xvg常用礦池

百億美金漏洞後誰來保障區塊鏈平台安全？

6月8日，360曝出的EOS高危漏洞，引起了網間眾多熱議。北京時間6月2日凌晨，EOS官方正式向360安全團隊公開致謝，並提供3萬美元賞金，強烈呼籲安全社區人員共同努力保證EOS軟體安全性的持續提高。

隨著EOSIO主網上線日益臨近，如何保證區塊鏈節點安全性，為用戶提供可靠穩定的鏈上服務成為了全球EOSIO社區關注的焦點。為此，360前瞻性地提出EOS超級節點安全解決方案，依託「安全大腦」和對EOSIO生態的持續投入，致力於為EOS生態構建一個系統全面的安全保障體系，為EOSIO的廣大用戶提供更安全、更可靠、更穩定的基礎服務。

20s轟癱數字貨幣體系！EOS驚現超級節點攻擊

北京時間5月29日，360Vulcan(伏爾甘)團隊宣布，發現了EOS平台的一系列高危安全漏洞。經驗證，其中部分漏洞可以在EOS節點上遠程執行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節點。29日凌晨，漏洞公布前，360已第一時間將該類漏洞上報EOS官方，並協助其修復安全隱患。

360曝光的EOS漏洞，如果被人利用，可以控制EOS網路裡面的每一個節點、每一個伺服器，不僅僅是接管網路裡面的虛擬貨幣、各種交易和應用，也可以接管節點裡面所有參與的伺服器。可以說，如果有人做一個惡意的智能合約，就能夠把裡面所有的數字貨幣直接拿走。

EOS漏洞的攻擊可以以秒級的速度在多個節點和超級節點之間傳播，從控制節點到生成新塊繼續傳播是連續的、鏈式的爆炸動作，很可能20秒就接管了所有的節點，完成了操作。

想像一下，當攻擊者已經拿到整個EOS網路里至高無上的許可權，就相當於滅霸把六顆宇宙原石都湊齊了，在宇宙中可以瞬息萬變，為所欲為。

來源：中國新聞網

由於ETH2.0升級距離全面發布還有數月甚至數年的時間，第三代區塊鏈協議正在迅速趕上取代以太坊作為dapps和defi的「首選」樞紐。

盡管很多人可能只是最近才發現它，但區塊鏈技術已經存在了足夠長的時間，可以從第一代協議發展到第二代協議，現在已經發展到第三代協議。

第一代區塊鏈始於比特幣，比特幣是中心化金融服務霸權的替代方案。它為去中心化的金融生態系統奠定了基礎，但比特幣網路提供的功能有限，需要巨大的計算能力才能運行，並且嚴重缺乏互操作性。

這導致了2015年以太坊的出現，標志著第二代區塊鏈協議的曙光。隨著VitalikButerin在區塊鏈上引入智能合約功能，它引發了範式轉變，使加密貨幣能夠從金融工具過渡到更實用的目的。

以太坊通過在鏈上實現數據和價值的「有條件轉移」，打開了去中心化的金融(defi)的大門。從那以後，以太坊一直在瘋狂發展，鞏固了自己作為啟動dapps、NFT和defi協議的首選平台的地位。

開發人員和採用者接受了復仇，並開始生成自己的ERC20令牌，這么多的社交媒體平台開始談論的「flippening」-在ETH將超過BTC市值的條款。

然而，盡管它取得了成功，但問題很快在以太坊區塊鏈上顯現出來。隨著新項目大量進入以太坊生態系統，網路開始面臨可擴展性問題。Gas費用飆升，有限的交易吞吐量成為日常問題。

以太坊的創造者VitalikButerin也表達了他對以太坊擴展能力的懷疑，他說：

雖然提議的以太坊2.0升級承諾解決當前使以太坊網路蒙上陰影的問題，但事情並沒有按計劃進行。ETH2.0的第一階段最初定於2019年推出，於2020年12月開始。還有兩個階段，在2022年之前完全發布的可能性很小。

因此，聲稱該網路在實現其成為世界「去中心化計算機」的核心願景之前還有很長的路要走，這並不誇張。

盡管比特幣和以太坊帶來了創新，但這些鏈都受到各自的可擴展性和效率問題的困擾。同時，這兩個網路都需要大量的計算資源才能運行。所有這一切都導致了令人痛苦的緩慢吞吐率和過高成本的永久循環。

