虽然有着越来越多的人参与到区块链的行业之中,然而由于很多人之前并没有接触过区块链,也没有相关的安全知识,安全意识薄弱,这就很容易让攻击者们有空可钻。面对区块链的众多安全问题,慢雾特推出区块链安全入门笔记系列,向大家介绍十篇区块链安全相关名词,让新手们更快适应区块链危机四伏的安全攻防世界!系列回顾:区块链安全入门笔记(一)|慢雾科普区块链安全入门笔记(二)|慢雾科普区块链安全入门笔记(三)|慢雾科普多签Multi-sig多签(Multi-sig)指的是需要多个签名才能执行的操作(这些签名是不同私钥生成的)。这可用于提供更高的安全性,即使丢失单个私钥的话也不会让攻击者取得帐户的权限,多个值得信赖的各方必须同时批准更新,否则无效。我们都知道,一般来说一个比特币地址对应一个私钥,动用这个地址中的资金需要私钥的持有者发起签名才行。而多重签名技术,简单来说,就是动用一笔资金时需要多个私钥签名才有效。多签的一个优势就是可以多方对一笔付款一起达成共识,才能支付成功。双花攻击DoubleSpendAttack
Fantom 基金会从 SushiSwap 上撤回了近 45 万枚 MULTI 的流动性:5月24日消息,据 Lookonchain 监测,Fantom 基金会地址从 SushiSwap 上撤回了 449,740 枚 MULTI(价值约 240 万美元)的流动性。[2023/5/24 22:15:10]
双花攻击(DoubleSpendAttack)即一笔钱花了两次,双重支付,利用货币的数字特性两次或多次使用“同一笔钱”完成支付。双花不会产生新的Token,但能把自己花出去的钱重新拿回来。简单说就是,攻击者将一笔Token转到另外一个地址,通常是转到交易所进行套现,然后再利用一些攻击手法对转账交易进行回滚。目前有常见的几种手法能够引发双花攻击:1.RaceAttack
数据:7000 万 USDT 从 Tether 金库转至 Bitfinex:12月15日消息,Whale Alert 数据显示,北京时间 10:44:51,7000 万枚 USDT 从 Tether 金库转至加密交易所 Bitfinex。[2022/12/15 21:46:26]
这种攻击主要通过控制矿工费来实现双花。攻击者同时向网络中发送两笔交易,一笔交易发给自己(为了提高攻击成功的概率,他给这笔交易增加了足够的矿工费),一笔交易发给商家。由于发送给自己的交易中含有较高的手续费,会被矿工优先打包进区块的概率比较高。这时候这笔交易就会先于发给商家的那笔交易,那么发给商家的交易就会被回滚。对于攻击者来说,通过控制矿工费,就实现了同一笔Token的“双花”。2.FinneyAttack
imToken Product Director产品总监:从 Layer2 账本本身看到潜在的商业模式:金色财经现场报道,7月9日,金色沙龙第66期Layer2-扩容“空间站”,探索更高维度的破局之道在杭州举办,imToken Product Director产品总监阿树演讲表示,如果我们认为区块链是世界账本,在此之上的Layer2不过是另外一份账本,那么我们应该寻找什么样的角度叙述 Layer2,才能触及原始的模样和看到未来的图景呢?账本会反映故事和商业,黄仁宇从《十六世纪明代之中国之财政与税收》看到明朝的衰败的缘由:税收低,货币不稳定才是导致衰败的起因。而记账形式的演进,从流水账到复式记账,让人类商业范围扩大和进化,那么作为世界账本的区块链会有什么样的未来?
所以我们可以从记账角度理解 Layer2 的本质模样,从 Layer2 账本本身看到潜在的商业模式。[2021/7/9 0:39:52]
攻击者主要通过控制区块的广播时间来实现双花,攻击对象针对的是接受0确认的商家。假设攻击者挖到区块,该区块中包含着一个交易,即A向B转了一定数量的Token,其中A和B都是攻击者的地址。但是攻击者并不广播这个区块,而是立即找到一个愿意接受0确认交易的商家向他购买一个物品,向商家发一笔交易,用A向商家的地址C支付,发给商家的交易广播出去后,攻击者再把自己之前挖到的区块广播出去,由于发给自己的交易先于发给商家的交易,对于攻击者来说,通过控制区块的广播时间,就实现了同一笔Token的“双花”。3.Vector76attack
实力派 | 范瑞彬:FISCO BCOS的设计逻辑主要从 5个方面出发:在今日“金色实力派”线上访谈中,针对海创链CEO张弢提出的“微众银行联合金链盟开源工作组研发并开源的FISCO BCOS的设计逻辑是什么?”的问题,微众银行分布式商业科技发展部副总经理、区块链负责人范瑞彬表示,FISCO BCOS在设计上主要从5方面出发考量:1、安全。全方位的安全防护(覆盖网络、主机、存储、应用等),要避免短板和破窗。同时针对联盟链的场景,专门支持了准入机制,CA认证、密钥管理等关键能力。2、隐私保护。完整支持了国密算法体系(包括SM1、SM2、SM3、SM4等)。同时支持了权限管理、群签名、环签名、同态加密、零知识证明等隐私保护功能。3、性能。在工信部信通院的评测中单链TPS超2w,而且还支持了并行计算和分布式存储,包括多链、跨链、热点账户、多群组等一整套完整的解决方案,具备灵活高效的平行扩展能力。4、易用,提供开源的中间件平台,让使用者更便利的学习上手、开发、调试、部署、运营、监控、审计等。5、可靠,架构设计上要达到金融级水准的高可靠性。除了架构设计本身保证可靠,通过开源,更多人可以使用,促进更多的应用落地,用实践来检验和加速推动FISCO BCOS的成熟可靠。[2019/12/18]
