|作者:0x2
|欢迎添加作者微信qkldlinda与他进行交流!
想攻击市值 90 多亿人民币的 ETC 嘛?只需要 16100 美元,这条区块链就可以任你摆布,为所欲为。
被这么低的价格震惊到了?准确来说是 16100 美元就可以租借足够发动 51% 双花攻击的算力一小时。
截至发稿,有 71 种数字加密货币可以通过租借算力来控制区块链进行双花攻击,其中你只需要 500 美金,就可以对 64 亿人民币市值的 BCN 发起一次 51% 算力的双花攻击。
上个月底,流通市值 46 亿、全球排名第 29 名的数字加密货币——比特币黄金(BTG)遭到地下矿工有预谋的双花攻击,据悉攻击者在本次双花攻击中总共获得 20.5 万枚 BTG,价值高达 1.1 亿元人民币。
双花攻击,了解一下?
简单介绍一下什么是 BTG 遇到的双花攻击,根据 BTG 团队的描述:
攻击者预先准备了 8000 个 BTG 与大量可用算力,将 BTG 充入交易所,随后调用自己手中的算力开始私自挖矿。
等充币成功之后,攻击者在交易所将 BTG 卖掉提款。但是在攻击者拥有的算力超过 51%,可以对 BTG 区块链进行控制,攻击者的这条区块链变成 BTG 的新主链。
攻击者控制这条主链,排斥刚才自己往交易所充币的交易行为,使充币这个动作失效,8000BTG 回到攻击者手中,但这时已经在交易所完成了套现。
攻击者在 4 天内重复进行了 17 次这样的攻击尝试,尝试「双花」了 20.5 万个 BTG。
简单来讲就是攻击者在交易所进行交易变现后,有预谋地控制算力来改写区块,使之前的区块链交易失效,但攻击者已经拿到现金走人。
比特币黄金的创始人廖翔在事件发生之后分析称:攻击者必须拥有绝对大量的算力才能进行攻击,算力的来源可能是矿机公司制造的 ASIC 矿机,也有可能是从算力市场租借的算力,当然也有可能是某个矿池的管理员的恶意攻击。
就在上周,ZenCash 也遇到了同样的双花攻击,黑客通过控制算力改写区块,获得了 1.96 万枚 ZEN 代币,价值 330 万人民币。
数字加密货币双花攻击事件频发,不禁让区块律动 Blockbeats 开始深入追踪事件的起因。
直到我们发现其实市场上早就已经出现了可以为攻击者提供双花攻击工具:双花成本计算网站 Crypto51 和全网算力租借平台 NiceHash。
*本文所列的数字加密货币在理论上是可以进行双花攻击的,但需要一定的技术来进行操作,本文讨论以攻击者意图不轨且具备相应技术为前提进行。
到目前为止,除了 BTG 和 ZEN 外均未遭到双花攻击。区块律动 BlockBeats 不推荐读者进行尝试操作,仅为提醒诸位之作!
Crypto51和Nicehash,他们能帮攻击者做什么?
Crypto51 是一个追踪 POW 算法挖矿的数字加密货币并测算发起 51%算力攻击理论成本的网站,其数据来源于目前全球最大的算力租借平台 Nicehash,在这个平台上,只要肯出钱就能租到算力来做任何事情。
数据显示,你只需要 2659 美元就可以租借到能够实现 1 小时 BTG 区块链双花攻击的算力,在这一个小时里,你可以像上文提到的攻击者一样,充币到交易所,卖掉 BTG,然后再用租到的算力来改写区块链。
除了 BTG 外,该网站还提供包括比特币、以太坊、比特币现金、莱特币、门罗币、达世币、以太经典、狗狗币等 80 多种数字加密货币的双花攻击算力成本测算。
这些提到的币,绝大部分都可以在主流交易所进行交易,一旦被黑客用来攻击,后果不堪设想。
此刻我们更好奇的是:
如果进行双花攻击,哪些币花的钱最多?
如果有足够的钱,双花攻击哪个币的性价比最高?
如果我有足够的技术,双花攻击真的每次都能获利嘛?
如果进行双花攻击,哪些币花的钱最多?
根据该网站信息显示,目前实施 51% 双花攻击成本最高的前十五名 Token 信息如下:
目前算力成本最高的算法是以比特币和比特币现金为代表的 SHA-256 算法,其次是以太坊领导的 Ethash 算法和莱特币所代表的 Scrypt 算法。
除去 SHA-256、Ethash 和 Scrypt 这三类主流算法的数字加密货币外,还有采用了 CryptoNightV7 算法的莱特币和 X11 算法的达世币。
不过,区块律动 BlockBeats 发现,并非表中所列的数字加密货币都可以被攻击,因为像比特币、比特币现金、以太坊等数字加密货币因为大量算力都被矿池占领。
矿池是不会在 NiceHash 上出租算力的,所以就导致即便你有钱想租借算力来进行双花攻击,也租不到足够的算力。
虽然比特币最值钱,但是你领到这个史诗级的任务,却发现没有史诗级的装备去通关。
那么去掉无法双花攻击的币种,还有哪些适合黑客下手双花攻击呢?哪些性价比高呢?
如果有足够的钱,双花攻击哪个币的性价比最高?
