金色觀察丨風險無處不在 Chainlink節點攻擊分析_INK

金色財經區塊鏈9月8日訊??“預言機”服務提供商Chainlink在去中心化金融領域扮演著非常重要的角色，它向去中心化交易所、錢包、去中心化金融協議聚合服務提供商提供喂價服務。然而就在八月底，九個Chainlink節點運營商遭到所謂“垃圾郵件攻擊”，攻擊者從他們的“熱錢包”中獲取了大約700枚ETH。

到目前為止，已知的九個受影響的Chainlink節點運營商分別是：T-Systems、01Node、AnyblockAnalytics、B-Harvest、ChainLayer、Everstake、FigmentNetwoks、LinkPool、以及Chainlink自己。

由于Chainlink節點運營商錢包余額在很大程度上取決于各自的內部政策，因此有的運營商錢包里資產超過50ETH，而有的運營商錢包里只有2-3ETH，如果攻擊者運氣好的話極可能攫取更多收益。

金色財經CEO安鑫鑫：以太坊的核心問題在于C端成本過高，B端盈利與公鏈無關:金色財經現場報道，4月25日，2021新基建區塊鏈峰會在成都舉辦。在分布式存儲新時代分會場上，金色財經CEO安鑫鑫以《換個角度 看待區塊鏈挖礦產業》為題進行分享。他指出，比特幣是全球每個人都可以參與共建、共同治理的一個記賬程序。而以太坊的目的是讓全球共同參與共建一個完全去中心化的操作系統。但以太坊的設計并不完美，因為它沒有把鏈上的項目和公鏈設計得更加相得益彰。現階段，以太坊最核心的問題在于C端成本過高，而B端盈利與公鏈無關。另外，POS共識算法下的公鏈，容易形成單邊倒的問題，不利于新人入場，代幣越來越集中，無法生態共建。[2021/4/25 20:55:57]

據悉，本次攻擊是通過簡短的垃圾郵件來進行的，它利用了節點響應查詢漏洞，而且還涉及一個與該網絡交易成本相關的代幣和該代幣的使用方式，整個時間持續了約兩小時。攻擊者通過發送有效的價格請求，導致節點運營商不得不支付大量以太坊交易費用，也就是gas費。以太坊上的gas價格是以“gwei”計價，攻擊者通過抬高這些預言機上的gas費用價格迫使他們用更高成本鑄造Chi代幣，這些代幣通常用于支付價格較高的gas費用，但當gas費用被抬高之后，攻擊者此時可以拋售Chi代幣來換取ETH并以此獲利。據消息人士透露，惡意攻擊者最終使用了基于以太坊的交易混合器TornadoCash來掩蓋非法所得的以太坊代幣轉移路徑。

金色午報 | 9月12日午間重要動態一覽:7:00-12:00關鍵詞：韓國、Celer Network、SuShi、上海

1. 韓國首爾地方政府官員提議建立該國首個區塊鏈投票平臺；

2. 二層擴容項目Celer Network啟動狀態守衛者網絡測試網第二階段；

3. SuShi社區啟動0xMaki全職領導項目投票，東京時間晚8點前和社區共同起草最終條款；

4. Coinbase首席執行官：蘋果的App Store規定扼殺了加密貨幣領域的創新；

5. 交易所比特幣凈流入量昨日呈上升趨勢；

6. 上海閔行搗毀一個以投資虛擬幣為名實施詐騙的犯罪團伙；

7. YFI-YIP8提案發起人老白：DeFi不適合普通用戶參與；

8. 以太坊鏈上比特幣錨定幣發行量達近8萬枚；

9. Paxful俄羅斯市場負責人：俄羅斯新加密法案不夠明確。[2020/9/12]

通常情況下，Chainlink會通過節點運營商將DeFi代幣價格發送到區塊鏈智能合約上，因為按照設計規則，智能合約是無法與外部系統進行通信的，節點運營商會因為相關工作獲得報酬，比如Chainlink使用其原生代幣LINK來支付費用。但惡意攻擊者可以使用節點運營商的備用gas來挖掘Chigas代幣，該代幣是由去中心化交易所聚合服務提供商1inch.Exchange創建的。Chi是一種代幣化的gas費用形式，旨在對沖彈性波動的gas費用。Chi被稱作是目前市場上流動性最高的gas代幣，該代幣在1inch自動化做市商協議Mooniswap中擁有巨大流動性，而這或許也是惡意攻擊者選擇它的主要原因。

金色財經挖礦數據播報 | BCH今日全網算力下降11.38%:金色財經報道，據蜘蛛礦池數據顯示：

BTC全網算力120.659EH/s，挖礦難度17.35T，目前區塊高度639569，理論收益0.00000792/T/天。

ETH全網算力190.784TH/s，挖礦難度2385.03T，目前區塊高度10473868，理論收益0.00895807/100MH/天。

BSV全網算力2.528EH/s，挖礦難度0.32T，目前區塊高度644017，理論收益0.00035595/T/天。

BCH全網算力2.851EH/s，挖礦難度0.40T，目前區塊高度644221，理論收益0.00031563/T/天。[2020/7/17]

