木星链 木星链
Ctrl+D收藏木星链

区块链:区块链安全入门笔记(四) | 慢雾科普

作者:

时间:1900/1/1 0:00:00

虽然有着越来越多的人参与到区块链的行业之中,然而由于很多人之前并没有接触过区块链,也没有相关的安全知识,安全意识薄弱,这就很容易让攻击者们有空可钻。面对区块链的众多安全问题,慢雾特推出区块链安全入门笔记系列,向大家介绍十篇区块链安全相关名词,让新手们更快适应区块链危机四伏的安全攻防世界,同时欢迎添加文章末尾二维码催更!

系列回顾:

区块链安全入门笔记(一) | 慢雾科普

区块链安全入门笔记(二) | 慢雾科普

区块链安全入门笔记(三) | 慢雾科普

多签 Multi-sig

多签(Multi-sig)指的是需要多个签名才能执行的操作(这些签名是不同私钥生成的)。这可用于提供更高的安全性,即使丢失单个私钥的话也不会让攻击者取得帐户的权限,多个值得信赖的各方必须同时批准更新,否则无效。

区块链协会首席执行官:美国加密货币政策前景“光明”:4月26日消息,区块链协会首席执行官Kristin Smith接受采访谈及“今年或未来几年美国会出台全面的加密监管”时表示,加密行业可能需要等待18-22个月才能看到真正的变化。然而,目前仍处于继续教育和为强有力的监管未来奠定基础的大好机会时期。此外,还表示区块链协会目前正在调查有关加密货币去银行化并要求行业参与者提供线索。[2023/4/27 14:29:11]

我们都知道,一般来说一个比特币地址对应一个私钥,动用这个地址中的资金需要私钥的持有者发起签名才行。而多重签名技术,简单来说,就是动用一笔资金时需要多个私钥签名才有效。多签的一个优势就是可以多方对一笔付款一起达成共识,才能支付成功。

双花攻击

Double Spend Attack

双花攻击(Double Spend Attack)即一笔钱花了两次,双重支付,利用货币的数字特性两次或多次使用“同一笔钱”完成支付。双花不会产生新的 Token,但能把自己花出去的钱重新拿回来。简单说就是,攻击者将一笔 Token 转到另外一个地址,通常是转到交易所进行套现,然后再利用一些攻击手法对转账交易进行回滚。目前有常见的几种手法能够引发双花攻击:

浦发银行落地国内首批区块链订单融资:金色财经报道,近日,国内首批“区块链订单融资”在雄安新区落地。浦发银行(600000)雄安分行为三家参与雄安新区工程建设的中小供应商发放了640万元区块链订单贷款。

据了解,区块链订单融资是浦发银行针对雄安新区大规模建设中,众多中小企业资金需求大、融资成本高现状而创新设计的金融产品。该笔业务的成功落地为深化供应链融资改革、创新金融服务模式、解决中小企业融资难问题做出了积极探索。(同花顺财经)[2021/12/14 7:38:17]

1. Race Attack

这种攻击主要通过控制矿工费来实现双花。攻击者同时向网络中发送两笔交易,一笔交易发给自己(为了提高攻击成功的概率,他给这笔交易增加了足够的矿工费),一笔交易发给商家。由于发送给自己的交易中含有较高的手续费,会被矿工优先打包进区块的概率比较高。这时候这笔交易就会先于发给商家的那笔交易,那么发给商家的交易就会被回滚。对于攻击者来说,通过控制矿工费,就实现了同一笔 Token 的“双花”。

美国国会探讨远程投票概念 并讨论区块链投票利弊:美国国会目前正在努力应对在新冠病疫情期间于华盛顿重新召开会议的风险。4月30日的一份参议院工作人员备忘录显示,美国国会探讨了远程投票的概念,以及它所涉及的技术和法律考虑;其中,备忘录的一部分讨论了使用区块链投票的利弊。备忘录中提到,区块链通过其加密的分布式分类账,既可以安全地传输选票,又可以验证正确的选票。这些特性使得区块链在电子投票中非常有用。区块链可以为交易提供一个安全和透明的环境,并提供所有选票的无篡改电子记录。它还降低了不正确计票的风险。不过备忘录本身并没有公开支持使用该技术,也讨论了列部署该技术所涉及的潜在风险。(The Block)[2020/5/4]

