雖然有著越來越多的人參與到區塊鏈的行業之中,然而由于很多人之前并沒有接觸過區塊鏈,也沒有相關的安全知識,安全意識薄弱,這就很容易讓攻擊者們有空可鉆。面對區塊鏈的眾多安全問題,慢霧特推出區塊鏈安全入門筆記系列,向大家介紹十篇區塊鏈安全相關名詞,讓新手們更快適應區塊鏈危機四伏的安全攻防世界,同時歡迎添加文章末尾二維碼催更!
系列回顧:
區塊鏈安全入門筆記(一) | 慢霧科普
區塊鏈安全入門筆記(二) | 慢霧科普
區塊鏈安全入門筆記(三) | 慢霧科普
多簽 Multi-sig
多簽(Multi-sig)指的是需要多個簽名才能執行的操作(這些簽名是不同私鑰生成的)。這可用于提供更高的安全性,即使丟失單個私鑰的話也不會讓攻擊者取得帳戶的權限,多個值得信賴的各方必須同時批準更新,否則無效。
中國網安區塊鏈研發中心安紅章:區塊鏈核心技術有待突破:今日,中國網安區塊鏈研發中心總經理安紅章在經濟日報上刊文稱,區塊鏈技術的集成應用在新的技術革新和產業變革中起著重要作用。區塊鏈技術利用其去中心化、不可篡改、可追溯等特性,在疫情防控和復工復產中小試牛刀。相比人工智能、大數據、云計算等新技術,區塊鏈技術在疫情中的應用尚處起步階段。區塊鏈技術正在積極尋找適當的商業應用場景,核心技術問題仍有待突破。由于缺乏跨地域數據共享、技術協同平臺,不同省市的區塊鏈技術標準不同,多方實體的數據協調難度大。區塊鏈應成為解決省際流動人員健康數據互信問題的關鍵技術,因此應推動區塊鏈的基礎設施建設。[2020/5/6]
我們都知道,一般來說一個比特幣地址對應一個私鑰,動用這個地址中的資金需要私鑰的持有者發起簽名才行。而多重簽名技術,簡單來說,就是動用一筆資金時需要多個私鑰簽名才有效。多簽的一個優勢就是可以多方對一筆付款一起達成共識,才能支付成功。
動態 | 哥倫比亞創建第四次工業革命中心,工作領域包括區塊鏈:據cointelegraph消息,近日,哥倫比亞在麥德林創建了“第四次工業革命中心”,其工作領域將涉及區塊鏈技術。這是世界上第五個此類中心,僅次于舊金山(美國),東京(日本),北京(中國)和孟買(印度)。哥倫比亞總統和麥德林市當局支持300多萬美元,這將支持其運作三年。麥德林當局主管該中心,將專注探索人工智能,Blockchain,物聯網等新興互聯網領域技術,開展全球互聯網技術論壇,推動哥倫比亞的項目開發。[2019/5/6]
雙花攻擊
Double Spend Attack
雙花攻擊(Double Spend Attack)即一筆錢花了兩次,雙重支付,利用貨幣的數字特性兩次或多次使用“同一筆錢”完成支付。雙花不會產生新的 Token,但能把自己花出去的錢重新拿回來。簡單說就是,攻擊者將一筆 Token 轉到另外一個地址,通常是轉到交易所進行套現,然后再利用一些攻擊手法對轉賬交易進行回滾。目前有常見的幾種手法能夠引發雙花攻擊:
聲音 | 科技日報:區塊鏈等技術或是國內應對盜版的“殺手锏”:科技日報刊文《打擊電影盜版要“堵”也要“疏”》,文章指出,美國好萊塢試過太多方法打擊盜版電影而無果,未來將使用區塊鏈等技術來打擊盜版電影。這方面國內同樣可以進行嘗試,或許將成為應對盜版的“殺手锏”。[2019/2/15]
1. Race Attack
這種攻擊主要通過控制礦工費來實現雙花。攻擊者同時向網絡中發送兩筆交易,一筆交易發給自己(為了提高攻擊成功的概率,他給這筆交易增加了足夠的礦工費),一筆交易發給商家。由于發送給自己的交易中含有較高的手續費,會被礦工優先打包進區塊的概率比較高。這時候這筆交易就會先于發給商家的那筆交易,那么發給商家的交易就會被回滾。對于攻擊者來說,通過控制礦工費,就實現了同一筆 Token 的“雙花”。
2. Finney Attack
