比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > DYDX > Info

區塊鏈安全入門筆記(四) | 慢霧科普_ATT

Author:

Time:1900/1/1 0:00:00

雖然有著越來越多的人參與到區塊鏈的行業之中,然而由于很多人之前并沒有接觸過區塊鏈,也沒有相關的安全知識,安全意識薄弱,這就很容易讓攻擊者們有空可鉆。面對區塊鏈的眾多安全問題,慢霧特推出區塊鏈安全入門筆記系列,向大家介紹十篇區塊鏈安全相關名詞,讓新手們更快適應區塊鏈危機四伏的安全攻防世界,同時歡迎添加文章末尾二維碼催更!

系列回顧:

區塊鏈安全入門筆記(一) | 慢霧科普

區塊鏈安全入門筆記(二) | 慢霧科普

區塊鏈安全入門筆記(三) | 慢霧科普

多簽 Multi-sig

多簽(Multi-sig)指的是需要多個簽名才能執行的操作(這些簽名是不同私鑰生成的)。這可用于提供更高的安全性,即使丟失單個私鑰的話也不會讓攻擊者取得帳戶的權限,多個值得信賴的各方必須同時批準更新,否則無效。

上交所:基于“上證云”云鏈一體化基礎設施建設以及證券期貨業區塊鏈聯盟的運營支持:12月18日消息,上交所副總經理王泊14日在第三屆1024國際資管科技開發者大會上表示,上交所將持續推進金融創新,不斷提升服務高水平科技自立自強的能力和水平,助力上海國際金融中心和資管中心建設。據介紹,上交所依托上證云基礎設施,聯合上海資產管理協會共同打造“資管云”。基于“上證云”云鏈一體化基礎設施建設以及證券期貨業區塊鏈聯盟的運營支持,上交所將在資產管理行業科技產業鏈建設、資產管理公司數字化治理、智能投顧等創新應用場景方面展開試點合作,為資產管理產品創新、金融服務升級等提供支撐。[2022/12/18 21:52:21]

我們都知道,一般來說一個比特幣地址對應一個私鑰,動用這個地址中的資金需要私鑰的持有者發起簽名才行。而多重簽名技術,簡單來說,就是動用一筆資金時需要多個私鑰簽名才有效。多簽的一個優勢就是可以多方對一筆付款一起達成共識,才能支付成功。

直播|Ruby > 跨界區塊鏈后那些有趣的事兒:金色財經 · 直播主辦的《 幣圈 “后浪” 仙女直播周》第5期20:00準時開始,本期“后浪”仙女 鏈聞 市場負責人Ruby將在直播間聊聊“跨界區塊鏈后那些有趣的事兒”,感興趣的朋友掃碼移步收聽![2020/6/19]

雙花攻擊

Double Spend Attack

雙花攻擊(Double Spend Attack)即一筆錢花了兩次,雙重支付,利用貨幣的數字特性兩次或多次使用“同一筆錢”完成支付。雙花不會產生新的 Token,但能把自己花出去的錢重新拿回來。簡單說就是,攻擊者將一筆 Token 轉到另外一個地址,通常是轉到交易所進行套現,然后再利用一些攻擊手法對轉賬交易進行回滾。目前有常見的幾種手法能夠引發雙花攻擊:

1. Race Attack

這種攻擊主要通過控制礦工費來實現雙花。攻擊者同時向網絡中發送兩筆交易,一筆交易發給自己(為了提高攻擊成功的概率,他給這筆交易增加了足夠的礦工費),一筆交易發給商家。由于發送給自己的交易中含有較高的手續費,會被礦工優先打包進區塊的概率比較高。這時候這筆交易就會先于發給商家的那筆交易,那么發給商家的交易就會被回滾。對于攻擊者來說,通過控制礦工費,就實現了同一筆 Token 的“雙花”。

動態 | 澳大利亞計算機協會發布“澳大利亞區塊鏈挑戰 ”報告:澳大利亞計算機協會本周發布了“澳大利亞區塊鏈挑戰 (Blockchain Challenges for Australia)”報告,報告研究了區塊鏈技術在被廣泛采用之前必須克服的技術,法律和教育障礙。報告作者悉尼大學的Vincent Gramoli博士表示,區塊鏈在成為主流技術之前還有一段路要走,必須解決可擴展性,安全性,監管和就業問題。我們已經看到區塊鏈存在可擴展性問題。例如,比特幣區塊鏈的速度還不夠快,無法應對一段時間內所要求的交易量,而且它不是為了擴展而設計的。采礦業的競爭性導致大量非生產性用電 - 據估計每年高達61.4TWh,這足以為整個國家提供電力。報告指出,比特幣的電力需求超過了整個新南威爾士州,一個區塊的電力需求足以滿足29戶家庭一天的用電需求。研究發現,截至今年1月,比特幣區塊鏈的存儲容量超過了197GB,超過了大多數移動設備的存儲容量,這意味著并非所有設備都能完全參與區塊鏈。報告還審查了圍繞區塊鏈和智能合約的未解決的法律和監管問題,呼吁在澳大利亞進行更明確的監管,并指出目前“代碼”在多大程度上可被視為雙方之間的法律協議仍然不明確,未經法庭審判。[2019/5/21]