2. Finney Attack

攻击者主要通过控制区块的广播时间来实现双花,攻击对象针对的是接受 0 确认的商家。假设攻击者挖到区块,该区块中包含着一个交易,即 A 向 B 转了一定数量的 Token,其中 A 和 B 都是攻击者的地址。但是攻击者并不广播这个区块,而是立即找到一个愿意接受 0 确认交易的商家向他购买一个物品,向商家发一笔交易,用 A 向商家的地址 C 支付,发给商家的交易广播出去后,攻击者再把自己之前挖到的区块广播出去,由于发给自己的交易先于发给商家的交易,对于攻击者来说,通过控制区块的广播时间,就实现了同一笔 Token 的“双花”。

动态 | 第三届中国区块链开发大赛正式启动:据人民网报道,第三届中国区块链开发大赛正式启动,正式开始公开征集参赛项目。此次大赛由中国电子技术标准化研究院和杭州市萧山区人民政府主办,钱江世纪城管委会、中国区块链技术和产业发展论坛、杭州日报报业集团(华媒控股)和区块链技术应用产业联盟(凤凰社)承办。[2019/4/25]

3. Vector76 attack

Vector76 Attack 又称“一次确认攻击”,也就是交易确认一次后仍然可以回滚,是 Finney Attack 和 Race Attack 的组合。

攻击者创建两个节点,节点 A 连接到商家节点,节点 B 连接到区块链网络中的其他节点。接着,攻击者用同一笔 Token 发起两笔交易,一笔交易发送给商家地址,我们称为交易 1;一笔交易发送给自己的钱包地址,我们称为交易 2。与上面说的 Race Attack 一样,攻击者对交易 2 添加了较高的矿工费从而提高了矿工的打包概率,此时,攻击者并没有把这两笔交易广播到网络中去。

声音 | 人民论坛:区块链等对国家治理提出新挑战 应加强对领导干部的新知识培训:据新浪消息,人民论坛刊文《如何造就一支忠诚的干部队伍》,文章表示,改革开放40年来,中国发生了巨变,经济社会面临着新的形势和新的挑战,也存在更多的不确定性和内外风险,使领导干部的决策责任越来越重,对他们的专业化要求更高。例如,随着新技术革命的到来,出现了很多新的知识、概念、技术和方法,如云计算、数据治理、区块链、移动政务、人工智能等,对国家治理提出了很多新挑战。如果缺乏这些知识储备,在公共工程的决策过程中就容易出现形式主义和政绩工程,严重者还会触犯纪律。因而,必须大力加强对领导干部的新知识和新技术的培训,让他们赶上新时代。[2019/3/12]

接着,攻击者开始在交易 1 所在的分支上进行挖矿,这条分支我们命名为分支 1。攻击者挖到区块后,并没有广播出去,而是同时做了两件事:在节点 A 上发送交易 1,在节点 B 上发送交易 2。

由于节点 A 只连接了商家节点,所以当商家节点想把交易 1 传给其它对等节点时,连接了更多节点的节点 B,已经把交易 2 广播给了网络中的大部分节点。于是,从概率上来讲,交易 2 就更有可能被网络认定为是有效的,交易 1 被认定为无效。

交易 2 被认为有效后,攻击者立即把自己之前在分支 1 上挖到的区块,广播到网络中。这时候,这个接受一次确认就支付的商家,会确认交易成功,然后攻击者就可以立即变现并转移资产。

同时,由于分支 2 连接的更多节点,所以矿工在这个分支上挖出了另一个区块,也就是分支 2 的链长大于分支 1 的链长。于是,分支 1 上的交易就会回滚,商家之前支付给攻击者的交易信息就会被清除,但是攻击者早已经取款,实现了双花。

4. 51% attack

攻击者占有超过全网 50% 的算力,在攻击者控制算力的这段时间,他可以创造一条高度大于原来链的新链。那么旧链中的交易会被回滚,攻击者可以使用同一笔 Token 发送一笔新的交易到新链上。