Vector76Attack又称“一次确认攻击”,也就是交易确认一次后仍然可以回滚,是FinneyAttack和RaceAttack的组合。攻击者创建两个节点,节点A连接到商家节点,节点B连接到区块链网络中的其他节点。接着,攻击者用同一笔Token发起两笔交易,一笔交易发送给商家地址,我们称为交易1;一笔交易发送给自己的钱包地址,我们称为交易2。与上面说的RaceAttack一样,攻击者对交易2添加了较高的矿工费从而提高了矿工的打包概率,此时,攻击者并没有把这两笔交易广播到网络中去。接着,攻击者开始在交易1所在的分支上进行挖矿,这条分支我们命名为分支1。攻击者挖到区块后,并没有广播出去,而是同时做了两件事:在节点A上发送交易1,在节点B上发送交易2。由于节点A只连接了商家节点,所以当商家节点想把交易1传给其它对等节点时,连接了更多节点的节点B,已经把交易2广播给了网络中的大部分节点。于是,从概率上来讲,交易2就更有可能被网络认定为是有效的,交易1被认定为无效。交易2被认为有效后,攻击者立即把自己之前在分支1上挖到的区块,广播到网络中。这时候,这个接受一次确认就支付的商家,会确认交易成功,然后攻击者就可以立即变现并转移资产。同时,由于分支2连接的更多节点,所以矿工在这个分支上挖出了另一个区块,也就是分支2的链长大于分支1的链长。于是,分支1上的交易就会回滚,商家之前支付给攻击者的交易信息就会被清除,但是攻击者早已经取款,实现了双花。4.51%attack
声音 | BM:从 EOS 回到 ETH 就像从光纤回到了拨号一样:据 IMEOS 报道,BM 昨夜在推特发了两条推文,分别表达了 EOS 的领先和 DPOS 的优势
1.用户回馈使用 EOS 几个月后重新使用 ETH 就像是从光纤回到了拨号一样。一旦你在 EOS 上,你永远都不想在回去。
当计算或算法发生巨大突破时,工作证明就变得完全中心化...无论技术发展如何,DPOS 都会一直保持去中心化。你可以轻松分叉 DPOS,但创建新的抗性工作证明非常困难。[2019/4/15]
攻击者占有超过全网50%的算力,在攻击者控制算力的这段时间,他可以创造一条高度大于原来链的新链。那么旧链中的交易会被回滚,攻击者可以使用同一笔Token发送一笔新的交易到新链上。
目前已知公链安全事件的攻击手法多为51%攻击,截止发稿日由于攻击者掌握大量算力发起51%攻击所造成的损失共19,820,000美金。2019年1月6日,慢雾区预警了ETC网络的51%算力攻击的可能性,据Coinbase博客报道该攻击者总共发起了15次攻击,其中12次包含双花,共计被盗219,500ETC(按当时市价约为110万美元),攻击者经过精心准备,通过租借大量算力向ETC发动了51%攻击,累计收益超10倍,Gate.io、Yobit、Bitrue等交易所均受到影响。所幸在整个ETC生态社区的努力下,一周后攻击者归还了攻击所得收益,幸而没有造成进一步的损失。软分叉Soft-fork
软分叉(Soft-fork)更多情况下是一种协议升级,当新共识规则发布后,没有升级的旧节点并不会意识到代码已经发生改变,而继续生产不合法的区块,就会产生临时性分叉,但新节点可以兼容旧节点,即新旧节点始终在同一条链上工作。硬分叉Hard-fork
硬分叉(Hard-fork)是区块链发生永久性分歧,在新共识规则发布后,已经升级的节点无法验证未升级节点产生的区块,未升级节点也无法验证已经升级的节点产生的区块,即新旧节点互不兼容,通常硬分叉就会发生,原有正常的一条链被分成了两条链。历史上比较著名的硬分叉事件是TheDAO事件,作为以太坊上的一个著名项目,由于智能合约的漏洞造成资金被黑客转移,黑客盗取了当时价值约6000万美元的ETH,让这个项目蒙受了巨大的损失。为了弥补这个损失,2016年7月,以太坊团队修改了以太坊合约代码实行硬分叉,在第1920000个区块强行把TheDAO及其子DAO的所有资金全部转到一个特定的退款合约地址,进而“夺回”了黑客所控制DAO合约上的币。但这个修改被一部分矿工所拒绝,因而形成了两条链,一条为原链(以太坊经典,ETC),一条为新的分叉链(ETH),他们各自代表了不同社区的共识和价值观。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。