宇宙链 宇宙链
Ctrl+D收藏宇宙链

区块链安全入门笔记(四) | 慢雾科普

作者:

时间:1900/1/1 0:00:00

虽然有着越来越多的人参与到区块链的行业之中,然而由于很多人之前并没有接触过区块链,也没有相关的安全知识,安全意识薄弱,这就很容易让攻击者们有空可钻。面对区块链的众多安全问题,慢雾特推出区块链安全入门笔记系列,向大家介绍十篇区块链安全相关名词,让新手们更快适应区块链危机四伏的安全攻防世界,同时欢迎添加文章末尾二维码催更!

系列回顾:

区块链安全入门笔记(一) | 慢雾科普

区块链安全入门笔记(二) | 慢雾科普

区块链安全入门笔记(三) | 慢雾科普

多签 Multi-sig

多签(Multi-sig)指的是需要多个签名才能执行的操作(这些签名是不同私钥生成的)。这可用于提供更高的安全性,即使丢失单个私钥的话也不会让攻击者取得帐户的权限,多个值得信赖的各方必须同时批准更新,否则无效。

南宁市将积极探索区块链等创新技术在人社服务领域应用:南宁市将加快推进“人社服务快办行动”实施,积极探索人工智能、区块链等创新技术在人社服务领域的应用,大力推进网上办、就近办、即时办、智能办,让企业和群众切实感受到“打包一件事”“提速办”的全新服务体验,助力首府南宁优化营商环境,为深化“放管服”改革、全面落实强首府战略发挥积极作用。(南宁日报)[2020/6/11]

我们都知道,一般来说一个比特币地址对应一个私钥,动用这个地址中的资金需要私钥的持有者发起签名才行。而多重签名技术,简单来说,就是动用一笔资金时需要多个私钥签名才有效。多签的一个优势就是可以多方对一笔付款一起达成共识,才能支付成功。

双花攻击

Double Spend Attack

双花攻击(Double Spend Attack)即一笔钱花了两次,双重支付,利用货币的数字特性两次或多次使用“同一笔钱”完成支付。双花不会产生新的 Token,但能把自己花出去的钱重新拿回来。简单说就是,攻击者将一笔 Token 转到另外一个地址,通常是转到交易所进行套现,然后再利用一些攻击手法对转账交易进行回滚。目前有常见的几种手法能够引发双花攻击:

大连理工大学校长:以区块链等为支撑的新型科研社区已崭露头角:大连理工大学校长郭东明日前在该校官网发表《让SCI论文回归学术初心,构建中国特色的论文评价体系》一文称,我们正处全球科研模式从传统封闭或半开放的研究和交流范式向数据驱动的更开放的知识生产与传播范式转变的时代,开放获取这一新的传播交流模式已得到国际学术界广泛响应和推崇,以区块链技术等新技术为支撑的新型科研社区已经崭露头角,科研评价民主化或许成为未来论文评价的重要方式。(澎湃新闻)[2020/3/9]

1. Race Attack

这种攻击主要通过控制矿工费来实现双花。攻击者同时向网络中发送两笔交易,一笔交易发给自己(为了提高攻击成功的概率,他给这笔交易增加了足够的矿工费),一笔交易发给商家。由于发送给自己的交易中含有较高的手续费,会被矿工优先打包进区块的概率比较高。这时候这笔交易就会先于发给商家的那笔交易,那么发给商家的交易就会被回滚。对于攻击者来说,通过控制矿工费,就实现了同一笔 Token 的“双花”。

动态 | 爱康科技区块链业务收入未计入报表:记者近日实地采访了爱康科技(002610.SZ)区块链业务首席信息官徐朗明,其在电脑上向记者展示了公司目前已有的区块链记账服务平台及其管理平台。不过,作为上市公司已经正式上线运营的业务板块,其产生的收入并未在公司定期报告中体现。有不具名注册会计师对此表示,“从权责发生制来考虑,企业已经提供了服务,公司却没有计入应收账款,这一块的利润等于隐藏了。”财经专家江瀚解释称,“区块链企业收取比特币的方式来进行收费属于正常现象,但比特币是一个比较新的货币形式,在财务和会计领域还没有完善的制度来进行管理。有隐藏利润的可能性,但是目前没有办法用明确的规章和规范来说。”(证券日报)[2019/11/29]

