成都链安：你不得不了解的9 种区块链攻击

区块链一直以不可篡改、分布式、永久可查验等特点得到人们的青睐，这些特点使区块链听起来非常安全，甚至像是个万无一失的技术。但实际上，针对区块链的攻击一直都存在，且每次发生，往往会造成巨大的损失。

对于区块链的开发者和使用者来说，了解这些攻击的原理是至关重要的。预防胜于治疗，切莫“头痛医头,脚痛医脚”。

基于对等网络的攻击

1、日蚀攻击-一个节点将选择“x”个节点作为访问区块链的基础，该节点从这“x”个节点获取区块链的数据。

如果攻击者可以使得此节点选择的“x”个节点都为攻击者可控制的节点，就可以使得被攻击节点处在一个“孤立”的状态。被攻击节点将从主网中被隔离出来，完全由攻击者控制。

如下图所示：

成都链安：Discover项目正在持续遭到闪电贷攻击:6月6日消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，Discover项目正在持续遭到闪电贷攻击，攻击者通过闪电贷使用BSC-USD大量重复兑换Discover代币，其中一个攻击者0x446...BA277获利约49BNB已转入龙卷风，攻击交易:0x1dd4989052f69cd388f4dfbeb1690a3f3a323ebb73df816e5ef2466dc98fa4a4,攻击合约:0xfa9c2157cf3d8cbfd54f6bef7388fbcd7dc90bd6

攻击者地址:0x446247bb10B77D1BCa4D4A396E014526D1ABA277[2022/6/6 4:05:40]

图一

2、

成都链安：Feminist Metaverse项目遭受攻击，攻击者已将1838BNB转入tornado.cash:据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，BNB Chain上Feminist Metaverse(FM_Token)项目遭受攻击。

攻击者地址:

0xaaA1634D669dd8aa275BAD6FdF19c7E3B2f1eF50

攻击交易bsc：0xfdc90e060004dd902204673831dce466dcf7e8519a79ccf76b90cd6c1c8b320d

目前攻击者已将1838BNB转入tornado.cash，约54万美元。[2022/5/19 3:26:26]

女巫攻击-这里的“女巫”并不是指拥有魔法的女人，而是出自一部美国电影《Sybil》，剧中的主人公拥有16重人格，扮演着16个不同的角色。而女巫攻击就是指同一节点伪装成不同节点发起的一种攻击。

成都链安CMO：交易所需建设一套完整的资金内控系统:3月11日晚8点，成都链安CMO Adolfo Gao做客“抹茶周三见”时发表观点：交易所需建设一套完整的资金内控系统，并对每笔资金的出入都应该做好审核和记录。此外他还指出，关键私钥和转账授权的防护也是重中之重。成都链安科技是最早专门从事区块链安全的公司，由前海母基金，联想创投，复星国际，分布式资本等知名企业和创投战略投资，电子科技大学杨霞教授，郭文生教授，高子扬博士联合创立。“抹茶周三见”是MXC抹茶推出的一档AMA活动，不定期邀请重量级嘉宾在周三进行分享。[2020/3/11]

攻击者通过伪造的身份，使少量节点伪装成大量节点，进而影响整个网络。攻击者可能利用女巫攻击进行双花、实现51%攻击等，并且要实施日蚀攻击，一般都会先进行女巫攻击。

动态 | 成都链安：10月发生较典型安全事件共5起:据成都链安态势感知平台——Beosin?Eagle-Eye统计数据显示，在过去一个月（10月）中，共发生5起较为典型的安全事件。其中包括：1.EOS链上本月内总共发生两起攻击事件：一是假EOS攻击；二是游戏服务器解析参数问题。2.亚马逊云服务平台AWS被爆遭到了DDoS攻击，并因此被迫中断了服务。3.网页加密货币钱包Safuwallet被黑客通过注入恶意代码窃取了大量资金，并且殃及币安。4.Cryptopia被盗资产开始转移：一部分ETH流入知名DeFi借贷平台Compound；另有数个ETH流入一个叫做DeFi 2.0的DApp项目。鉴于当前区块链安全新形势，Beosin成都链安在此提醒各链平台需要增强安全意识，重视各类型安全风险，必要时可寻求安全公司合作，通过第三方技术支持，排查安全漏洞，加固安全防线；各钱包项目应进一步做好安全方面的审查，有意识地增强项目系统架构的安全性，并建立完善的应急处理机制。如发生资产损失，可借助安全公司的帮助，进行资产溯源追踪；用户在进行投资行为时需谨慎，远离资金盘，切勿刀口舔血。[2019/10/31]

