什么是重放攻擊?
重放攻擊是計算機網絡中常見而古老的攻擊手段。在區塊鏈中,重放攻擊特指在硬分叉中,攻擊者將一條鏈上的交易拿到另一條鏈上“重放”,從而獲取不正當利益的攻擊手段。這畢竟是一個技術概念,小白可能不容易理解,為了解釋清楚,我們用一個真實案例來說明重放攻擊具體是如何實施的。這個真實案例出自大名鼎鼎的以太坊TheDAO分叉事件。
TheDAO是以太坊上發起的一個眾籌項目,它運行在智能合約上。由于智能合約存在某種漏洞,黑客轉走了合約內管理的價值數千萬美元的以太幣。為了挽回損失,以Vitalik為首的大部分社區意見支持分叉以實現交易回滾,于是通過硬分叉形式發起了一條新鏈。然而另一部分社區意見則認為不應該回滾,仍舊維護原有的區塊鏈。這導致以太坊分裂成新鏈和原鏈兩條不同的區塊鏈。
安全團隊:slack使用者注意漏洞事件相關的郵件釣魚和撞庫等風險:8月11日消息,據慢霧安全團隊,近期slack團隊修復了用戶在創建或撤銷其工作區的邀請鏈接時會將用戶的密碼哈希發送給其他工作區的成員的漏洞。此漏洞影響了在2017年4月17日至2022年7月17日期間進行創建或撤銷其工作區的邀請鏈接操作的所有用戶。
目前slack團隊已經強制重置了受影響用戶的密碼,慢霧安全團隊提醒相關slack使用者注意關于此事件相關的郵件釣魚、撞庫等風險,及時修改與slack使用的密碼一致的其他賬戶密碼。[2022/8/11 12:18:51]
那么重放攻擊又是怎樣實施的呢?我們假設小明在分叉前持有500個ETH。分叉以后,小明的地址下就同時持有500個ETH和500個ETC,因為這個A地址在兩條鏈上都是存在的。由于小明是堅定的分叉支持者,因此小明只看好ETH未來的發展,覺得ETC肯定要歸零。此時小剛找到小明,提議以低價購買小明手中的ETC。小明便將手中的500個ETC全部轉賬到了小剛的地址。
分析 | BTC現貨四小時周期形成綠色TD9 請注意回調可能:剛剛,BTC八點的四小時周期收跌,并形成綠色TD9。綠色TD9指連續出現9根K線,其收盤價都高于各自之前第四根K線,形成一個完整的TD賣出結構,價格可能出現反轉。該周期最近5次綠色TD9出現5%以上反轉的概率為80%。[2020/1/15]
前面聽起來沒什么不對勁吧,然而小明沒有想到的是,小剛反手就把這筆ETC的轉賬交易發到了ETH的網絡上。由于ETH、ETC是分叉的產物,因此兩者交易結構、密碼學體系都是一致的,ETC鏈上的交易在ETH鏈上也一樣可被識別,因此這筆交易就會被驗證上鏈,最終的結果是ETH鏈上的A地址也轉出了500個ETH到B地址去。小剛假意低價收購ETC,卻成功騙取了小明所有的ETH,小明自然是虧大發了!
如何防范重放攻擊?
動態 | 日本加密交易所相繼出現IDN欺騙攻擊 提醒用戶注意密碼被盜:據Coinpost消息,近日以日本加密貨幣交易所為目標的釣魚欺詐事件頻出,一些誘導和非法廣告偽裝成日本國內的交易所進行IDN欺騙攻擊。GMO Coin和remixpoint提醒用戶,小心非法廣告騙取用戶交易所ID及密碼等重要信息。[2019/3/11]
我們可以看到,小剛問小明收購ETC這個行為,本身沒有問題;小明將手中的ETC轉賬給小剛這個行為,也沒有任何問題。真正出問題的地方在于,由于ETH和ETC兩條鏈使用了完全一致的交易結構和密碼學體系,導致在ETC上有效的交易在ETH上也同樣有效。這就給了攻擊者可乘之機。攻擊者可以將ETC上的一筆有效的交易“重放”到ETH的鏈上,仍可形成一筆有效的交易,然而這筆被重放的交易并不是交易者本人的真實意愿,因此容易被攻擊者利用而造成資產損失。
動態 | 項目方需多注意安全體系的持續性建設:據IMEOS報道,跟據慢霧的威脅情報分析,熊市的攻擊可能會加劇,我們估計幾個原因:1. 地下黑客一樣會覺得牛市會來;2. 地下黑客的工作模式是產業化的,只要數字貨幣相關項目方在,攻擊就沒理由停止;3. 數字貨幣相關項目方可能會因為熊市而懈怠了安全體系建設。[2018/12/10]
大家可能會有一個疑問:那豈不是在分叉后的鏈之間,比如ETH和ETC之間、BTC和BCH之間,做的所有交易都是有可能被“重放”的?事實上,重放攻擊的實施是需要一系列嚴苛條件的。只有在剛分叉完畢的一段時間內,兩條鏈才能夠保持共享幾乎相同的鏈上數據的狀態,最容易發生重放攻擊;一旦運行一段時間,兩條鏈上分別有了新的數據輸入,將一條鏈的交易重放到另一條鏈的可行性就大大減弱了。
從防范重放攻擊的角度,我們可以總結一些規律。首先,大家要意識到,重放交易本身不是一種Bug,并不能直接竊取您的資產,重放攻擊一定是配合或結合其他惡意行為進行的。就好像我們剛才提到的小明賣ETC案例中,一定是有小剛這樣的角色實施了“假意低價收購ETC、實則圖謀ETH”的欺詐行為。如果您在分叉之后的一段時間內保持警惕,時刻意識到您在新鏈上的交易有可能被重放到原鏈,就可以杜絕絕大多數與之相關的欺詐行為。
