Bitcoin86.com

曾经被称为不可撼动的区块链现在被黑客入侵

自2017年初以来,黑客总共偷走了价值近20亿美元的加密货币,主要来自交易所,而这正是公开披露的内容。这些不仅仅是机会主义孤独的攻击者。现在,复杂的网络犯罪组织正在这样做:分析公司Chainalysis最近表示,只有两个团体,其中两个显然仍然活跃,可能从交易所偷走了10亿美元。

曾经被称为不可撼动的区块链现在被黑客入侵
 
我们不应该感到惊讶。区块链对小偷特别有吸引力,因为欺诈交易无法逆转,因为它们通常可以在传统的金融系统中。除此之外,我们早就知道,就像区块链具有独特的安全功能一样,它们具有独特的漏洞。称这项技术“不可撼动”的营销口号和头条新闻是错误的。

自从比特币十年前出现以来,至少在理论上已经理解了这一点。但在过去的一年里,在新的加密货币项目的寒武纪爆发中,我们已经开始看到这在实践中意味着什么 - 以及这些固有的弱点对区块链和数字资产的未来意味着什么。

你怎么破解区块链

在我们继续之前,让我们直截了当地说几句。

一个blockchain是通过计算机网络,每个存储的最先进的最新版本的副本保存的密码数据库。区块链协议是一组规则,用于规定网络中的计算机(称为节点)应如何验证新事务并将其添加到数据库中。该协议采用密码学,博弈论和经济学来激励节点努力保护网络,而不是为了个人利益而攻击网络。如果设置正确,则此系统可能使添加错误事务变得极其困难和昂贵,但相对容易验证有效事务。

正是这一点使得该技术对许多行业如此有吸引力,从金融开始。来自富达投资(Fidelity Investments)和纽约证券交易所所有者洲际交易所(Intercontinental Exchange)等知名机构即将推出的服务将开始融入现有金融体系中的区块链。甚至央行也在考虑将它们用于新的数字形式的本国货币。

但是区块链系统越复杂,设置错误的方式就越多。本月早些时候,负责Zcash的公司 - 一种使用极其复杂的数学方法让用户私下进行交易的加密货币 - 揭示了它秘密修复了一个偶然出现在协议中的“ 微妙的加密漏洞 ”。攻击者可以利用它来制造无限制的假冒Zcash。幸运的是,似乎没有人真正这样做过。

协议不是唯一必须安全的东西。要自己交换加密货币或运行节点,您必须运行软件客户端,该客户端也可能包含漏洞。9月,比特币的主要客户名为比特币核心的开发商不得不争先恐后地修复一个错误(也是秘密),这个错误可能会让攻击者获得比系统允许的更多的比特币。

尽管如此,大多数最近引人注目的黑客攻击并不是对区块链本身的攻击,而是在交易所,人们可以购买,交易和持有加密货币的网站。许多抢劫案可能归咎于糟糕的基本安全措施。一月份发生了变化,对以太坊精英赛的攻击率为51%。

51%的规则

对大多数加密货币来说,对51%攻击的敏感性是固有的。这是因为大多数都是基于区块链,这些区块链使用工作证明作为验证交易的协议。在此过程(也称为挖掘)中,节点花费大量计算能力来证明自己足够可信,以便将有关新事务的信息添加到数据库中。以某种方式控制大部分网络采矿能力的矿工可以通过向他们发送付款来欺骗其他用户,然后创建区块链的替代版本,其中付款从未发生过。这个新版本称为fork。控制大部分挖掘能力的攻击者可以使分支成为链的权威版本,并继续再次使用相同的加密货币

对于流行的区块链,尝试这种抢劫可能是非常昂贵的。根据网站Crypto51,租用足够的采矿权来攻击比特币目前每小时的成本超过26万美元。但是当你向下移动超过1,500个加密货币的列表时,它会快得多。硬币价格下跌使其价格更便宜,因为它们会导致矿工关闭机器,使网络保护更少。

到2018年中期,攻击者开始对一系列相对较小的轻微交易硬币(包括Verge,Monacoin和Bitcoin Gold)进行51%的攻击,总共盗窃了大约2000万美元。在秋季,黑客通过对一种叫做Vertcoin的货币的一系列攻击偷走了大约10万美元。对以太网经典的打击率超过100万美元,是第一个对抗前20的货币。

基于区块链的文件存储平台Sia的共同创始人David Vorick 预测, 51%的攻击将在频率和严重程度上继续增长,并且交换将首当其冲地受到双倍花费造成的损害。他说,推动这一趋势的一件事就是所谓的哈希率市场的兴起,攻击者可以利用这些市场来租用计算能力进行攻击。“在选择支持哪种加密货币时,交易所最终需要更具限制性,”Vorick在以太坊经典黑客攻击后写道。