图二

声音 | Beosin（成都链安）预警：某EOS竞猜类游戏遭受攻击 损失超1200枚EOS:根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现，今日上午 8:53:15开始，黑客yunmen****对EOS竞猜类游戏th****sgames发起攻击。截止到现在，该黑客已经获利超过1200枚EOS。Beosin建议游戏项目方应该加强项目运维工作，在收到安全公司的安全提醒之后第一时间排查项目安全性，才能及时止损，同时也呼吁项目开发者应该重视游戏逻辑严谨性及代码安全性。Beosin提醒类似项目方全方面做好合约安全审计并加强风控策略，必要时可联系第三方专业审计团队，在上链前进行完善的代码安全审计，防患于未然。[2019/4/3]

3、

异形攻击-异形攻击又称为“地址污染”。

当不同公链使用兼容的握手协议时，我们称这些公链为同类链。攻击者将同类链的节点数据加入被攻击的公链节点中，当被攻击的公链节点进行通信并互换地址池时，就会污染其他正常节点的地址池，并持续污染整个公链网络，导致公链通信性能下降，最终造成节点阻塞等现象。

很多借鉴以太坊开发的区块链系统，与以太坊使用了相同的通讯算法，它们都属于以太坊的同类链。

基于共识和挖矿的攻击

1、自私挖矿?–区块链的共识机制决定着节点会认同最长链才是真实有效的。攻击者可以在当前最新区块上持续挖矿但不进行广播，从而隐藏自己挖出的区块。

当攻击者节点隐藏的区块长于已在链上的公布的最长区块时再进行广播，从而成为最长链，使得原先的最长链进行回滚，从而实现双花等攻击。

同时，进行自私挖矿的节点可以比其他诚实节点获得更大的利益。假设在区块1的基础上继续的挖矿，自私节点挖出“2’”和“3’”，但其并不对外广播这两个区块，并继续在“3’”的基础上继续挖矿，而当其他节点挖出了“2”时，其也对外广播“2’”，使得链上产生分叉，如此继续，当自私节点挖出较长的链并进行广播时，其可以获得“2’”到最新区块的所有挖矿奖励。

如下图所示：

图三

2、

挖矿木马?–攻击者通过上传恶意程序到公开网络或者制作蠕虫病等方式将挖矿程序传播到他人计算机上。

利用他人计算机资源和电力进行挖矿，获取挖矿利益。被攻击的计算机会消耗大量的资源，导致电脑卡顿，使用寿命减短。

图四

3、

51%算力攻击?–51%算力攻击是区块链最著名的攻击方式之一。

在一个POW共识的区块链网络中，算力即是权力。当超过50%的算力都由一人控制时，此人就可以任意的撤销和阻止交易，进而实现双花。

这种攻击在大型网络中较难实现，在小型网络中发生的可能性更高。在POS共识中与之类似的有币龄累计攻击和长距离攻击。

4、时间劫持攻击?–一个节点是通过其他节点时间的中位值来确定时间的。

如果攻击者将一个恶意的节点列表置入被攻击节点的对等节点列表中，就可以控制此节点的时间，例如通过日蚀攻击。

被攻击的节点将不会接收来自正常网络的出块。由于这些交易无法提交到实际的区块链网络，攻击者便可以对此节点发起双花等攻击。

基于0确认的攻击

1、芬尼攻击?–如果攻击者可以隐藏一个包含自己交易的区块，就可能实现一笔双花。

当一个交易所或其他机构接受0确认的交易时，攻击者可以向其进行转账，花费其隐藏区块中已经花费的资金，在新交易的区块广播前，将隐藏的区块广播。

因为所隐藏的区块时间更早，所以在后面进行的花费将被回滚，从而实现双花。

2、种族攻击?–此类型攻击是“芬尼攻击”的分支，攻击者将同时进行两笔交易，花费同一笔资金，一笔转给支持0确认的商家进行提现；一笔转账给自己，并给予更高的gas。

节点会优先处理gas更高的交易，所以后一笔交易将不会被执行。通常攻击者会连入与被攻击商家较近的节点进行操作，使得商家优先收到最终不被执行的交易。

写在最后

区块链中的漏洞导致的代价可能非常之高，尤其是公链，任何人都可以匿名的连入公链。

而区块链的不可更改性又使得攻击发生后更难以挽回损失，虽然可以通过硬分叉和软分叉进行修复，但显然这不是一个好的方法。因此在实际上线前做好安全审计和是尤为重要的。

标签：区块链EOSSINVER区块链专业考研方向EOSJackssingularity币价verse币今日价格

非小号热门资讯