所谓双花攻击的性价比,指的是以最少的资金来获得最大的收益。
区块律动 BlockBeats 给这个双花攻击性价比自制了一个简单的公式来计算其性价比得分:
要想一次性赚到最多的钱,当然要从最值钱的币开始,于是区块律动 BlockBeats 对可以进行双花攻击的数字加密货币的市值进行了排名。
可以看到以太经典(ETC)赫然在列,它不仅市值达到了 94 亿人民币,而且可以租到 96% 的算力来进行双花攻击。
再根据这一双花攻击性价比公式,双花攻击性价比最高的数字加密货币排名如下:
在性价比排名前 10 的数字加密货币中,有 2 个已经被攻击,剩下的还有市值 64 亿的 BCN、市值 94 亿的 ETC、市值 22.7 亿的 BTCP、以及市值 11.9 亿的 MONA 等极具性价比的数字加密货币。
那么再让我们看看,如果攻击者想要双花攻击,交易所是否会为攻击者「敞开大门」?
很显然,交易所可以为攻击者提供足够的场地来进行双花攻击的提现操作。其中 ETC 可以在 67 家交易所进行交易,BCN 可以在 6 家交易所交易,BTCP 可以在 5 家交易所交易,MONA 可以在 9 家交易所交易。
攻击者如果真的控制了这些币的算力,可以进行双花的交易所,真的是太多太多了……
通过区块律动 Blockbeats 的整理,「性价比极高」的 BTCP、BCI 和 ETC 三个 token 处于随时可能会被攻击的危险状态,我们随时都有可能会在第二天的早上,看到以上 Token 被双花攻击的新闻。
租售算力是否道德?
毫无疑问,无论是是 Crypto51 还是 NiceHash,这两家网站都是无害的,尤其是 NiceHash,它在区块链行业的萌芽阶段提供有效地支持,解决了不少项目算力缺失的问题,也让零散在全球的矿工可以通过自己的闲置算力赚到钱。
不道德是破坏共识机制的攻击者,这是犯罪。恶意攻击者,现在可以通过 Crypto51 看到可攻击目标,还可以通过 NiceHash 租到算力来实施犯罪。
其实 crypto51 的出现,并不能改变矿工可以通过 NiceHash 购买算力,来进行 51% 攻击的事实,反而是 crypto51 对各类 Token 成本信息的纰漏,更应引起部分「高性价比」项目方对潜在双花攻击的重视。
当我们深入思考这个现象的时候,我们发现随着区块链技术的迭代升级,POW 算法机制弊端开始显露,以 EOS 为代表的新型公链项目不再需要大量算力挖矿,整个区块链市场也在越来越多的转向了 DPOS 机制来追求中心化、安全和性能上的综合平衡。
这也就意味着,除了老牌的挖矿币之外,新的币将不再需要矿机支持,市场上被淘汰算力也将越来越多,可以在 NiceHash 上租到的算力也会越来越多。闲置算力越多,双花攻击的出现几率就越大。
面对双花攻击,我们该这么办?
因为惨遭双花攻击、损失惨重,BTG 和 ZEN 团队都给出了相应后续预防办法。
在 BTG 遭到 51% 攻击后,BTG 团队无法有效增加 BTG 全网算力,创始人廖翔对双花攻击的反制措施中提及:将计划改进 BTG 的 Equihash 算法来预防 BTG 网络的再次遭到攻击。
而 ZenCash 的团队在 ZEN 双花攻击发生一周后,也对外回复到:
我们发现,现在施行 51% 算力攻击既在技术上可行,而且在经济上也有利可图。成功与否依然是随机的,所以这是一场赌博;但只要有合理的成功率预测,我们就会目睹有源源不断的坏人出现。
随后,Zen 的团队在对外的公告中,也给出了自己的三个解决方案:
1)每当网络上报告了平行区块时,需要区块哈希指针指向 n > 1 个区块;
2)针对迟来的区块报告引入惩罚标准(包含一个补充选项,即根据惩罚标准动态地调节难度);
3)使用我们的节点系统作为一种公证服务,有效地在当前的 POW 机制之上加入一层权益证明机制。
这些补救办法虽然可以在有效的时间内控制双花攻击,但是对于之前的损失,项目团队没有任何解决方法,双花攻击中受损的矿工也得不到有效的补偿。
而在双花攻击中,最倒霉的要数中心化的交易所。因为交易所采取的是数字记账式交易,用户充值的币都在交易所自己的账户中保存,这也就意味着当攻击者实行双花攻击的时候。
虽然是从市场交易中套现,交易对手买到了数字加密货币,但实际上支付款项的是交易所,而用户手中拿到的是记在账上的数字加密货币,当用户需要提币的时候,交易所不得不给用户非双花攻击的币。
就像上面的 BTG,损失最大的是交易所,交易所要为充币交易被回滚承担损失,这就相当于攻击者通过双花攻击,可以轻轻松松地从交易所手里拿钱,而交易所对此却没有任何办法,没脾气。
实际上,并不是每一次双花攻击都能生效,部分交易所在出现某个币种的大额资金流入流出的时候,会采取预警或者限制交易的方法来进行干预,对涉事账户进行冻结处理,而且交易所交易的 KYC 也对攻击者进行限制。双花攻击属于互联网犯罪行为,交易所可以向警方报案。
但是如果黑客有足够的能力,搞到一批假的交易所账号,又有什么难度?而且即便无法提现,也可以通过砸盘来操作期货套利。
区块律动 BlockBeats 咨询了安全团队和矿池,他们都认为目前没有什么好的解决方法,所以我们的建议是尽可能远离这些容易被双花攻击的币,因为你也不知道明天早上醒来的时候,是否会此损失资产。
区块律动BlockBeats正在招人!!!
探寻真相的路上,我们需要你!
内容编辑X2、记者X2、HRX1
↓简历发到↓
blockbeats2018@gmail.com
↓或者联系微信↓
blockbeats_cathy
来源:知乎 www.zhihu.com
作者:区块律动BlockBeats
【知乎日报】千万用户的选择,做朋友圈里的新鲜事分享大牛。 点击下载
没有评论:
发表评论