已經開發了許多地方2層次擴展解決方案來克服比特幣和以太坊的固有問題，每個解決方案都取得了不同程度的成功。二層解決方案在一定程度上解決了互操作性和可擴展性問題，但與共識機制和挖礦相關的核心問題還有待解決。

這就是第三代區塊鏈出現的地方。雖然一些第三代協議可以補充現有的區塊鏈網路，但其他一些是全新的區塊鏈，擁有廣泛的特性和功能。從多層架構到創新的共識機制，第三代區塊鏈協議不僅完全能夠解決出現的可擴展性問題，而且還具有高度的互操作性、快速性和成本效益。

不可否認，defi熱潮是因為以太坊而發生的，並且以太坊仍然主導著defi市場。然而，隨著基於第三代區塊鏈協議的新定義項目的出現，以太坊的權威無疑將受到挑戰。

隨著defi不斷擴大其市場，下一個「Defi熱潮」很可能來自於比早期區塊鏈網路創新更敏捷、更專注的新興產業。也就是說，隨著加密世界為「下一次大翻轉」奠定了基礎，有前途的項目正在排隊等待更新的區塊鏈技術。

在市場主導地位方面，Cardano、Solana和Polkadot處於領先地位。每個平台都提供一系列功能，這就是為什麼新項目聯盟正在排隊開始在這些平台上構建他們的想法。

例如，卡爾達諾的穩定幣和defi中心Ardana使卡爾達諾能夠擴展到defi領域。該平台及其組成協議是從定義宏觀的角度設計的，旨在為用戶提供所需的功能，以幫助維護卡爾達諾鏈上所有類型的去中心化經濟。它將作為一個金融基礎層，通過採用歷史證明的可組合性、資本效率和穩定性的協議模型來支持卡爾達諾的去中心化經濟。

作為其戰略路線圖的一部分，Ardana將很快推出dUSD。這種可驗證的、鏈上抵押支持的穩定幣將幫助用戶將他們的ADA和其他支持的資產投入使用。該平台還將推出其AMMdex（去中心化交易所）Danaswap，用於穩定的多資產池。根據Ardana團隊的說法，Danaswap將提供資本高效的掉期，同時以最小的滑點為目標，並使流動性提供者能夠利用低風險的收益機會。

另一項雄心勃勃的計劃是Acala，它是利用第三代區塊鏈協議Polkadot的內置功能的Defi流動性中心。目前，幾乎所有穩定幣都建立在以太坊網路上，限制了採用和使用。Acala希望通過利用Polkadot的速度、跨鏈互操作性和成本效率來改變這一現實，以提供具有內置流動性和現成的去中心化金融應用程序的defi中心。

同樣，Acala聲稱以其他網路所需的一小部分來結算交易，在defi競賽中建立了數量優勢。該平台將通過Polkadot基於權重的費用模型支持受交易復雜性影響很小的小額Gas費用。此外，Acala還將引入「演算法風險調整」功能，該功能將自動修改其借貸協議的風險參數，包括利率和抵押品比率。

最後，在這場正在進行的defi市場份額爭奪戰中，建立在Solana區塊鏈網路上的一體式加密交易平台Atani是另一個需要監控的重量級競爭者。該平台提供免費的加密交易工具，並與Kucoin、Binance、Okex、Bitfinex、Poloniex等頂級交易所合作，為用戶提供更低的交易費用。

Atani最近在Solana上推出了新的dex聚合器，以提供訂單路由功能，同時提供投資組合跟蹤、價格警報、技術分析等附加組件。有了這個聚合器和Solana的嵌入特性，Atani的計劃是減少分散的defi生態系統之間的摩擦，將cexs（中心化交易所）和dexs的流動性提供給Solana生態系統，同時確保多鏈支持。

當談到挖掘defi的真正潛力時，我們還沒有真正觸及表面。Web3.0正在發展，地球村正在變得越來越小。與此同時，defi服務對於全球沒有銀行賬戶和銀行賬戶不足的人來說都是革命性的，他們需要更多空間來擴展，就像現有協議推動網路容量限制一樣。