本次攻擊不僅導致了上述九個節點運營商耗盡了自己錢包內所有以太坊代幣，同時在攻擊期間他們也無法響應和滿足數據請求。因為一旦節點運營商耗盡了自己的以太坊代幣，他們就不能再為交易付費，也就無法響應請求或在鏈上提供數據，基本上處于癱瘓狀態。然而不幸的是，大多數受影響的節點運營商當時并未察覺到這是一次攻擊事件，他們只是簡單地以為當天交易量過大造成gas費用高峰，因此都選擇了繼續向錢包內充值以補足gas“燃料”，可是所有新注入的資金也很快都被耗盡。Chi代幣奇怪的鑄造方式很快被Chainlink團隊發現了，于是安全團隊開始打補丁，之后通過白名單解決方案，通過只滿足白名單上的請求而同步阻止其他所有未列入白名單的請求方最終解決了問題。不過，白名單只能算是一種臨時解決方案，如果想要獲得一個永久性解決方案，Chainlink需要在節點運營商更改系統之前找到“與實際數據使用者的共同點”。

金色晨訊 | 工信部將從五方面推動區塊鏈技術發展 IBM與阿塞拜疆央行合作:1.IMF：加密資產持續快速增長或為國際金融體系帶來新弱點。

2.工信部總經濟師王新哲：工信部將從五方面推動區塊鏈技術健康成長。

3.中東由中央銀行支持的加密交易所Rain Financial有望于2019年啟動。

4.中國金融雜志：支持國內機構發行人民幣穩定幣。

5.IBM與阿塞拜疆中央銀行將合作，在該國經濟中實施區塊鏈技術。

6.馬云：區塊鏈技術是一項強大的創新，可以實現無現金社會。

7.瑞士杜卡斯貝銀行推出以太坊差價合約。

8.福布斯準備將來把所有內容全部轉移到區塊鏈上。

9.V神：正積極實施多條路線緩解中心化問題。[2018/10/10]

盡管Chainlink確認了本次攻擊，但其官方未披露損失了多少以太坊以及受影響的節點運營商數量，且對其描述為對網絡進行垃圾郵件的“失敗嘗試”。Chainlink表示，盡管這種垃圾郵件攻擊的確需要Chainlink節點花費更多以太坊，但當網絡開始正確處理垃圾郵件之后，攻擊影響便很快消除了。在垃圾郵件請求攻擊初期，通常需要網絡消耗較多資源，直到相關請求被識別為垃圾郵件。這次對Chainlink的垃圾郵件攻擊其實是一次失敗的嘗試，對整個區塊鏈和網絡并沒有產生實質性影響。這種試圖想Chainlink網絡發送垃圾郵件的失敗嘗試證明Chainlink網絡已經變得越來越有彈性。

金色財經獨家分析 區塊鏈在學界重視度進一步提升:全球首個區塊鏈技術管理工商管理博士開始招生、招商證券博士后科研工作站開始招生、浙大金秋首開區塊鏈課程、北航探討研究生階段設立區塊鏈專業等一些列來自高校，學界的區塊鏈新動向體現出學界正在加速區塊鏈教育和科研布局，區塊鏈也因此加快理論系統化的進程。在教育過程中企業與學界的深度融合也將增強教育和研究的實用價值，促進行業統一標準的制定和進一步的規范化。教育、研究的提高也將促進區塊鏈社會普及度和認可度，為剔除行業的不利因素，促進健康發展提供新的動力。[2018/5/17]

客觀地來說，這次攻擊的確對Chainlin網絡沒有任何實質性影響，因為未受影響的節點運營商仍然可以繼續提高喂價數據。比如，ETH/USD官方喂價需要大約25或28個數據提供者，因此當九個節點運營商出現問題時，其他節點運營商仍然足以更新喂價數據。但是如果這次攻擊影響了大約一半的Chainlink節點運營商，那么在沒有足夠備份之前，喂價數據就會受到影響。

Chainlink一方面堅持認為攻擊行為基本上在預期之中，不會影響其網絡，一方面也在與一些遭到攻擊且熱錢包內沒有足夠以太坊代幣的官方錢包運營商合作，據悉損失資金范圍在10-20枚ETH的節點運營商可以獲得補充資金支持，因為他們使用了自動補充資金腳本引發的資金耗盡，不過并不確定是否所有節點運營商都可以得到補償。

值得一提的是，就在本次攻擊前，Chainlink節點運營商CertusOne也曾在短短幾天內遭遇過數千美元的損失。不過該節點運營商首席執行官HendrikHofstadt向用戶保證他們是絕對不會受到影響的。整個系統也就是被稱為聚合器的智能合約并沒有發生變化，只是進行了更新，這些聚合器運營商會給節點運營商付款。包括Chainlink在內的絕大多數數據使用者其實都是向節點運營商支付費用的，然后他們的去中心化應用程序就可以免費在鏈上訪問價格數據，當然實際上每個人都可以免費訪問這項喂價數據。

與此同時，HendrikHofstadt還表示gas價格上漲是這次攻擊的主要誘因。他認為在正常情況下利用Chainlink漏洞的惡意攻擊者其實不算“幸運”，因為gas代幣通常不是百分比有效，直到有足夠的請求需要被回應，惡意攻擊者才算不虧損，但這種做法又會將gas價格推高到可以賺錢的地步，這與服務拒絕攻擊非常類似。而且執行這種攻擊成本會非常昂貴，并不會給攻擊者帶來任何可觀的利潤。

不過，加密社區依然認為這種類型的攻擊會給節點運營商帶來風險，因為一旦攻擊被實施，就會犧牲誠實行為者賺取利潤的時間，網絡本身因此也會付出巨大代價。

本文部分內容來自TheBlock

Tags：CHAAININKLINKKanga Exchange Tokendongdongchaintronlink錢包怎么充值BLINK

DYDX