2. Finney Attack

攻击者主要通过控制区块的广播时间来实现双花,攻击对象针对的是接受 0 确认的商家。假设攻击者挖到区块,该区块中包含着一个交易,即 A 向 B 转了一定数量的 Token,其中 A 和 B 都是攻击者的地址。但是攻击者并不广播这个区块,而是立即找到一个愿意接受 0 确认交易的商家向他购买一个物品,向商家发一笔交易,用 A 向商家的地址 C 支付,发给商家的交易广播出去后,攻击者再把自己之前挖到的区块广播出去,由于发给自己的交易先于发给商家的交易,对于攻击者来说,通过控制区块的广播时间,就实现了同一笔 Token 的“双花”。

行情 | A股收盘:区块链板块下跌0.30%:A股收盘,上证指数收涨0.61%,区块链板块下跌0.30%。82只概念股中,25只为涨,51只为跌,6只平盘。涨幅前三为:中元股份(+10.09%)、先进数通(+8.37%)、东港股份(+4.93%);跌幅前三为:深大通(-9.96%),新国都(-4.03%),汇金科技(-2.80%)。[2019/5/28]

3. Vector76 attack

Vector76 Attack 又称“一次确认攻击”,也就是交易确认一次后仍然可以回滚,是 Finney Attack 和 Race Attack 的组合。

攻击者创建两个节点,节点 A 连接到商家节点,节点 B 连接到区块链网络中的其他节点。接着,攻击者用同一笔 Token 发起两笔交易,一笔交易发送给商家地址,我们称为交易 1;一笔交易发送给自己的钱包地址,我们称为交易 2。与上面说的 Race Attack 一样,攻击者对交易 2 添加了较高的矿工费从而提高了矿工的打包概率,此时,攻击者并没有把这两笔交易广播到网络中去。

动态 | 全国政协委员:大湾区城市可加强区块链等创新科技的研发应用:据人民网报道,在全国政协召开双周协商座谈会上,全国政协委员、香港立法会议员卢伟国就“粤港澳大湾区建设”这一问题表示:“大湾区城市可以加强区内人工智能、移动通信、物联网、区块链等创新科技的研发及应用,建立大数据共享平台。”[2018/8/8]

接着,攻击者开始在交易 1 所在的分支上进行挖矿,这条分支我们命名为分支 1。攻击者挖到区块后,并没有广播出去,而是同时做了两件事:在节点 A 上发送交易 1,在节点 B 上发送交易 2。

由于节点 A 只连接了商家节点,所以当商家节点想把交易 1 传给其它对等节点时,连接了更多节点的节点 B,已经把交易 2 广播给了网络中的大部分节点。于是,从概率上来讲,交易 2 就更有可能被网络认定为是有效的,交易 1 被认定为无效。

交易 2 被认为有效后,攻击者立即把自己之前在分支 1 上挖到的区块,广播到网络中。这时候,这个接受一次确认就支付的商家,会确认交易成功,然后攻击者就可以立即变现并转移资产。

同时,由于分支 2 连接的更多节点,所以矿工在这个分支上挖出了另一个区块,也就是分支 2 的链长大于分支 1 的链长。于是,分支 1 上的交易就会回滚,商家之前支付给攻击者的交易信息就会被清除,但是攻击者早已经取款,实现了双花。

4. 51% attack

攻击者占有超过全网 50% 的算力,在攻击者控制算力的这段时间,他可以创造一条高度大于原来链的新链。那么旧链中的交易会被回滚,攻击者可以使用同一笔 Token 发送一笔新的交易到新链上。