2. Finney Attack

動態 | 網絡安全公司Forcepoint已獲區塊鏈相關專利:據Cointelegraph報道,美國合眾國專利商標局(USPTO)4月16日公布的文件顯示,總部位于德克薩斯州的網絡安全公司Forcepoint已經獲得了區塊鏈相關專利。根據文件描述,該專利是一個用戶行為監控和管理系統,目標是存儲用戶交互數據,并利用此數據對用戶行為進行識別從而提升網絡安全性。據悉,Forcepoint由美國國防承包商Raytheon和私募股權公司Vista Equity Partners所有,Crunchbase估計其年收入為6億美元。[2019/4/22]

攻擊者主要通過控制區塊的廣播時間來實現雙花,攻擊對象針對的是接受 0 確認的商家。假設攻擊者挖到區塊,該區塊中包含著一個交易,即 A 向 B 轉了一定數量的 Token,其中 A 和 B 都是攻擊者的地址。但是攻擊者并不廣播這個區塊,而是立即找到一個愿意接受 0 確認交易的商家向他購買一個物品,向商家發一筆交易,用 A 向商家的地址 C 支付,發給商家的交易廣播出去后,攻擊者再把自己之前挖到的區塊廣播出去,由于發給自己的交易先于發給商家的交易,對于攻擊者來說,通過控制區塊的廣播時間,就實現了同一筆 Token 的“雙花”。

動態 | 俄羅斯聯邦儲蓄銀行為區塊鏈等行業初創企業推出加速器計劃:據finextra報道,俄羅斯聯邦儲蓄銀行(Sberbank)與國際加速器500 Startups合作,為在金融科技和電子商務等領域工作的新創立的俄羅斯IT公司推出一項IT加速器計劃。區塊鏈領域的初創企業可以參加此次活動。該組織將選出25支最強隊伍,每家創業公司都將獲得高達1000萬盧布的種子投資。[2018/9/7]

3. Vector76 attack

Vector76 Attack 又稱“一次確認攻擊”,也就是交易確認一次后仍然可以回滾,是 Finney Attack 和 Race Attack 的組合。

攻擊者創建兩個節點,節點 A 連接到商家節點,節點 B 連接到區塊鏈網絡中的其他節點。接著,攻擊者用同一筆 Token 發起兩筆交易,一筆交易發送給商家地址,我們稱為交易 1;一筆交易發送給自己的錢包地址,我們稱為交易 2。與上面說的 Race Attack 一樣,攻擊者對交易 2 添加了較高的礦工費從而提高了礦工的打包概率,此時,攻擊者并沒有把這兩筆交易廣播到網絡中去。

接著,攻擊者開始在交易 1 所在的分支上進行挖礦,這條分支我們命名為分支 1。攻擊者挖到區塊后,并沒有廣播出去,而是同時做了兩件事:在節點 A 上發送交易 1,在節點 B 上發送交易 2。

由于節點 A 只連接了商家節點,所以當商家節點想把交易 1 傳給其它對等節點時,連接了更多節點的節點 B,已經把交易 2 廣播給了網絡中的大部分節點。于是,從概率上來講,交易 2 就更有可能被網絡認定為是有效的,交易 1 被認定為無效。

交易 2 被認為有效后,攻擊者立即把自己之前在分支 1 上挖到的區塊,廣播到網絡中。這時候,這個接受一次確認就支付的商家,會確認交易成功,然后攻擊者就可以立即變現并轉移資產。

同時,由于分支 2 連接的更多節點,所以礦工在這個分支上挖出了另一個區塊,也就是分支 2 的鏈長大于分支 1 的鏈長。于是,分支 1 上的交易就會回滾,商家之前支付給攻擊者的交易信息就會被清除,但是攻擊者早已經取款,實現了雙花。

4. 51% attack

攻擊者占有超過全網 50% 的算力,在攻擊者控制算力的這段時間,他可以創造一條高度大于原來鏈的新鏈。那么舊鏈中的交易會被回滾,攻擊者可以使用同一筆 Token 發送一筆新的交易到新鏈上。

