虽然有着越来越多的人参与到区块链的行业之中,然而由于很多人之前并没有接触过区块链,也没有相关的安全知识,安全意识薄弱,这就很容易让攻击者们有空可钻。面对区块链的众多安全问题,慢雾特推出区块链安全入门笔记系列,向大家介绍十篇区块链安全相关名词,让新手们更快适应区块链危机四伏的安全攻防世界,同时欢迎添加文章末尾二维码催更!
系列回顾:
区块链安全入门笔记(一) | 慢雾科普
区块链安全入门笔记(二) | 慢雾科普
区块链安全入门笔记(三) | 慢雾科普
多签 Multi-sig
多签(Multi-sig)指的是需要多个签名才能执行的操作(这些签名是不同私钥生成的)。这可用于提供更高的安全性,即使丢失单个私钥的话也不会让攻击者取得帐户的权限,多个值得信赖的各方必须同时批准更新,否则无效。
火币朱嘉伟:区块链是80、90、00后为数不多引领时代变革的一次机会:8月11日下午,火币集团首席运营官朱嘉伟发表了题为《走出巴别塔 区块链通向产业应用的密码》的主题演讲,他认为,每一代人都会遇到至少一次改变自己生命轨迹、改变世界的机会,区块链就是当下80、90、00后年轻人为数不多一次机会,建立全新的规则、引领时代的变革。
同时,每一个高速增长的新兴行业都有不尽的利益诱惑和对人性的考验,他希望所有从业者与爱好者,与火币一起抵制行业乱象,成为行业的贡献者,而非利益的攫取者。[2020/8/11]
我们都知道,一般来说一个比特币地址对应一个私钥,动用这个地址中的资金需要私钥的持有者发起签名才行。而多重签名技术,简单来说,就是动用一笔资金时需要多个私钥签名才有效。多签的一个优势就是可以多方对一笔付款一起达成共识,才能支付成功。
双花攻击
Double Spend Attack
行情 | A股收盘:区块链50指数收涨0.65%:A股收盘,三大股指小幅上涨,上证指数报2890.49点,收涨0.51%,A股区块链50指数报3277.30点,收涨0.65%。区块链板块收涨1.29%。数字货币板块收涨1.61%。 区块链板块198只概念股中,139只上涨,52只下跌,6只平盘,1只停盘,其中中元股份,华软科技等8只股票涨停。数字货币板块32只概念股中,27只上涨,5只下跌,其中华力创通涨停。[2020/2/10]
双花攻击(Double Spend Attack)即一笔钱花了两次,双重支付,利用货币的数字特性两次或多次使用“同一笔钱”完成支付。双花不会产生新的 Token,但能把自己花出去的钱重新拿回来。简单说就是,攻击者将一笔 Token 转到另外一个地址,通常是转到交易所进行套现,然后再利用一些攻击手法对转账交易进行回滚。目前有常见的几种手法能够引发双花攻击:
1. Race Attack
动态 | 尼日利亚年轻企业家称要利用区块链帮助国民摆脱贫困:据CryptoNewsZ今日消息,尼日利亚拉各斯州的年轻企业家Omota Omotade Sparks Amos Sewanu在给该国经济和金融犯罪委员会的公开信中称,要利用区块链技术将尼日利亚人带出贫困线。 他表示,已经建立了一个联通尼日利亚与全世界的区块链“iBLedger”,能够在短时间内消除尼日利亚的各种贫困。[2019/11/9]
这种攻击主要通过控制矿工费来实现双花。攻击者同时向网络中发送两笔交易,一笔交易发给自己(为了提高攻击成功的概率,他给这笔交易增加了足够的矿工费),一笔交易发给商家。由于发送给自己的交易中含有较高的手续费,会被矿工优先打包进区块的概率比较高。这时候这笔交易就会先于发给商家的那笔交易,那么发给商家的交易就会被回滚。对于攻击者来说,通过控制矿工费,就实现了同一笔 Token 的“双花”。
2. Finney Attack
加拿大央行官员:区块链目前不如中央系统高效:据当地媒体报道,6月14日,在韩国举行的一次会议上,加拿大央行一名官员对使用区块链技术进行银行业务的有效性和安全性提出了质疑。作为2018年G20全球金融稳定会议在首尔举行的会议的一部分,加拿大央行基金管理和银行部门高级研究主管詹姆斯·查普曼称加密货币资产是“一个新的机遇,同时也对金融市场构成威胁”。他表示,“与现有的中央银行系统相比,区块链目前没有节省成本的效果。相反,还可能发生黑客和其他运营风险。”[2018/6/15]
攻击者主要通过控制区块的广播时间来实现双花,攻击对象针对的是接受 0 确认的商家。假设攻击者挖到区块,该区块中包含着一个交易,即 A 向 B 转了一定数量的 Token,其中 A 和 B 都是攻击者的地址。但是攻击者并不广播这个区块,而是立即找到一个愿意接受 0 确认交易的商家向他购买一个物品,向商家发一笔交易,用 A 向商家的地址 C 支付,发给商家的交易广播出去后,攻击者再把自己之前挖到的区块广播出去,由于发给自己的交易先于发给商家的交易,对于攻击者来说,通过控制区块的广播时间,就实现了同一笔 Token 的“双花”。