從公正的角度來看，Polkadot、Cardano、Solana和其他幾個第三代區塊鏈平台為阻礙傳統鏈的可擴展性和互操作性提供了急需的解決方案。它們更快、更安全、更具成本效益且資源消耗低，將它們定位為可廣泛使整個加密貨幣行業受益的多合一解決方案。隨著以太坊2.0的首次亮相還有很長的路要走，第三代區塊鏈協議已經在這里完成繁重的工作並將defi提升到一個新的水平。

您認為哪個網路會贏得defi競賽？請在下面的評論部分告訴我們。

#熱議區塊鏈##數字貨幣##比特幣[超話]#

區塊鏈項目（尤其是公有鏈）的一個特點是開源。通過開放源代碼，來提高項目的可信性，也使更多的人可以參與進來。但源代碼的開放也使得攻擊者對於區塊鏈系統的攻擊變得更加容易。近兩年就發生多起黑客攻擊事件，近日就有匿名幣Verge（XVG）再次遭到攻擊，攻擊者鎖定了XVG代碼中的某個漏洞，該漏洞允許惡意礦工在區塊上添加虛假的時間戳，隨後快速挖出新塊，短短的幾個小時內謀取了近價值175萬美元的數字貨幣。雖然隨後攻擊就被成功制止，然而沒人能夠保證未來攻擊者是否會再次出擊。

當然，區塊鏈開發者們也可以採取一些措施

一是使用專業的代碼審計服務，

二是了解安全編碼規范，防患於未然。

密碼演算法的安全性

隨著量子計算機的發展將會給現在使用的密碼體系帶來重大的安全威脅。區塊鏈主要依賴橢圓曲線公鑰加密演算法生成數字簽名來安全地交易，目前最常用的ECDSA、RSA、DSA等在理論上都不能承受量子攻擊，將會存在較大的風險，越來越多的研究人員開始關注能夠抵抗量子攻擊的密碼演算法。

當然，除了改變演算法，還有一個方法可以提升一定的安全性：

參考比特幣對於公鑰地址的處理方式，降低公鑰泄露所帶來的潛在的風險。作為用戶，尤其是比特幣用戶，每次交易後的余額都採用新的地址進行存儲，確保有比特幣資金存儲的地址的公鑰不外泄。

共識機制的安全性

當前的共識機制有工作量證明（ProofofWork，PoW）、權益證明（ProofofStake，PoS）、授權權益證明（DelegatedProofofStake，DPoS）、實用拜占庭容錯（，PBFT）等。

PoW面臨51%攻擊問題。由於PoW依賴於算力，當攻擊者具備算力優勢時，找到新的區塊的概率將會大於其他節點，這時其具備了撤銷已經發生的交易的能力。需要說明的是，即便在這種情況下，攻擊者也只能修改自己的交易而不能修改其他用戶的交易（攻擊者沒有其他用戶的私鑰）。

在PoS中，攻擊者在持有超過51%的Token量時才能夠攻擊成功，這相對於PoW中的51%算力來說，更加困難。

在PBFT中，惡意節點小於總節點的1/3時系統是安全的。總的來說，任何共識機制都有其成立的條件，作為攻擊者，還需要考慮的是，一旦攻擊成功，將會造成該系統的價值歸零，這時攻擊者除了破壞之外，並沒有得到其他有價值的回報。

對於區塊鏈項目的設計者而言，應該了解清楚各個共識機制的優劣，從而選擇出合適的共識機制或者根據場景需要，設計新的共識機制。

智能合約的安全性

智能合約具備運行成本低、人為干預風險小等優勢，但如果智能合約的設計存在問題，將有可能帶來較大的損失。2016年6月，以太坊最大眾籌項目TheDAO被攻擊，黑客獲得超過350萬個以太幣，後來導致以太坊分叉為ETH和ETC。

對此提出的措施有兩個方面：

一是對智能合約進行安全審計，

二是遵循智能合約安全開發原則。

智能合約的安全開發原則有：對可能的錯誤有所准備，確保代碼能夠正確的處理出現的bug和漏洞；謹慎發布智能合約，做好功能測試與安全測試，充分考慮邊界；保持智能合約的簡潔；關注區塊鏈威脅情報，並及時檢查更新；清楚區塊鏈的特性，如謹慎調用外部合約等。