目前已知公链安全事件的攻击手法多为 51% 攻击,截止发稿日由于攻击者掌握大量算力发起 51% 攻击所造成的损失共 19,820,000 美金。2019 年 1 月 6 日,慢雾区预警了 ETC 网络的 51% 算力攻击的可能性,据 Coinbase 博客报道该攻击者总共发起了 15 次攻击,其中 12 次包含双花,共计被盗 219,500 ETC(按当时市价约为 110 万美元),攻击者经过精心准备,通过租借大量算力向 ETC 发动了 51% 攻击,累计收益超 10 倍,Gate.io、Yobit、Bitrue 等交易所均受到影响。所幸在整个 ETC 生态社区的努力下,一周后攻击者归还了攻击所得收益,幸而没有造成进一步的损失。

软分叉 Soft-fork

软分叉(Soft-fork)更多情况下是一种协议升级,当新共识规则发布后,没有升级的旧节点并不会意识到代码已经发生改变,而继续生产不合法的区块,就会产生临时性分叉,但新节点可以兼容旧节点,即新旧节点始终在同一条链上工作。

硬分叉 Hard-fork

硬分叉(Hard-fork)是区块链发生永久性分歧,在新共识规则发布后,已经升级的节点无法验证未升级节点产生的区块,未升级节点也无法验证已经升级的节点产生的区块,即新旧节点互不兼容,通常硬分叉就会发生,原有正常的一条链被分成了两条链(已升级的一条链和未升级的一条链,且这两条链互不兼容)。

历史上比较著名的硬分叉事件是 The DAO 事件,作为以太坊上的一个著名项目,由于智能合约的漏洞造成资金被黑客转移,黑客盗取了当时价值约 6000 万美元的 ETH,让这个项目蒙受了巨大的损失。为了弥补这个损失,2016 年 7 月,以太坊团队修改了以太坊合约代码实行硬分叉,在第 1920000 个区块强行把 The DAO 及其子 DAO 的所有资金全部转到一个特定的退款合约地址,进而“夺回”了黑客所控制 DAO 合约上的币。但这个修改被一部分矿工所拒绝,因而形成了两条链,一条为原链(以太坊经典,ETC),一条为新的分叉链(ETH),他们各自代表了不同社区的共识和价值观。

标签:区块链ACKTACATT区块链证据保全怎么操作流程Moon SackMETACLOTH价格Quattro Tech

比特币行情热门资讯
时代观察 | 分布式身份实现方法与欧洲监管格局

尽管技术发展和标准对于实现新的数字身份框架非常重要,但法律和法规问题也同样重要。文/欧盟区块链瞭望台和论坛编译/Meagreeee、柳叶惊鸿 对于一个运行中的社会经济来说,没有什么比身份更重要了.

1900/1/1 0:00:00
向父母介绍区块链的正确打开方式

自从毕业开始工作,父母和朋友已经问了N次:你究竟是找了什么工作?区块链是什么东西?有什么用?我怎么没听过,问别人也没几个听过的,可千万别搞这些有的没的.

1900/1/1 0:00:00
Web3很火 但离真正的腾飞还要满足3个前提

在 Web3 时代真正到来前,用户、投资者和开发者必须完成这些心态转变。原文:3 things that need to happen for Web3 to (really) take off(venturebeat)作者:Emma.

1900/1/1 0:00:00
金色百科 | 什么是流动性挖矿?

目前许多的DeFi项目都发行了自己的代币,流动性挖矿是一种代币发放形式,可以简单理解为DeFi版的“交易及挖矿”.

1900/1/1 0:00:00
金色百科丨为何比特币的减产时间不是确定日期?

不知道大家有没有注意,一些地方已经开始为比特币减半倒计时,但倒计时的时间却总是变动的,并非严格的一秒一分的倒计时,只能预测减半时间是在5月7日左右,无法精确到几点几分.

1900/1/1 0:00:00
三年大牛市 21条头部公链大盘点

由 LUCIDA × SnapFingers DAO 联合研究出品 ?引言 以太坊的巨大成功让智能合约公链成为资本竞相追逐的圣杯。目前以太坊仍然是智能合约公链里最大、最重要的平台,但由于性能低和费用高,大量应用不适合在以太坊上运行.

1900/1/1 0:00:00