O Mito da Anonimidade do Ethereum: Como Pesquisadores Desmascararam 15% dos Validadores
Uma das promessas centrais da tecnologia de blockchain como o Ethereum é um certo grau de anonimato. Os participantes, conhecidos como validadores, deveriam operar sob um véu de pseudônimos criptográficos, protegendo sua identidade no mundo real e, por extensão, sua segurança.
Entretanto, um artigo de pesquisa recente intitulado “Deanonymizing Ethereum Validators: The P2P Network Has a Privacy Issue”, elaborado por pesquisadores da ETH Zurich e outras instituições, revela uma falha crítica nessa suposição. Eles demonstram um método simples e de baixo custo para ligar o identificador público de um validador diretamente ao endereço IP da máquina onde ele está rodando.
Em resumo, os validadores do Ethereum não são tão anônimos quanto muitos acreditam. As descobertas foram tão relevantes que renderam aos pesquisadores uma recompensa de bug da Ethereum Foundation, reconhecendo a gravidade do vazamento de privacidade.
Como a Vulnerabilidade Funciona: Uma Falha no Gossip
Para entender a vulnerabilidade, precisamos primeiro de uma visão básica de como os validadores do Ethereum se comunicam. A rede consiste em mais de um milhão de validadores que constantemente “votam” sobre o estado da cadeia. Essas votações são chamadas de attestations e são transmitidas por uma rede ponto‑a‑ponto () para todos os demais nós.
Com tantos validadores, fazer com que todos transmitam cada voto para todos seria insustentável e sobrecarregaria a rede imediatamente. Para resolver isso, os projetistas do Ethereum implementaram uma solução de escalabilidade inteligente: a rede é dividida em 64 canais de comunicação distintos, conhecidos como subnets.
- Por padrão, cada nó (o computador que executa o software do validador) se inscreve em apenas dois desses 64 subnets. Sua principal tarefa é retransmitir diligentemente todas as mensagens que vê nesses dois canais.
- Quando um validador precisa emitir um voto, sua attestation é aleatoriamente atribuída a um dos 64 subnets para ser broadcast.
É aqui que a vulnerabilidade se manifesta. Imagine um nó cuja função é gerenciar o tráfego dos canais 12 e 13. Durante o dia inteiro, ele encaminha fielmente mensagens apenas desses dois canais. De repente, ele lhe envia uma mensagem que pertence ao canal 45.
Isso é uma pista poderosa. Por que um nó trataria de uma mensagem de um canal que não lhe cabe? A conclusão mais lógica é que o próprio nó gerou aquela mensagem. Isso implica que o validador que criou a attestation para o canal 45 está rodando exatamente naquela máquina.
Os pesquisadores exploraram esse princípio exato. Ao configurar seus próprios nós de escuta, monitoraram os subnets dos quais seus pares enviavam attestations. Quando um par enviava uma mensagem de um subnet ao qual não estava oficialmente inscrito, eles podiam inferir, com alta confiança, que o par hospedava o validador de origem.
O método provou ser surpreendentemente eficaz. Usando apenas quatro nós ao longo de três dias, a equipe localizou os endereços IP de mais de 161.000 validadores, representando mais de 15 % de toda a rede Ethereum.
Por Que Isso Importa: Os Riscos da Desanonimização
Expor o endereço IP de um validador não é algo trivial. Isso abre a porta para ataques direcionados que ameaçam tanto os operadores individuais quanto a saúde da rede Ethereum como um todo.
1. Ataques Direcionados e Roubo de Recompensas O Ethereum anuncia qual validador está programado para propor o próximo bloco alguns minutos antes. Um atacante que conheça o endereço IP desse validador pode lançar um ataque de negação de serviço (DDoS), inundando-o de tráfego e tirando-o do ar. Se o validador perder a janela de quatro segundos para propor o bloco, a oportunidade passa para o próximo validador na fila. Caso o atacante seja esse próximo validador, ele pode então reivindicar as recompensas do bloco e as taxas de transação valiosas (MEV) que deveriam ter ido para a vítima.
2. Ameaças à Liveness e à Safety da Rede Um atacante bem financiado poderia executar esses ataques de “sniping” repetidamente, fazendo a blockchain inteira desacelerar ou parar (um ataque de liveness). Em um cen ário mais grave, o atacante poderia usar essa informação para lançar ataques sofisticados de particionamento da rede, potencialmente fazendo com que diferentes partes da rede discordem sobre o histórico da cadeia, comprometendo sua integridade (um ataque de safety).
3. Revelando uma Realidade Centralizada A pesquisa também trouxe à luz algumas verdades desconfortáveis sobre a descentralização da rede:
- Concentração Extrema: A equipe encontrou pares hospedando um número impressionante de validadores, incluindo um endereço IP que executava mais de 19.000. A falha de uma única máquina poderia ter um impacto desproporcional na rede.
- Dependência de Serviços de Nuvem: Aproximadamente 90 % dos validadores localizados rodam em provedores de nuvem como AWS e Hetzner, e não nos computadores de stakers individuais. Isso representa um ponto significativo de centralização.
- Dependências Ocultas: Muitos grandes pools de staking afirmam que seus operadores são independentes. Contudo, a pesquisa encontrou casos em que validadores de pools diferentes e concorrentes estavam rodando na mesma máquina física, criando riscos sistêmicos ocultos.
Mitigações: Como os Validadores podem se Proteger?
Felizmente, existem formas de se defender contra essa técnica de desanonimização. Os pesquisadores propuseram várias mitigações:
- Criar Mais Ruído: Um validador pode optar por se inscrever em mais de dois subnets — ou até em todos os 64. Isso dificulta muito para um observador distinguir entre mensagens retransmitidas e mensagens geradas internamente.
- Usar Múltiplos Nós: Um operador pode separar as funções de validação em máquinas diferentes, cada uma com IP distinto. Por exemplo, um nó pode lidar com attestations enquanto outro nó privado é usado apenas para propor blocos de alto valor.
- Peering Privado: Validadores podem estabelecer conexões confiáveis e privadas com outros nós para retransmitir suas mensagens, ofuscando sua origem verdadeira dentro de um pequeno grupo de confiança.
- Protocolos de Broadcast Anônimos: Soluções mais avançadas como o Dandelion, que ofusca a origem de uma mensagem ao encaminhá‑la por um “stem” aleatório antes de divulgá‑la amplamente, poderiam ser implementadas.
Conclusão
Esta pesquisa ilustra de forma contundente o trade‑off inerente entre desempenho e privacidade em sistemas distribuídos. Na busca por escalabilidade, a rede do Ethereum adotou um design que comprometeu o anonimato de seus participantes mais críticos.
Ao trazer essa vulnerabilidade à luz, os pesquisadores forneceram à comunidade Ethereum o conhecimento e as ferramentas necessárias para abordá‑la. Seu trabalho representa um passo crucial rumo à construção de uma rede mais robusta, segura e verdadeiramente descentralizada para o futuro.