數字錢包的安全性

數字錢包主要存在三方面的安全隱患：第一，設計缺陷。2014年底，某簽報因一個嚴重的隨機數問題（R值重復）造成用戶丟失數百枚數字資產。第二，數字錢包中包含惡意代碼。第三，電腦、手機丟失或損壞導致的丟失資產。

應對措施主要有四個方面：

一是確保私鑰的隨機性；

二是在軟體安裝前進行散列值校驗，確保數字錢包軟體沒有被篡改過；

三是使用冷錢包；

四是對私鑰進行備份。

區塊鏈技術是一種分布式記錄技術，它通過對數據進行加密和分布式存儲，來保證數據的安全性和可靠性。

主要通過以下幾種方式來保證區塊鏈的安全性：

1.加密技術：區塊鏈採用的是對稱加密和非對稱加密演算法，可以有效保護數據的安全。

2.分布式存儲：區塊鏈的數據不是集中存儲在單一節點上，而是分散存儲在網路中的各個節點上，這有效防止了數據的篡改和丟失。

3.共識機制：區塊鏈通常採用共識機制來確認交易的合法性，這有助於防止惡意交易的發生。

4.合約機制：區塊鏈可以通過智能合約來自動執行交易，這有助於防止操縱交易的發生。

區塊鏈技術在實現安全性的同時，也帶來了一些挑戰。例如，區塊鏈的安全性可能受到漏洞的攻擊，或者因為私鑰泄露而導致資產被盜。因此，在使用區塊鏈技術時，還需要注意身份認證、密碼安全等方面的問題，以確保區塊鏈的安全性。

