Monacoin、biotcoin gold、zencash、verge 以及 litecoin cash 如今皆面臨威脅。
最近以來,至少有五種加密貨幣在過去一個月內遭遇攻擊威脅。令人擔憂的是,具體攻擊方式原本被認為僅存在於理論當中,但實則不然,在各輪攻擊當中,攻擊者都能夠獲得充足的計算能力,重新規劃交易內容,並竊取數百萬美元——我們甚至可以將其視為加密貨幣層面的銀行劫案。
更令人驚訝的是,所謂的“51%攻擊”早已成為一種眾所周知的高危加密貨幣攻擊向量。
“51%攻擊:是一種術語,代表著攻擊者手中累積的算力已經超過加密貨幣網絡中其他所有成員的總和:這意味著其將能夠控制貨幣產出。
51%攻擊問題是一類加密貨幣頑疾,同時也是致命傷。如果某種新加密貨幣的網絡算力容量較差,則攻擊威脅將變得很高,這意味著這種貨幣將不再可信。雖然對這類網絡發動攻擊無法帶來什麼經濟收益,但攻擊者可以藉此“幹掉”某些發展勢頭良好的加密貨幣競爭對手。
另一種可能的應用方式,在於攻擊已經在商業上獲得成功的貨幣以獲取利潤。
因此,51%攻擊是一種自然選擇性質的手段,其主要威脅著擁有高度發展潛力的新型加密貨幣。與此同時,對於那些“家大業大”的主流加密貨幣而言,當其採礦週期即將結束時,也有可能受到51%攻擊的影響。每過四年,生成一個區塊的獎勵就將減半。最初生成新區塊的獎勵為25個比特幣,而到2016年則下降至12.5個比特幣。這一數字儘早會低於生成新區塊所需要的算力成本,屆時參與者數量一定會大幅下降。這意味著整體網絡容量將顯著萎縮,並導致51%攻擊的成功機率迅速提高。
儘管此前已經出現過此類成功的攻擊案例,但其普遍一直較低。事實上,由於罕見的發生機率,一部分技術專家甚至認為某些大型區塊鏈上的礦工永遠不會因此受到侵擾。其理由非常簡單——實施攻擊的成本過於高昂,攻擊者根本無法藉此回本。
然而,實際情況看起來並非如此。
紐約大學計算機科學研究員Joseph Bonneau去年發佈了一項研究報告,其中估算了若僅租用資源而非投資購買設備,那麼對頂級區塊鏈實施此類攻擊到底要花費多少資金。
他得出的結論之一正是,此類攻擊活動將有所增加。事實證明,他是對的。
在接受採訪時,他解釋稱,“一般來講,加密貨幣社區認為這是一種不太可能存在的威脅。但我認為這種可能性實際上並沒有那麼低,我也一直在努力警告這種風險。”他同時補充稱:
“雖然我也認為這一切不會很快發生。”
深入剖析攻擊活動
退一步講,加密貨幣希望解決的其實是一個長期存在的計算機科學問題,即“雙重支出問題”。
基本上,在沒有計算機監控激勵與不良行為防範機制的情況下,消息傳遞網絡無法充當貨幣系統。簡而言之,其無法阻止某人重複多次消費同樣的數據(除非依託於第三方進行驗證,但第三方是否可信同樣存在疑問)。
而這正是加密貨幣出現的根本原因,其引入礦工(即運行區塊鏈軟件所必需的計算設備的專門表達)貢獻算力,同時確保財產不致受到竊取。
要利用這一攻擊向量實現盈利,黑客需要做好一系列準備。首先,除非掌握大量散列處理能力,否則攻擊者無法完成任何竊取活動。但在某些特定情況下,他們確實能夠實現雙重支出交易。
很明顯,將如此昂貴的散列處理能力集中在一筆額度僅為 3 美元的咖啡付款上顯然沒有意義。更具體地講,只有能夠藉此竊取數十萬甚至數百萬美元,攻擊者才擁有行動的動力。
正因為如此,黑客們找到了各種巧妙的方法來滿足這些特定條件,從而竊取額外資金。很明顯,monacoin、bitcoin gold、zencash 以及 litecoin cash 等擁有數百萬加密貨幣的交易所正是攻擊者的理想突破目標。
通過收集半數以上的網絡散列能力,bitcoin gold 攻擊者將能夠在交易所當中完成額度極高的雙重支出交易。
通過三次針對 zencsh 的成功攻擊(這是一種鮮為人知的加密張貼,屬於 Zcash 某私有分叉的再分叉),攻擊者得以獲得了約 21000 個 zen 代幣,當時其價值超過 50 萬美元。
儘管攻擊者同樣利用非安全規則進行網絡混淆以賺取利潤,但這種針對邊緣位置的攻擊仍然與傳統方法有所區別。很明顯,此次攻擊針對邊緣位置的較低協議層,而研究人員們也在爭論其在技術上是否屬於51%攻擊。
小小代幣存在巨大風險
但更令人奇怪的是,既然這些攻擊在很長一段時間內都僅存在於理論層面,為何近期又突然開始爆發?
