代币区块链不安全,研究人员演示51%攻击

代币区块链不安全,研究人员演示51%攻击

个多星期前,研究人员在Reddit上留言,为了“给大家科普区块链知识”承诺对一种名为Einsteinium(EMC2)的小型加密货币的区块链进行51%攻击并在Twitch直播,向全世界展示整个过程是多么轻松惬意。

最终,他也的确遵守了承诺。周末他设法控制了一种非主流的加密货币——比特币私人(BTCP)70%左右的网络。他向观众们网络直播了这一过程。

比特币私人/Bitcoin Private

比特币私人(BTCP)是私密的、去中心化的、高速且开源的社区主导加密货币。Bitcoin Private和比特币一样,支持无需中介的个人与个人之间直接交易。所有交易支付将会通过密码学被各个网络节点验证并在公共记账薄上存档。Bitcoin Private将使用和ZClassic (zk-snarks)同样的私密性技术。Rhett Creighton是项目主要开发者。代币区块链不安全,研究人员演示51%攻击

代币区块链不安全,研究人员演示51%攻击

Bitcoin Private与比特币、比特币现金以及比特币黄金的比较

51%攻击所谓何物?

首先,我们一起来了解一下,51%攻击是什么?

2018年上半年,几种加密货币都不幸沦为了所谓的51%攻击的受害者,这恰恰表明了一个事实:并非所有区块链网络都像它们声称的那么安全、牢不可破。

代币区块链不安全,研究人员演示51%攻击

51%攻击又叫大多数攻击,是指恶意矿工控制了区块链网络50%以上的哈希率(hashrate,即算力),随后对网络发动攻击。接管区块链网络让不法分子得以逆转交易、停止支付或者防止新交易予以确认。在加密货币的世界里,对网络挖掘能力(哈希率)的控制越多,影响交易的机会就越大,例如扭转它们的完成过程(双重支出)或阻止确认。

最重要的是,这还让不法分子得以进行重复支付(double spending),从而从网络获取“免费”资金,然后可以拿到交易平台上出售以换取其他加密货币,因而使攻击实现“兑现”。想进行重复支付,攻击者就得将代币存入到交易平台上,并存入到个人钱包中。一旦交易平台承兑存入的代币,攻击者就会洗钱,兑换成比特币或其他加密货币,然后可以提取到个人钱包中。攻击者会尽可能多次地尝试这么做,直到网络的开发人员意识到网络受到了攻击,通知交易平台应对攻击,并找到解决问题的方法。

51%攻击只能针对采用工作量证明(PoW)机制的加密货币,即需要矿工计算复杂数学计算以确认交易并保护网络安全的那些区块链网络上。

51%攻击之前被错误地认为主要是区块链网络面临的理论上的威胁,实际网络不太可能面临这种威胁,原因是通过获得50%以上的网络哈希率来接管网络的成本被认为对于不法分子来说过高,因而不可能得逞。虽然对比特币网络来说可能是这种情况,但是对小规模的山寨币/代币(altcoin)来说不是这种情况,但即使一些较大的代币网络也很容易受到这种攻击的影响,我们在过去已见过这一幕。

另一个“倒霉蛋”Verge,受到三次51%攻击

说到51%攻击,没有哪个加密货币项目像关注隐私的数字货币Verge(VXG)这样频频上头条。自今年年初以来,Verge已受到了三次51%攻击。

据报道,4月4日,Verge网络首次遭到51%攻击。据Bitcointalk的论坛用户ocminer声称,一个恶意矿工能够利用伪造的时间戳开采区块,从而诱骗网络以为新的区块是一小时前开采的,那样下一个开采的区块立即添加到网络时,它也添加到区块链上。这让攻击者得以每秒开采一个区块,居称共开采了250000个XVG。

Verge团队以推文来回复,声称“今天早上我们遇到了一次小规模的哈希攻击,持续了大约3个小时,现在已被清除。我们在未来会对这种性质的系统实行更多的冗余检查!$XVG #vergefam”,并启动了一个硬分叉(hard fork)来解决该漏洞。

然而,让攻击者诡计得逞的那个问题并没有得到彻底的解决,因为仅仅一个月过后,Verge遭到了另一次51%攻击。

5月22日,Verge区块链遭到了同一种类型的攻击,导致黑客每分钟能够开采25个区块,每分钟生成8250个VXG(价值920美元左右)。攻击造成的总损失为3500万XVG(170万美元)。