此外，區塊鏈技術的安全性也可能受到政策、法規等方面的影響。例如，在某些國家和地區，區塊鏈技術可能會受到審查和限制，這也可能會對區塊鏈的安全性產生影響。

總的來說，區塊鏈技術的安全性主要通過加密技術、分布式存儲、共識機制和合約機制等方式來保證，但是還需要注意其他方面的挑戰和影響因素。

Ⅱ 區塊鏈安全六大問題是什麼

1.性能問題

體積問題

區塊鏈對數據備份的要求對存儲空間提出挑戰。區塊鏈要求在一筆交易達成後向全網廣播，系統內每個節點都要進行數據備份。

以比特幣為例，自創世區塊至今的區塊數據已經超過60GB，並且區塊鏈數據量還在不斷增加，這將給比特幣核心客戶端的運行帶來很大挑戰。

處理速度問題

比特幣區塊鏈目前最高每秒處理6.67筆交易，一次確認時間大約為10分鍾，容易造成大量交易的堵塞延遲，可能會限制小額多次交易和對時間敏感度較高交易的應用。

盡管目前有了一些克服手段，但全面解決交易效率的方法仍然亟待發掘。

耗能過高

第三，挖礦過程中的算力並不產生額外的實際社會價值，還會浪費大量的電子資源，隨著比特幣的日益普及，區塊鏈逐漸成為高耗能的資本密集型行業。

2.中心化問題

節點的不平等

第一，理論上，分布式網路中每個節點應當被平等對待，但是為了挖礦獲得回報，各節點可能會增加算力進行硬體競賽，從而導致節點的不平等，破壞區塊鏈記賬權的隨機性。

產業化、規模化挖礦產生了礦池

理論上如果礦池通過共謀掌握51%以上的算力進行系統供給，就可以實現雙重支付，實際過程中盡管其成本遠超收益，但不能否認合謀供給存在的可能性。

3.隱私安全問題

私鑰容易被竊取

第一，目前區塊鏈採用的是非對稱密鑰機制，盡管具有很高的安全性，但是私鑰保存在用戶本地，容易被黑客竊取。

區塊鏈數據的透明性容易造成隱私泄露

公有鏈中每個參與者都可以獲得完整的數據備份，整個系統是公開透明的，比特幣通過隔斷交易地址和持有人真實身份的關聯保護隱私。

當區塊鏈需要承載更多的業務時，節點如何驗證信息執行命令就需要更多的考慮。

4.升級和激勵問題

公有鏈中參與節點的數量龐大

無論是升級還是修復錯誤都無法關閉系統集中進行，可能需要考慮放鬆去中心化的問題。

各個節點之間存在著競爭博弈

要求激勵相容機制的完善，如何使去中心化系統中的自利節點能夠自發開展區塊數據驗證及記賬工作，並設計合理的懲罰函數抑制非理性競爭，是區塊鏈面臨的另一挑戰。

雖然在資本和人才湧入的推動下，區塊鏈行業迎來快速發展，但是作為一個新興產業，其安全漏洞頻繁示警的狀況引發了人們對區塊鏈風險的擔憂。

國家信息技術安全研究中心主任俞克群指出，對於隱私暴露、數據泄露、信息篡改、網路詐騙等問題，區塊鏈的出現給人們帶來了很多期望。但區塊鏈的安全問題依然存在諸多的挑戰。

俞克群表示，目前區塊鏈還處在初級階段，存在著密碼演算法的安全性、協議安全性、使用安全性、系統安全性等諸多的挑戰。

國家互聯網應急中心運行部主任嚴寒冰也指出，區塊鏈如果要在全球經濟佔有重要地位，必須首先解決其面臨的安全問題。

嚴寒冰指出，區塊鏈安全問題包含多個方面。比如說傳統的安全問題，包括私鑰的保護，包括應用層軟體傳統的漏洞等。另外，新的協議層面也有一些新的協議帶來的漏洞。

去中心化漏洞平台(DVP)提供的數據也顯示區塊鏈安全問題的嚴峻性。DVP負責人吳家志透露，自7月24日來的一周內，DVP就已經收到白帽子所提供的312個漏洞，涉及175個項目方。其中包括智能合約、知名公鏈，交易所等一系列項目。高危漏洞達122個，占所有漏洞的39.1%，中危漏洞53個，占所有漏洞的17%。

中國信息安全測評中心主任助理李斌分析說，當前區塊鏈分為公有鏈、私有鏈、聯盟鏈三種，無論哪一類在演算法、協議、使用、時限和系統等多個方面都面臨安全挑戰。尤為關鍵的是，目前區塊鏈還面臨的是51%的攻擊問題，即節點通過掌握全網超過51%的算例就有能力成功的篡改和偽造區塊鏈數據。

值得注意的是，除了外部惡意攻擊風險，區塊鏈也面臨其內生風險的威脅。俞克群提醒說，如何圍繞著整個區塊鏈的應用系統的設備、數據、應用、加密、認證以及許可權等等方面構築一個完整的安全應用體系，是各方必須要面臨的重要問題。

吳家志也分析說，作為新興產業，區塊鏈產業的從業人員安全意識較為缺乏，導致目前的區塊鏈相關軟硬體的安全系數不高，存在大量的安全漏洞，此外，整個區塊鏈生態環節眾多，相較之下，相關的安全從業人員力量分散，難以形成合力來解決問題。迎接上述挑戰需要系統化的解決方案。

內容來源中新網

區塊鏈技術的六大核心演算法

區塊鏈核心演算法一：拜占庭協定

拜占庭的故事大概是這么說的：拜占庭帝國擁有巨大的財富，周圍10個鄰邦垂誕已久，但拜占庭高牆聳立，固若金湯，沒有一個單獨的鄰邦能夠成功入侵。任何單個鄰邦入侵的都會失敗，同時也有可能自身被其他9個鄰邦入侵。拜占庭帝國防禦能力如此之強，至少要有十個鄰邦中的一半以上同時進攻，才有可能攻破。然而，如果其中的一個或者幾個鄰邦本身答應好一起進攻，但實際過程出現背叛，那麼入侵者可能都會被殲滅。於是每一方都小心行事，不敢輕易相信鄰國。這就是拜占庭將軍問題。

在這個分布式網路里：每個將軍都有一份實時與其他將軍同步的消息賬本。賬本里有每個將軍的簽名都是可以驗證身份的。如果有哪些消息不一致，可以知道消息不一致的是哪些將軍。盡管有消息不一致的，只要超過半數同意進攻，少數服從多數，共識達成。

由此，在一個分布式的系統中，盡管有壞人，壞人可以做任意事情(不受protocol限制)，比如不響應、發送錯誤信息、對不同節點發送不同決定、不同錯誤節點聯合起來干壞事等等。但是，只要大多數人是好人，就完全有可能去中心化地實現共識

