mundo real e incorporar diferentes clientes de nodos de Blockchain (incluido Ethereum). Además, tenemos la intención de investigar otras áreas donde se puede utilizar Tikuna, como el valor máximo extraíble (MEV).

Hemos solicitado la segunda ronda de las becas de investigación académicas del EF. Consulte nuestra aplicación aquí. Si está interesado en aprender más sobre Tikuna o trabajar con nosotros, agradecemos la oportunidad de colaborar con usted. Comuníquese con nosotros y estaremos encantados de saber de usted.

Aunque existen avances en materia de ciberseguridad, muchas aplicaciones no cuentan con sólidas funciones de seguridad. Actualmente, más allá de razones de calidad del producto, el software tiene muchos enemigos detrás que buscan romper las líneas para aprovecharse o sabotear las condiciones del software.

Dentro de la Web 3 es la misma historia o quizás aún más grave, porque están implicados elementos como los activos digitales (criptomonedas o NFT). Aunque estas tecnologías utilizan blockchain y su algoritmo de consenso como base para llevar a cabo los procesos backend, tienen decenas de agujeros que son descubiertos con el tiempo por hackers, cuyo objetivo no es contribuir al ecosistema. Imagina una gran red descentralizada donde cientos de proyectos innovadores o emergentes buscan utilizarla para el desarrollo de sus aplicaciones, este es un escenario existente que sucede dentro de la blockchain de Ethereum. En la actualidad, los crecientes niveles de hackeos, persecución de fondos o descuidos por parte de instituciones, como la última emisión de FTX, han puesto a la ciberseguridad del blockchain como el refugio detrás de la perfección de sus operaciones. Los exchanges, los contratos inteligentes, los tokens o las aplicaciones descentralizadas forman parte de los elementos que son auditados para verificar su calidad y seguridad. 156 millones de dólares fueron robados en apenas cuatro meses en 2021 en hackeos a protocolos de finanzas descentralizadas, más allá de la cantidad que representa una pérdida significativa para particulares y empresas, también es una señal a nivel cualitativo, que demuestra que los protocolos requieren integración y mantenimiento en materia de seguridad informática.

Desde el equipo de Tikuna reconocemos esto, de ahí que estemos haciendo una importante contribución a la comunidad y a la ciberseguridad en blockchain, desarrollando y ofreciendo monitorización de detección temprana de ataques para la red P2P Ethereum. Contar con sistemas que puedan reforzar y monitorizar entornos descentralizados, antes de que ocurran estos desafortunados eventos, genera más confianza y una intensa propiedad anticipatoria. Como solución de código abierto, los usuarios podrán aprovechar los datos expuestos, con la intención de complementar la integración de la seguridad y hacer que el consumo de productos blockchain, y dentro de Ethereum, sea cada vez más seguro y predecible, características ambas muy valoradas en la actualidad.

Los sistemas de seguridad informática son complejos y juegan un papel importante en el desarrollo de aplicaciones. En sistemas tan seguros y descentralizados como redes blockchain, también existen casos en que las dApps, personas usuarias e incluso la misma red se encuentran expuestas a muchos riesgos todos los días, riesgos que pueden vulnerar elementos importantes de manera individual o colectiva. Es por esto que muchas organizaciones se encuentran interesadas en promover la investigación y el desarrollo en soluciones que velen por la seguridad, por lo que precisamente estamos desarrollando Tikuna.

Tikuna es una prueba de concepto de un sistema de monitorización de la seguridad de la red P2P para el blockchain de Ethereum. Al implementar técnicas de machine learning, Tikuna extraerá información sobre seguridad y rendimiento para la detección temprana de incidentes desafortunados. Y mejorando la visibilidad al estado de seguridad de la red P2P. Este proyecto de investigación propuesto ha sido aprobado y apoyado por la Ethereum Foundation con una donación de USD 102.200 para iniciar el proceso de desarrollo.

El equipo de Tikuna se ha acercado este 2022 a la apertura de los Grants académicos de Ethereum Foundation, en el área de P2P Network. Somos el único equipo en América Latina que recibió la aprobación y financiación de Ethereum Foundation. Este es el anuncio oficial publicado por ellos.

¿Quién es el equipo detrás?​

Tikuna es un proyecto liderado por Edenia y Sakundi. Edenia gestiona una infraestructura independiente de blockchain y desarrolla soluciones Web3. Sakundi es una organización enfocada en la seguridad y privacidad de blockchain basada en la investigación y que ofrece soluciones de monitorización de seguridad para organizaciones blockchain y aplicaciones distribuidas basadas en herramientas de Inteligencia Artificial.

¿Cuál es el problema que Tikuna trata de resolver?​

Tikuna propone una solución de código abierto que ayuda a aumentar la visibilidad en el estado de los nodos, detectando de manera temprana ataques potenciales. Este es un hecho que aporta a la comunidad una herramienta adicional para prevenir o reportar incidentes que terminan siendo un suceso desafortunado, afectando miles de transacciones y/o aplicaciones que funcionan sobre esta blockchain.

¿Cómo se dispondrá la información que Tikuna va a representar?​

Dentro de los entregables se encuentra un dashboard interactivo en el que los usuarios u organizaciones pueden consultar información de los nodos. Esta información será de datos abiertos y no tendrá ningún costo o limitante legal para su uso o reproducción. Además, adjunto habrá un documento científico que respalde el producto.

¿Cuál será el resultado final del proyecto de investigación Tikuna, en esta primera etapa?​

El objetivo general del proyecto es apoyar a la comunidad de Ethereum proporcionándoles una herramienta inteligente de última generación capaz de recolectar información relacionada con la seguridad del estado de la red P2P y mejorar la visibilidad de la red proporcionando información sobre su estado actual. Un entregable que se pretende desarrollar es un dashboard en el que los usuarios u organizaciones pueden hacer una consulta de los nodos.

Pasos hacia el futuro….​

Tikuna es una solución innovadora que dará respaldo a la seguridad blockchain de Ethereum, más aún en la evolución hacia PoS (Proof-of-Stake) en el que los nodos juegan un papel más importante en la validación de bloques con su participación. Con el ritmo acelerado de la expansión de las aplicaciones Web3 y el uso de redes de participación, pensamos que en el futuro Tikuna tiene el potencial de ser una solución a escala multi-chain. Con estos esfuerzos, iremos expandiendo su aplicación a través de redes distintas que usen PoS o DPoS como su mecanismo de consenso.