5月29日,发现了针对Verge网络的第三起可疑攻击,这表明Verge开发团队从来没能完全堵住漏洞,其挖矿网络的分布性不足以抵御将来的51%攻击。

GeoCold的直播一波三折

使用GeoCold的化名(命名灵感来自黑客George Hotz),该研究人员先是在Twitch平台上设置好了演示流程,但之后却因“尝试进行威胁行为危害他人”被禁止直播了,停播时已有超过750名观众收看了节目。无奈之下,他又转战到StreamMe平台,结果15分钟后同样被禁止使用该服务。

代币区块链不安全,研究人员演示51%攻击 代币区块链不安全,研究人员演示51%攻击

GeoCold在Twitch上的直播

代币区块链不安全,研究人员演示51%攻击

GeoCold的声明:被两个流媒体平台封禁后,将在Youtube上发布该演示流程

尽管过程曲折,GeoCold还是设法证明了他的观点:市值较小的加密货币很容易被攻击。在这方面,他并非是菜鸟,许多年前,他就曾做过这种类型的攻击。

GeoCold从攻击者的角度与我们分享了模拟攻击过程的详细信息,一共需要9个步骤才能完成:

1.准备两台运行相同加密钱包的服务器;

2.在其中一台服务器上设置一个矿池,我们称其为离线服务器;

3.将该服务器的加密钱包与网络上的所有节点断开连接;

4.从地址A(位于钱包/服务器上)发送一个交易到地址B,这只是我们拥有的任意地址;

5.以大于50%的加密货币哈希率开始挖掘采矿,这样我们可以始终获得比正常网络更长的区块链;

6.接下来,在另一台在线服务器/加密钱包上,我们将之前离线服务器上发送的现实金钱发送至一个交易所。等待存款通过,将其转换成另一种类似比特币的加密货币并取出;

7.到目前为止,我们的离线服务器上将有一个更长的区块链,其中包含的交易与我们刚刚发送到交易所的交易相冲突;

8.将离线服务器联机,这样全世界都能知道这个新推出的区块链,他们会愿意使用它,因为它比普通区块链要更长。他们于是会将他们的区块链与此区块链合并,然后发现一个相互冲突的交易(要么是到交易所的交易,要么是从钱包A到钱包B的交易)他们更倾向于选择从从钱包A到钱包B的交易,因为这是更长的区块链的一部分;

9.完成以上所有步骤,你就会惊讶的发现:你的钱翻倍了!

GeoCold向观众展示了前六步,然后离线完成了第七步。据他所说,本来可以展示所有完整的步骤,但他不想在没有观众的情况下完成演示。

针对小型加密货币的51%攻击成本低

对小型加密货币进行51%攻击的成本并不大,揭露这一现实的某个网站向我们展示了加密货币的收集,以及每个网络遭受这样一次攻击的理论成本。

攻击小型加密货币网络的成本要比攻击比特币网络低得多。为了说明发动51%攻击有多么容易,研究人员设立了一个名为Crypto51.app的新平台。Crypto51.app向用户表明对一系列加密货币资产发动51%攻击需要多大的成本。该平台的创建者从Mine the Coin提取哈希率、从CoinMarketCap提取加密货币价格、从NiceHash提取挖矿租金,以计算攻击的成本。

据Crypto51.app显示,令人有些震惊的是,攻击者花不了1000美元,就能对几个大名鼎鼎的代币成功实施51%攻击。虽然Crypto51.app的数据存在局限性,但它确实从侧面表明了小型加密货币的脆弱性。

“我认为人们需要了解这种攻击是多么容易实现,因为每当你谈到51%的攻击时,人们就会反驳称这根本不可能实现,并列出好几条原因。我在这里想证明的是,51%攻击是完全有可能实现的,那些加密货币开发者需要一直保持警惕,”GeoCold最后说到。

事实上,51%攻击并不罕见,特别是在使用像NiceHash这样的云挖矿服务时,NiceHash正是黑客进行大量51%攻击的平台。

当被问道是否存在某些措施能够有效阻止GeoCold演示的这种51%攻击,GeoCold明确表明是有办法的。通过完善检查点或混合股权证明(PoS),这将允许人们根据自己拥有的加密货币数量来挖掘或验证交易。

 

原创文章,作者:Drops,如若转载,请注明出处:http://www.mottoin.com/news/118522.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code