區塊鏈核心演算法二：非對稱加密技術

在上述拜占庭協定中，如果10個將軍中的幾個同時發起消息，勢必會造成系統的混亂，造成各說各的攻擊時間方案，行動難以一致。誰都可以發起進攻的信息，但由誰來發出呢?其實這只要加入一個成本就可以了，即：一段時間內只有一個節點可以傳播信息。當某個節點發出統一進攻的消息後，各個節點收到發起者的消息必須簽名蓋章，確認各自的身份。

在如今看來，非對稱加密技術完全可以解決這個簽名問題。非對稱加密演算法的加密和解密使用不同的兩個密鑰.這兩個密鑰就是我們經常聽到的」公鑰」和」私鑰」。公鑰和私鑰一般成對出現,如果消息使用公鑰加密,那麼需要該公鑰對應的私鑰才能解密;同樣，如果消息使用私鑰加密,那麼需要該私鑰對應的公鑰才能解密。

區塊鏈核心演算法三：容錯問題

我們假設在此網路中，消息可能會丟失、損壞、延遲、重復發送，並且接受的順序與發送的順序不一致。此外，節點的行為可以是任意的：可以隨時加入、退出網路，可以丟棄消息、偽造消息、停止工作等，還可能發生各種人為或非人為的故障。我們的演算法對由共識節點組成的共識系統，提供的容錯能力，這種容錯能力同時包含安全性和可用性，並適用於任何網路環境。

區塊鏈核心演算法四：Paxos演算法(一致性演算法)

Paxos演算法解決的問題是一個分布式系統如何就某個值(決議)達成一致。一個典型的場景是，在一個分布式資料庫系統中，如果各節點的初始狀態一致，每個節點都執行相同的操作序列，那麼他們最後能得到一個一致的狀態。為保證每個節點執行相同的命令序列，需要在每一條指令上執行一個「一致性演算法」以保證每個節點看到的指令一致。一個通用的一致性演算法可以應用在許多場景中，是分布式計算中的重要問題。節點通信存在兩種模型：共享內存和消息傳遞。Paxos演算法就是一種基於消息傳遞模型的一致性演算法。

區塊鏈核心演算法五：共識機制

區塊鏈共識演算法主要是工作量證明和權益證明。拿比特幣來說，其實從技術角度來看可以把PoW看做重復使用的Hashcash，生成工作量證明在概率上來說是一個隨機的過程。開采新的機密貨幣，生成區塊時，必須得到所有參與者的同意，那礦工必須得到區塊中所有數據的PoW工作證明。與此同時礦工還要時時觀察調整這項工作的難度，因為對網路要求是平均每10分鍾生成一個區塊。

區塊鏈核心演算法六：分布式存儲

分布式存儲是一種數據存儲技術，通過網路使用每台機器上的磁碟空間，並將這些分散的存儲資源構成一個虛擬的存儲設備，數據分散的存儲在網路中的各個角落。所以，分布式存儲技術並不是每台電腦都存放完整的數據，而是把數據切割後存放在不同的電腦里。就像存放100個雞蛋，不是放在同一個籃子里，而是分開放在不同的地方，加起來的總和是100個。

這里需要提到區塊鏈的基本系統結構有以下幾種

①網路路由②密碼演算法③腳本系統③共識機制

區塊鏈安全問題的話，主要是由腳本系統來完成的腳本系統，在區塊鏈技術，當中是一個相對來說抽象的概念也是極其重要的一個功能，區塊鏈中，之所以能形成一個有價值的網路依靠的就是腳本系統，就像發動機一樣驅動的，區塊鏈，不斷地進行數據的收發所謂腳本就是指一組成規則再確認系統中某些系統的程序，規則是固定的，比如在比特幣系統中只能進行比特幣發送與接收發送與接收，就是通過比特幣的腳本程序來完成的，系統允許用戶自主編程序規則，好了之後就可以部署，到區塊鏈賬本中，這樣就可以擴展整個區塊鏈系統的功能，如以太坊就是通過這一套自定義的腳本系統，從而實現了智能合約的功能，那麼具體的場景應用或者說實際生活案例比如說訂單物流信息供應鏈信息。