攻擊者主要通過控制區塊的廣播時間來實現雙花,攻擊對象針對的是接受 0 確認的商家。假設攻擊者挖到區塊,該區塊中包含著一個交易,即 A 向 B 轉了一定數量的 Token,其中 A 和 B 都是攻擊者的地址。但是攻擊者并不廣播這個區塊,而是立即找到一個愿意接受 0 確認交易的商家向他購買一個物品,向商家發一筆交易,用 A 向商家的地址 C 支付,發給商家的交易廣播出去后,攻擊者再把自己之前挖到的區塊廣播出去,由于發給自己的交易先于發給商家的交易,對于攻擊者來說,通過控制區塊的廣播時間,就實現了同一筆 Token 的“雙花”。
動態 | 2018年上半年美國區塊鏈投資額已超過2017全年總額:據cointelegraph消息, 畢馬威會計師事務所(KPMG) 7月31日發布了兩年一度的《金融科技脈搏》(the Pulse of Fintech)報告。該報告顯示, 2018年上半年美國區塊鏈投資已經超過了2017年的投資總額。報告得出的其他關鍵結論包括,新的區塊鏈聯盟繼續“涌現”,特別是那些專注于開發區塊鏈驅動的供應鏈管理解決方案的聯盟。對于發行Token,畢馬威指出,盡管一些國家高調禁止這種融資模式,但該行業仍在蓬勃發展。[2018/8/1]
3. Vector76 attack
Vector76 Attack 又稱“一次確認攻擊”,也就是交易確認一次后仍然可以回滾,是 Finney Attack 和 Race Attack 的組合。
攻擊者創建兩個節點,節點 A 連接到商家節點,節點 B 連接到區塊鏈網絡中的其他節點。接著,攻擊者用同一筆 Token 發起兩筆交易,一筆交易發送給商家地址,我們稱為交易 1;一筆交易發送給自己的錢包地址,我們稱為交易 2。與上面說的 Race Attack 一樣,攻擊者對交易 2 添加了較高的礦工費從而提高了礦工的打包概率,此時,攻擊者并沒有把這兩筆交易廣播到網絡中去。
金色財經現場報道 美國國土安全局網絡安全研發主任:大量的炒作掩蓋了為區塊鏈付出的努力:金色財經現場報道,今日在Coindesk 2018共識會議有關港口和航運樞紐的圓桌討論上,VeriFi(香港)有限責任公司主席Pindar Wong稱:“我們目前不僅僅關注貿易,而且關注制造業將如何發生變化,零售業如何在電子化的時代發生變化。 不僅僅航運將會發生改變,我們需要的是21世紀的貿易和制造方式。”美國國土安全局科學技術局網絡安全研發項目主任Anil John則表示,大部分他在區塊鏈上所了解到的東西既沒有“塊”也沒有“鏈” 。目前大量的炒作掩蓋了人們為了區塊鏈還需要付出的努力。[2018/5/16]
接著,攻擊者開始在交易 1 所在的分支上進行挖礦,這條分支我們命名為分支 1。攻擊者挖到區塊后,并沒有廣播出去,而是同時做了兩件事:在節點 A 上發送交易 1,在節點 B 上發送交易 2。
由于節點 A 只連接了商家節點,所以當商家節點想把交易 1 傳給其它對等節點時,連接了更多節點的節點 B,已經把交易 2 廣播給了網絡中的大部分節點。于是,從概率上來講,交易 2 就更有可能被網絡認定為是有效的,交易 1 被認定為無效。
交易 2 被認為有效后,攻擊者立即把自己之前在分支 1 上挖到的區塊,廣播到網絡中。這時候,這個接受一次確認就支付的商家,會確認交易成功,然后攻擊者就可以立即變現并轉移資產。
同時,由于分支 2 連接的更多節點,所以礦工在這個分支上挖出了另一個區塊,也就是分支 2 的鏈長大于分支 1 的鏈長。于是,分支 1 上的交易就會回滾,商家之前支付給攻擊者的交易信息就會被清除,但是攻擊者早已經取款,實現了雙花。
4. 51% attack