一个全新的可以蠕虫漏洞

除了51%的攻击外,区块链安全漏洞还有全新的水平,其研究人员刚刚开始探索:智能合约漏洞。巧合的是,以太坊经典 - 特别是其起源背后的故事 - 也是理解它们的良好起点。

一个聪明的合同是一个blockchain网络上运行的计算机程序。它可以用于根据规定的规则和条件自动化加密货币的移动。这有许多潜在用途,例如促进真正的法律合同或复杂的金融交易。另一个用途 - 这里感兴趣的案例 - 是建立一种投票机制,通过该投票机制,风险投资基金的所有投资者可以共同决定如何分配资金。

正是这样一个名为分散自治组织(DAO)的基金于2016年使用名为以太坊区块链系统建立。此后不久,一名攻击者通过利用管理DAO的智能合约中一个无法预料的缺陷,偷走了价值超过6000万美元的加密货币。从本质上讲,这个缺陷允许黑客在没有系统注册资金已被撤回的情况下继续向帐户请求资金。

如图所示,实时智能合约中的错误可以创建一种独特的紧急情况。在传统软件中,可以使用补丁修复错误。在区块链世界中,它并非如此简单。苏格兰皇家太平洋地区的研究科学家兼智能合约安全创业公司ChainSecurity的联合创始人佩塔尔·坦科夫说,由于区块链上的交易无法撤销,因此部署智能合约有点像发射火箭。“该软件不会出错。”

有一些修复。虽然它们无法修补,但可以通过部署其他智能合约来与其进行交互来“升级”某些合同。开发人员还可以将集中式终止交换机构建到网络中,以便在检测到黑客攻击后停止所有活动。但对于钱已被盗的用户来说,为时已晚。

有效地,检索资金的唯一方法是重写历史记录 - 在攻击发生之前回到区块链上的点,创建新区块链的分支,并让网络上的每个人同意使用该区块链。这就是以太坊的开发者选择做的事情。大多数(但不是全部)社区转向新链,我们现在称之为以太坊。一小部分坚持与原始链条粘在一起,成为以太坊经典。

上个月,Tsankov在ChainSecurity的团队挽救了以太坊可能重演的DAO灾难。在重大计划的软件升级前一天,该公司告诉以太坊的主要开发人员,它会产生意想不到的后果,即在区块链上留下一些合同,容易受到导致DAO攻击的同类漏洞的影响。开发人员迅速推迟了升级,并将在本月晚些时候再次推出。

然而,区块链安全公司AnChain.ai的联合创始人兼首席执行官Victor Fang表示,数以百计的有价值的以太坊智能合约已经容易受到这种所谓的重入错误的影响。根据去年进行的研究,成千上万的合同  可能包含其他一些漏洞。公共区块链的本质意味着如果存在智能合约错误,黑客就会发现它,因为源代码通常在区块链上可见。“这与传统的网络安全非常不同,”曾在网络安全公司FireEye工作过的方说。

越野车合同,特别是持有数千或数百万美元的合同,吸引了像攻击银行或政府那样先进的黑客。今年8月,AnChain确定了五个以太网地址背后的一个非常复杂的攻击,利用一个流行的赌博游戏中的合同缺陷来窃取400万美元。

黑客可以被击败吗?

AnChain.ai是最近为解决区块链黑客威胁而创建的几个创业公司之一。它使用人工智能来监控事务并检测可疑活动,并且可以扫描智能合约代码以查找已知漏洞。

其他公司,包括Tsankov的ChainSecurity,正在开发基于已建立的称为形式验证的计算机科学技术的审计服务。目标是在数学上证明合同的代码实际上会完成其创建者的意图。Tsankov说,这些审计工具在过去一年左右开始出现,这使得智能合约创建者能够消除许多“低成本”的漏洞。但是这个过程既昂贵又耗时。

康奈尔大学隐形货币与合约倡议研究员菲利安戴安说,这也可能会使用额外的智能合约来设置基于区块链的“虫子奖励”。这会鼓励人们报告缺陷以换取加密货币奖励。

但确保代码干净只会到目前为止。毕竟,区块链是一个复杂的经济系统,它取决于人类不可预测的行为,人们总是会寻找新的游戏方式。Daian和他的同事已经展示了攻击者如何通过游戏流行的以太坊智能合约获得如何获利。

简而言之,尽管区块链技术长期以来一直受到其安全性的欢迎,但在某些条件下它可能非常脆弱。有时伪劣的执行可能被指责,或无意的软件错误。其他时候,它更像是一个灰色区域 - 代码之间相互作用的复杂结果,区块链的经济学和人类的贪婪。自从技术开始以来,这在理论上是众所周知的。现在世界上有这么多区块链,我们正在学习它的实际意义 - 通常是困难的方式。

来源: 懂币

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

renrenbit