目前已知公鏈安全事件的攻擊手法多為 51% 攻擊,截止發稿日由于攻擊者掌握大量算力發起 51% 攻擊所造成的損失共 19,820,000 美金。2019 年 1 月 6 日,慢霧區預警了 ETC 網絡的 51% 算力攻擊的可能性,據 Coinbase 博客報道該攻擊者總共發起了 15 次攻擊,其中 12 次包含雙花,共計被盜 219,500 ETC(按當時市價約為 110 萬美元),攻擊者經過精心準備,通過租借大量算力向 ETC 發動了 51% 攻擊,累計收益超 10 倍,Gate.io、Yobit、Bitrue 等交易所均受到影響。所幸在整個 ETC 生態社區的努力下,一周后攻擊者歸還了攻擊所得收益,幸而沒有造成進一步的損失。

軟分叉 Soft-fork

軟分叉(Soft-fork)更多情況下是一種協議升級,當新共識規則發布后,沒有升級的舊節點并不會意識到代碼已經發生改變,而繼續生產不合法的區塊,就會產生臨時性分叉,但新節點可以兼容舊節點,即新舊節點始終在同一條鏈上工作。

硬分叉 Hard-fork

硬分叉(Hard-fork)是區塊鏈發生永久性分歧,在新共識規則發布后,已經升級的節點無法驗證未升級節點產生的區塊,未升級節點也無法驗證已經升級的節點產生的區塊,即新舊節點互不兼容,通常硬分叉就會發生,原有正常的一條鏈被分成了兩條鏈(已升級的一條鏈和未升級的一條鏈,且這兩條鏈互不兼容)。

歷史上比較著名的硬分叉事件是 The DAO 事件,作為以太坊上的一個著名項目,由于智能合約的漏洞造成資金被黑客轉移,黑客盜取了當時價值約 6000 萬美元的 ETH,讓這個項目蒙受了巨大的損失。為了彌補這個損失,2016 年 7 月,以太坊團隊修改了以太坊合約代碼實行硬分叉,在第 1920000 個區塊強行把 The DAO 及其子 DAO 的所有資金全部轉到一個特定的退款合約地址,進而“奪回”了黑客所控制 DAO 合約上的幣。但這個修改被一部分礦工所拒絕,因而形成了兩條鏈,一條為原鏈(以太坊經典,ETC),一條為新的分叉鏈(ETH),他們各自代表了不同社區的共識和價值觀。

Tags:區塊鏈ACKTACATT區塊鏈幣幣交易SNACK價格TacoswapWATTTON

DYDX
什么是比特幣期貨?_太空鏈

前言:經常有讀者問什么是比特幣期貨?它對加密貨幣價格影響大嗎?本文是對比特幣期貨的簡介,適合初學者了解什么是比特幣期貨,了解它為什么會對加密貨幣市場價格產生影響.

1900/1/1 0:00:00
信仰就是力量?詳解去銀行化金融系統 BanklessDAO 的商業模式_BAN

本文由公眾號“老雅痞”laoyapicom授權轉載如果這世界上存在另一個老雅痞的話,那么我會第一個給大家提名Bankless.

1900/1/1 0:00:00
區塊鏈安全入門筆記(一) | 慢霧科普_KEY

雖然有著越來越多的人參與到區塊鏈的行業之中,然而由于很多人之前并沒有接觸過區塊鏈,也沒有相關的安全知識,安全意識薄弱,這就很容易讓攻擊者們有空可鉆.

1900/1/1 0:00:00
伊能靜站臺的跨性別概念NFT即將發行 能否爆紅?_VERS

去年可以說是皆為NFT著迷的一年,有許多優秀的數字藝術創作者就算還沒發行自己的藝術NFT,也都一窩蜂加入市場入手了不少有趣的收藏品.

1900/1/1 0:00:00
了解“公開叫囂”以太坊的Avalanche子網:支持自定義 著力GameFi、合規性_AVA

Avalanche子網支持自定義驗證節點的數量和參與條件,同時還支持自定義網絡的Gas代幣,目前處于發展初期,未來將重點發展GameFi和機構合規性產品.

1900/1/1 0:00:00
跨鏈DEX巡禮:Zenlink如何聚合波卡生態內的流動性_LINK

在區塊鏈的多鏈格局下,DEX如何捕獲多條鏈的資金量,是個長久的話題。DEX也都各顯神通,發展出多種不同模式,目前的跨鏈DEX,歸納起來大體有三類:1)依靠各條成熟公鏈,捕獲單鏈內大量資金,如Su.

1900/1/1 0:00:00
ads