區塊鏈是一種新技術,也是一種自由的產物,通過共識機制、密碼學、程序語言構建出一個相對公平的匿名自由世界。公開、透明、自由是它的slogan,但同時漏洞與惡意攻擊也是與之并存,那在區塊鏈史上發生過哪些攻擊呢?可以一起來簡單了解一下。
DAO攻擊
DAO攻擊應該說是鏈圈里大名鼎鼎,畢竟DAO攻擊當時可是差點毀了以太坊,這個攻擊并不是某一個經典的名詞性攻擊而是以事件來命名的。2016年6月17日,一群黑客攻擊了The DAO網絡,盜取了約364萬ETH。當天,以太坊價格暴跌50%損失慘重。以太坊團隊為挽救損失在7月20日進行了硬分叉,所以現在以太坊有兩個鏈ETC(以太經典)和ETH(以太坊)。
DAO攻擊黑客同時利用了2個攻擊漏洞,一個是遞歸調用splitDAO函數;一個是DAO資產分離后要從THEDAO資產池中銷毀資產。一般DAO資產被分離后,TheDAO資產池會銷毀這部分DAO資產,但是攻擊者在遞歸調用結束前把自己的DAO資產轉移到了其它賬戶,這樣就避免這部分DAO資產被銷毀。
雙花攻擊
雙花攻擊簡單來說就是一筆錢花兩次,因為區塊鏈的共識是鏈長者為主鏈,鏈短者數據自動作廢。假如小紅給你轉了200FIL,你將等價人民幣轉入小紅的銀行卡,這200FIL的交易生成上鏈。但是小紅擁有全網51%的算力,他在交易到賬后新開一條主鏈,使含有你交易的區塊作廢,這樣小紅沒有損失任何幣卻得到了一筆錢,這筆錢還可以再花一次,所以這種攻擊方式被稱為雙花攻擊。
區塊鏈中最著名的雙花攻擊是2018年一名惡意礦工臨時控制了比特幣黃金(BTG),在向交易所充幣后迅速提幣,竊取388200個BTG,價值高達1860萬美元。3月18日晚,也有媒體稱Filecoin遭遇了雙花攻擊,最后被證實為虛驚一場。
女巫攻擊
女巫攻擊一般是指一個網絡節點通過偽裝來不停地變換身份,讓同網絡中的其它節點誤認為它是不同的節點,當偽裝節點達到一定數量的時候,我們就認為發起了一次成功的女巫攻擊。就像《陸小鳳傳奇》里面的司空摘星通過易容的手段,變化成不同身份來達到自己“探囊取物”的目的。在P2P網絡中,刷票、刷排名、刷閱讀量等行為均可以視為女巫攻擊。
很多項目在最初的時候,就會對女巫攻擊有所防范,作惡者要控制其網絡的共識機制,要付出高額成本,所以區塊鏈一些經典項目如btc、ETH、FIL上無需擔心女巫攻擊,但新項目網絡算力不足、節點不足,對其進行女巫攻擊的成功概率就會大很多。
粉塵攻擊
粉塵攻擊簡單來說就是通過數據追蹤用戶生活軌跡,獲得用戶真實信息和關系網絡;或在鏈上不停發送小額交易造成消息池堵塞。用戶一般很難注意到錢包地址中0.000001以下代幣金額的變化,部分惡意礦工就會通過向錢包發送少量代幣的方式對用戶進行攻擊,因為金額很少所以這種少量金額就被稱為“粉塵”。
2018年10月下旬,比特幣Samourai錢包的開發者就曾經宣布他們的一些用戶遭受了粉塵襲擊。隨后Samourai Wallet團隊實施了粉塵跟蹤的實時警報以及允許用戶標記可疑資金的“不用花費”功能。
釣魚攻擊
釣魚攻擊顧名思義就是放餌給魚咬,然后吃干抹凈只剩骨頭。不僅我們平時日常生活中存在這種詐騙,鏈圈也是同樣的,一般都會將自己偽裝成官方人員通過電話、郵件、社交媒體等渠道提供受害人確切信息來獲取受害人的信任得到用戶私鑰將金錢轉移。
2018 年 2 月 19 日,烏克蘭的一個黑客組織,通過購買谷歌搜索引擎中與加密貨幣相關的關鍵詞廣告,偽裝成合法網站從知名加密貨幣錢包 Blockchain.info 中竊取了價值超過 5000 萬美元的數字加密貨幣。
區塊鏈中的攻擊有些是針對項目方、礦工,有些則是會針對交易所和個人用戶。針對項目方和礦工的攻擊一般會在技術上進行提前預判來避免,是小概率發生事件;針對交易所發起的攻擊,一般成熟的交易所在安全上會有專門的團隊來進行保障,降低其發生概率;針對個人用戶的攻擊,則希望用戶可以保持警惕,每條與之相關信息都要謹慎對待,不要輕易信任他人或者網站給出自己的憑據或私鑰。沒有一項技術是絕對的安全,惡意攻擊也不僅存在于區塊鏈這個行業,用一種理想的眼光去看待攻擊,它既是摧毀也是基石。