目前已知公链安全事件的攻击手法多为 51% 攻击,截止发稿日由于攻击者掌握大量算力发起 51% 攻击所造成的损失共 19,820,000 美金。2019 年 1 月 6 日,慢雾区预警了 ETC 网络的 51% 算力攻击的可能性,据 Coinbase 博客报道该攻击者总共发起了 15 次攻击,其中 12 次包含双花,共计被盗 219,500 ETC(按当时市价约为 110 万美元),攻击者经过精心准备,通过租借大量算力向 ETC 发动了 51% 攻击,累计收益超 10 倍,Gate.io、Yobit、Bitrue 等交易所均受到影响。所幸在整个 ETC 生态社区的努力下,一周后攻击者归还了攻击所得收益,幸而没有造成进一步的损失。

软分叉 Soft-fork

软分叉(Soft-fork)更多情况下是一种协议升级,当新共识规则发布后,没有升级的旧节点并不会意识到代码已经发生改变,而继续生产不合法的区块,就会产生临时性分叉,但新节点可以兼容旧节点,即新旧节点始终在同一条链上工作。

硬分叉 Hard-fork

硬分叉(Hard-fork)是区块链发生永久性分歧,在新共识规则发布后,已经升级的节点无法验证未升级节点产生的区块,未升级节点也无法验证已经升级的节点产生的区块,即新旧节点互不兼容,通常硬分叉就会发生,原有正常的一条链被分成了两条链(已升级的一条链和未升级的一条链,且这两条链互不兼容)。

历史上比较著名的硬分叉事件是 The DAO 事件,作为以太坊上的一个著名项目,由于智能合约的漏洞造成资金被黑客转移,黑客盗取了当时价值约 6000 万美元的 ETH,让这个项目蒙受了巨大的损失。为了弥补这个损失,2016 年 7 月,以太坊团队修改了以太坊合约代码实行硬分叉,在第 1920000 个区块强行把 The DAO 及其子 DAO 的所有资金全部转到一个特定的退款合约地址,进而“夺回”了黑客所控制 DAO 合约上的币。但这个修改被一部分矿工所拒绝,因而形成了两条链,一条为原链(以太坊经典,ETC),一条为新的分叉链(ETH),他们各自代表了不同社区的共识和价值观。

标签:区块链TACATTACK以下哪项不是区块链目前的分类Tachyon ProtocolATTN币6 Pack Rick

火币网下载官方app热门资讯
UNI:Uniswap的恒定乘积算法里的K值

本文介绍uniswap里的恒定乘积算法中的K值是怎么设计的。我们拿uniswap里的一个交易对,ETH/USDT来举例说明K值是怎么设计的。恒定乘积算法.

1900/1/1 0:00:00
FET:Fetch.ai:Web3数字孪生的想象空间有多大?

来源:SparkDAO自一年前推出主网以来,Fetch.ai已经创建了许多新颖的协议和新技术,这些协议和新技术融合了多智能体系统,区块链生态系统,分类账,数字孪生体,集体智慧,分散的金融协议.

1900/1/1 0:00:00
加密货币:金色百科 | 除了Chainlink还有哪些预言机项目

什么是预言机?区块链系统中,除了能够在链上记载数据,还能够通过智能合约完成一些操作。例如,去中心化金融(DeFi)依赖区块链系统进行加密货币的交易和借贷,而预言机作为从外部获取数据的重要机制,是.

1900/1/1 0:00:00
SLOPE:慢雾:Solana 公链大规模盗币事件的分析

2022 年 8 月 3 日,Solana 公链上发生大规模盗币的事件,大量用户在不知情的情况下被转移 SOL 和 SPL 代币,慢雾安全团队对此事件进行跟踪和分析.

1900/1/1 0:00:00
以太坊:金色百科 | 以太坊发展历史

2013年末和2014年初,V神与Mihai Alisie、Amir Chetrit、Charles Hoskinson、Anthony Di Iorio、Gavin Wood博士、Joseph.

1900/1/1 0:00:00
BTC:金色趋势丨新一轮拉升来了?

金色晨讯 | 4月3日隔夜重要动态一览:21:00-7:00关键词:英国FCA、佛罗里达州、新加坡、Handshake 1.英国FCA:新集团正伪装成合法公司加密货币投资者; 2.

1900/1/1 0:00:00