攻擊者占有超過全網 50% 的算力,在攻擊者控制算力的這段時間,他可以創造一條高度大于原來鏈的新鏈。那么舊鏈中的交易會被回滾,攻擊者可以使用同一筆 Token 發送一筆新的交易到新鏈上。
目前已知公鏈安全事件的攻擊手法多為 51% 攻擊,截止發稿日由于攻擊者掌握大量算力發起 51% 攻擊所造成的損失共 19,820,000 美金。2019 年 1 月 6 日,慢霧區預警了 ETC 網絡的 51% 算力攻擊的可能性,據 Coinbase 博客報道該攻擊者總共發起了 15 次攻擊,其中 12 次包含雙花,共計被盜 219,500 ETC(按當時市價約為 110 萬美元),攻擊者經過精心準備,通過租借大量算力向 ETC 發動了 51% 攻擊,累計收益超 10 倍,Gate.io、Yobit、Bitrue 等交易所均受到影響。所幸在整個 ETC 生態社區的努力下,一周后攻擊者歸還了攻擊所得收益,幸而沒有造成進一步的損失。
軟分叉 Soft-fork
軟分叉(Soft-fork)更多情況下是一種協議升級,當新共識規則發布后,沒有升級的舊節點并不會意識到代碼已經發生改變,而繼續生產不合法的區塊,就會產生臨時性分叉,但新節點可以兼容舊節點,即新舊節點始終在同一條鏈上工作。
硬分叉 Hard-fork
硬分叉(Hard-fork)是區塊鏈發生永久性分歧,在新共識規則發布后,已經升級的節點無法驗證未升級節點產生的區塊,未升級節點也無法驗證已經升級的節點產生的區塊,即新舊節點互不兼容,通常硬分叉就會發生,原有正常的一條鏈被分成了兩條鏈(已升級的一條鏈和未升級的一條鏈,且這兩條鏈互不兼容)。
歷史上比較著名的硬分叉事件是 The DAO 事件,作為以太坊上的一個著名項目,由于智能合約的漏洞造成資金被黑客轉移,黑客盜取了當時價值約 6000 萬美元的 ETH,讓這個項目蒙受了巨大的損失。為了彌補這個損失,2016 年 7 月,以太坊團隊修改了以太坊合約代碼實行硬分叉,在第 1920000 個區塊強行把 The DAO 及其子 DAO 的所有資金全部轉到一個特定的退款合約地址,進而“奪回”了黑客所控制 DAO 合約上的幣。但這個修改被一部分礦工所拒絕,因而形成了兩條鏈,一條為原鏈(以太坊經典,ETC),一條為新的分叉鏈(ETH),他們各自代表了不同社區的共識和價值觀。
一個多鏈、多層的未來 在過去的幾年里,區塊鏈技術的采用一直在穩步增長。谷歌搜索關鍵詞“以太坊”的搜索量在2021年5月達到頂峰,與以太坊網絡上創紀錄的每日165萬筆交易相吻合.
1900/1/1 0:00:00不得不說,隨著World of Women(女性世界)項目在充滿男性俱樂部的加密世界打響第一炮之后,女性向的NFT項目已成為NFT市場一個不可忽視且越來越受到青睞的一個方向.
1900/1/1 0:00:00隨著資產數字化,數據云端化,網絡隱私安全越來越成為當下關注的熱點話題。隨著線上資產的增加,網絡隱私安全的丟失后果遠不限于煩人的精準營銷、同質化的內容推送,而更多的是網絡賬戶被盜、資產丟失等更為嚴.
1900/1/1 0:00:00如果厭倦了在中心化交易所交易,THOR 會是一個不錯的選擇。撰寫:Crypto Johnson編譯:TechFlow intern如果厭倦了在中心化交易所交易,THOR 會是一個不錯的選擇.
1900/1/1 0:00:00在過去兩年來,從DeFi到NFT、Gamefi、Web3、DAO以及元宇宙,整個crypto領域無疑在宇宙大爆炸的階段.
1900/1/1 0:00:00“剛剛察覺到過去24小時,轉賬的比特幣總量達到了 7,149,570.84BTC。這個數字是目前最大的嗎?還有其他大額轉賬嗎?難道中本聰又活躍了?”這是 2011 年 4 月 20日,一位昵稱為.
1900/1/1 0:00:00