分析 | 金色盤面:BTC/USD注意通道上軌壓力:金色盤面綜合分析:BTC/USD30分鐘線圖,在下降通道中得到支撐,目前開啟第二次攻擊,重點觀察成交量的放大情況,和上軌壓力線能否突破。[2018/8/12]
我們介紹兩種具體的防范手段。第一種是在分叉后購買極少量“新鮮的幣”到您的地址內。所謂“新鮮的幣”是指那些在分叉高度以后挖礦產出的幣,這些幣在另一條鏈上并不存在,因而當交易的input引用到它們時,這筆交易就不可能被另一條鏈所驗證。第二種是在分叉后將您所有地址內的幣歸結到一個新生成的地址。這也就是所謂的“騰籠換鳥”,可以減少攻擊者在另一條鏈重放交易的可行性;如果您按順序結合使用兩種方法,基本可以免除遭受重放攻擊的可能性。
Lava團隊關于分叉期間的風險提示和相關建議
首先,我們特別提醒,本次PoC2+升級使用硬分叉方式,有可能形成兩條鏈,即一條升級協議后的“新鏈”、一條仍運行舊協議的“原鏈”。這是區塊鏈的特性所致,只要原有的協議有算力維護,那么原鏈也可以保留下來。Lava技術團隊聲明,升級完成后我們不會對運行舊協議的原鏈進行任何維護和開發工作。
因此,我們首先建議社區用戶務必在分叉前更新您手中的所有全節點或錢包軟件版本。您可以前往官網下載最新版本的軟件,并在升級指南頁面檢查您的軟件版本是否為最新。如果您沒有及時更新,仍在使用舊版本的錢包,可能會造成混淆和誤操作。
其次,我們建議您在沒有把握的情況下,分叉后短期內謹慎與第三方進行轉賬活動。分叉后可能有人提出收購您在原鏈的LV資產,您需要特別意識到交易存在被重放的風險。
Lava技術團隊可能計劃在分叉完成后,向所有持有LV余額較大的地址轉賬少量金額的“新鮮LV”,以減少攻擊者實施重放攻擊的可行性。我們建議所有持有大額LV資產的用戶,在接收“新鮮LV”轉賬后,將持有的LV歸集到一個新的地址。
教學:如何做歸集交易
歸集交易就是將您錢包內分散在各個地址下的資金統一發送到一個地址下的交易。該地址應當是一個由您的錢包控制的、最好是沒有使用過的地址。在分叉后進行一次資金歸集,能夠減小被重放攻擊的可能性。
如果您使用帶有界面的錢包,例如輕錢包、GUI錢包:
此處以GUI錢包為例,其他帶有界面的錢包的操作方法類似。在“接收”界面點擊“請求付款”,錢包會自動展示一個收款地址,如下圖所示。
復制該地址,前往“發送”界面,將錢包內所有資金發送至該地址即可。您可以預先瀏覽您的錢包余額并填寫需要發送的資金數額,或者在發送交易時直接勾選“發送全部余額”以保證所有余額都得到歸集。
如果您使用全節點錢包:·使用getbalance查看錢包內的總余額;·使用getnewaddress生成一個新地址;·使用sendtoaddress將錢包內的所有余額轉賬到新地址內。注意:要考慮留出交易手續費,因此可以在轉賬之前先設置settxfee0.001,然后將剩余余額通過sendtoaddress轉入歸集地址。
Lava官網鏈接:www.lavatech.orgGithub:https://www.github.com/lavaio
新型冠狀病肺炎疫情不幸在武漢開始爆發,全國眾志成城抗擊疫情,但在這過程中也暴露了諸多不足。這涉及到一個重大公共事件治理方式問題,是一個社會難題,那么區塊鏈能否提高重大公共事件的依法治理能力呢?.
1900/1/1 0:00:00作者:互鏈脈搏·元尚,原題《國務院最早提出設立“吹哨人”的文件也提到要用區塊鏈》“戰疫”是當下中國乃至全球的重大事件,人與病沒有硝煙的戰爭可能從人類誕生就已經開始,但人類的武器庫多了很多工具.
1900/1/1 0:00:00作者:OKEx分析師秀秀編者注:原標題為《區塊鏈助力公益慈善研究報告》 目錄: 一.公益慈善事業介紹 1.1公益慈善事業結構 1.2互聯網慈善3.0 二.區塊鏈賦能公益慈善可行性分析2.
1900/1/1 0:00:00來源:加密谷Live 作者:Hasu 翻譯:Lisa 市場是人們可以相互交換商品和服務的場所。即使所有的參與者都只考慮自己的利益,價格發現仍使市場能夠有效地將資源分配給社會中最有價值的用途.
1900/1/1 0:00:00疫情就是一面照妖鏡,讓妖魔鬼怪全部現了原型,關注多了,鬧心。這一段時間以來,我們對未來經濟不確定性的恐慌焦慮,害怕中小企業撐不住,擔心失業潮降臨;我們對社會眾生相暴露出來之后丑陋面,在網上進行激.
1900/1/1 0:00:00前言:ETH2.0有很多新內容新術語,對于剛接觸的讀者來說,會有不少疑惑。本文簡要地將其中比較常用的術語進行簡單闡述,以幫助大家理解。本文適合ETH2.0的初學者閱讀.
1900/1/1 0:00:00