三星旗下风投公司:区块链对连接物联网设备至关重要:三星旗下风投资本“三星NEXT”的董事总经理兼投资主管Brendon Kim今日接受采访时表示:像区块链这样的协调技术将必不可少,到2020年,会有200亿台物联网设备相连,区块链对确保设备间的通信至关重要。他为此举例某生活场景:洗碗机中的洗涤剂存量低设定值后,便可自动连接到宝洁公司的设备去订购清洁剂。Kim表示,区块链目前是三星NEXT较大的投资主题之一。[2018/3/13]
3. Vector76 attack
Vector76 Attack 又称“一次确认攻击”,也就是交易确认一次后仍然可以回滚,是 Finney Attack 和 Race Attack 的组合。
攻击者创建两个节点,节点 A 连接到商家节点,节点 B 连接到区块链网络中的其他节点。接着,攻击者用同一笔 Token 发起两笔交易,一笔交易发送给商家地址,我们称为交易 1;一笔交易发送给自己的钱包地址,我们称为交易 2。与上面说的 Race Attack 一样,攻击者对交易 2 添加了较高的矿工费从而提高了矿工的打包概率,此时,攻击者并没有把这两笔交易广播到网络中去。
接着,攻击者开始在交易 1 所在的分支上进行挖矿,这条分支我们命名为分支 1。攻击者挖到区块后,并没有广播出去,而是同时做了两件事:在节点 A 上发送交易 1,在节点 B 上发送交易 2。
由于节点 A 只连接了商家节点,所以当商家节点想把交易 1 传给其它对等节点时,连接了更多节点的节点 B,已经把交易 2 广播给了网络中的大部分节点。于是,从概率上来讲,交易 2 就更有可能被网络认定为是有效的,交易 1 被认定为无效。
交易 2 被认为有效后,攻击者立即把自己之前在分支 1 上挖到的区块,广播到网络中。这时候,这个接受一次确认就支付的商家,会确认交易成功,然后攻击者就可以立即变现并转移资产。
同时,由于分支 2 连接的更多节点,所以矿工在这个分支上挖出了另一个区块,也就是分支 2 的链长大于分支 1 的链长。于是,分支 1 上的交易就会回滚,商家之前支付给攻击者的交易信息就会被清除,但是攻击者早已经取款,实现了双花。
4. 51% attack
攻击者占有超过全网 50% 的算力,在攻击者控制算力的这段时间,他可以创造一条高度大于原来链的新链。那么旧链中的交易会被回滚,攻击者可以使用同一笔 Token 发送一笔新的交易到新链上。
目前已知公链安全事件的攻击手法多为 51% 攻击,截止发稿日由于攻击者掌握大量算力发起 51% 攻击所造成的损失共 19,820,000 美金。2019 年 1 月 6 日,慢雾区预警了 ETC 网络的 51% 算力攻击的可能性,据 Coinbase 博客报道该攻击者总共发起了 15 次攻击,其中 12 次包含双花,共计被盗 219,500 ETC(按当时市价约为 110 万美元),攻击者经过精心准备,通过租借大量算力向 ETC 发动了 51% 攻击,累计收益超 10 倍,Gate.io、Yobit、Bitrue 等交易所均受到影响。所幸在整个 ETC 生态社区的努力下,一周后攻击者归还了攻击所得收益,幸而没有造成进一步的损失。
软分叉 Soft-fork
软分叉(Soft-fork)更多情况下是一种协议升级,当新共识规则发布后,没有升级的旧节点并不会意识到代码已经发生改变,而继续生产不合法的区块,就会产生临时性分叉,但新节点可以兼容旧节点,即新旧节点始终在同一条链上工作。
硬分叉 Hard-fork
硬分叉(Hard-fork)是区块链发生永久性分歧,在新共识规则发布后,已经升级的节点无法验证未升级节点产生的区块,未升级节点也无法验证已经升级的节点产生的区块,即新旧节点互不兼容,通常硬分叉就会发生,原有正常的一条链被分成了两条链(已升级的一条链和未升级的一条链,且这两条链互不兼容)。
历史上比较著名的硬分叉事件是 The DAO 事件,作为以太坊上的一个著名项目,由于智能合约的漏洞造成资金被黑客转移,黑客盗取了当时价值约 6000 万美元的 ETH,让这个项目蒙受了巨大的损失。为了弥补这个损失,2016 年 7 月,以太坊团队修改了以太坊合约代码实行硬分叉,在第 1920000 个区块强行把 The DAO 及其子 DAO 的所有资金全部转到一个特定的退款合约地址,进而“夺回”了黑客所控制 DAO 合约上的币。但这个修改被一部分矿工所拒绝,因而形成了两条链,一条为原链(以太坊经典,ETC),一条为新的分叉链(ETH),他们各自代表了不同社区的共识和价值观。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。