我已經停止信任任何進入系統並大聲要求關注的交易,因爲我越是觀察快速的金融通道,就越清楚緊迫性是最容易僞造的東西之一。系統對緊迫性的反應與人類相同:他們首先會驚慌,然後再分析。如果一個流程聲稱必須立即處理,通道就會彎曲其規則,放寬其檢查,讓其在不問爲何存在這種緊迫性的情況下繼續前進。攻擊者比任何人都更瞭解這種本能。他們不需要黑客攻擊系統;他們只需模仿危機。一個包裝在虛假緊迫性中的乾淨、正常的交易比一個試圖自然表現的可疑交易更容易通過信任的層級。而奇怪的是,虛假的緊迫性往往與環境融爲一體,以至於系統不會質疑它,除非它被明確訓練去質疑。
我第一次注意到這個模式時,網絡中的一切都很平靜。沒有活動的峯值,沒有擁堵信號,沒有波動,沒有主動風險。然而,一小部分帶有優先標籤的交易出現了,這在那個環境中毫無意義。它們要求立即結算,彷彿系統即將崩潰。而鐵路正如攻擊者所希望的那樣響應——它處理得更快,降低了審查,並跳過了上下文檢查,因爲“緊急”這個標籤聽起來太嚴肅,無法忽視。這個單一的行爲暴露了弱點:系統更信任聲明而不是條件。優先僞造之所以有效,是因爲系統假設緊急來自真實壓力,而不是來自模仿壓力的人。
虛假緊急之所以如此危險,是因爲攻擊者使其如此微妙。它們不需要推動極端值。它們只是縮緊時間窗口,使其看起來敏感,或調整消息節奏以類似於受到壓力的流量,或通過已知對緊急交易反應友好的走廊進行路由。一切都保持在正常範圍內,只是稍微調整以觸發系統的同情。一旦系統相信了緊急,它就會放鬆。它開始跳過動機檢查,因爲“時間緊迫”。它停止將流量與環境進行比較,因爲“延遲的風險可能很高”。緊急成爲通過安全的捷徑,攻擊者毫無阻礙地通過。
洛倫佐通過拒絕在沒有證據的情況下接受緊急來打破這個模式。協議不問:“交易是否聲稱它很緊急?”而是問:“環境是否使這種緊急成爲可能?”如果緩衝區穩定,走廊平靜,認證者穩定,市場條件正常,那麼虛假的緊急就變得明顯,因爲系統中沒有任何東西可以證明這種匆忙。真正緊急的流量總會留下痕跡——時機噪聲、壓力積累、走廊轉變、認證者猶豫。虛假的緊急流量與這些模式不匹配。洛倫佐立即捕捉到這種不匹配,因爲它將緊急與現實進行權衡,而不是與聲明進行權衡。
攻擊者常常試圖在系統從壓力中恢復時隱藏虛假的緊急。在波動波或走廊放緩後,一切感覺都很脆弱,系統變得更願意相信緊急情況。那時,僞造優先級的流量悄悄混入。它們利用了系統的情感殘留——避免再次衝擊的願望。但是洛倫佐更加關注時機。如果一筆交易聲稱緊急,而系統實際上是在穩定而非不穩定,那種矛盾暴露了操控。真實的緊急與趨勢相符;虛假的緊急與之矛盾。
優先僞造背後的更深層問題是,許多系統假設優先級等於誠實。它們將緊急視爲重要性的標誌,而不是可能的僞裝。但是緊急只是一個信號,而信號可以被僞造。當鐵路給予任何“聽起來緊急”的東西特殊特權時,它變得可預測。可預測的系統成爲目標。洛倫佐完全轉變了思維方式。它將每個優先級聲明視爲可疑,直到證明是自然的。它尋找流量與周圍世界之間的對齊,只有在那時才允許系統調整行爲。
虛假的緊急並不試圖壓倒協議——它試圖通過假裝脆弱來竊取信任。這個幻覺有效,直到系統停止上當。洛倫佐的強項很簡單:它不在乎誰喊得最響;它在乎誰與環境的真實情況相符。那些試圖無理由插隊的流量在鐵路停止獎勵恐慌而不是邏輯的那一刻顯得特別突出。