在接受採訪時,研究人員們並沒有給出了一個明確的理由。但我們仍然能夠結合實際作出猜測。舉例來說,攻擊者選擇知名度較低的代幣作為突破口絕非偶然。由於其吸引到的礦工更少,因此購買(或者租用)超越半數網絡算力的難度將會變得更低。
此外,zencash聯合創始人Rob Viglione認為,礦業市場的興起也是一大重要原因。用戶可以在無需購買的前提下快速租用採礦硬件、設置並運行採礦硬件。這意味著攻擊者能夠藉此輕鬆獲得大量一次性採礦算力,而無需投入時間或大量資本建立自己的採礦體系。
與此同時,隨著股票市場礦市場積累的散列處理能力愈發強大,攻擊的實施也變得更加輕鬆。
他表示,“黑客們如今已經意識到,這些資源完全可以被用於實施攻擊活動。”
甚至有人建立起 Crypto51 網站作為數據點,用於展示利用採礦市場(在此次攻擊中為 NiceHash)針對各類區塊鏈開展51%攻擊到底需要多少成本。舉例來說,可能只需要花費 719 美元即可租用足夠的算力對 bitcoin gold 加以攻擊。
康奈爾大學教授Emin Gün Sirer在推文中表示,“如果大家把自己的資產保存在某種代幣當中,而其單日攻擊成本低於100萬美元,那你確實應該好好權衡一下。”
在另一方面,像比特幣與以太坊這樣的大型加密貨幣顯然對51%攻擊有著更強的抵禦能力 ,因為其規模更大、需要比 Nicehash 更強的散列處理能力。
Bonneau在採訪中表示,“比特幣的規模太過龐大,根本不存在足以發動攻擊的閒置比特幣採礦容量。”
雖然 Crypto51 給出了粗略的估計,但蘇黎世聯邦理工學院的研究員Arthur Gervais認為,這樣的結果還不夠準確,因為其“忽略”了購買硬件及軟件的初始成本。他補充稱,“在我看來,這樣的計算過程過於簡單。”
解決方案:慢慢等待
Gervais還指出,確實有必要將這類攻擊活動納入考量。雖然51%攻擊已經成為最知名的加密貨幣攻擊手段之一,但並不代表其就是惟一或者說最嚴重的威脅。
他提到了其它幾種惡意bug——例如在zcoin當中被發現的bug。一旦這些bug遭到利用,用戶即可隨意輸出儘可能多的zcoin代幣。至於51%攻擊,只要其仍然擁有實際意義、能夠影響到各類交易所或者其他受害者,相信黑客還將繼續加以利用。
Viglione表示,“作為一個行業,我們必須終結這種風險”。他同時指出,zencash就在努力阻止這種情況再次發生。
無論如何,用戶或交易所要想確保自身不受欺詐活動的影響,最重要的方式之一就是僅接受歷史較長或者擁有更多支持交易所的加密貨幣——也就是提高“確認”度。越來越多的證據表明,上述條件能夠顯著提高51%攻擊的成功門檻。
最初,只需要五次確認即可從交易所中竊取bitcoin gold,而攻擊者則可在此之後將散列算力全部釋放。作為回應,bitcoin gold 開始將確認數量提高到 50 次,而至少就目前來看此類攻擊已經成功得到阻止。
正因為如此,開發人員與研究人員普遍認為,規模更大的區塊鏈以及更高的散列處理能力由於不大需要確認機制的支持,因此能夠帶來更理想的安全性。
正如比特幣創業者John Light所言:
“如果有人再因為‘更便宜’而建議你使用其它加密貨幣時,請想到安全性這一關鍵點。(Remember this next time someone tells you they use altcoins because they're 'cheaper' to use.)”
閱讀更多 科技行者 的文章
