以太坊钱包攻击
Ⅰ SAFEIS安全报告:加密史上十大被盗事件梳理及应对策略
2008年全球金融危机因为中心化世界的种种弊端而爆发并进而席卷全球,为了消除这些弊端,中本聪创立了比特币网络,区块链也因此诞生。
为了提高整个网络以及交易的安全性,区块链采用分布式节点和密码学,且所有链上的记录是公开透明、不可篡改的。最近几年,区块链获得长远发展,形成了庞大的加密生态。
然而,区块链自问世以来,加密货币骗局频发并有愈演愈烈之势,加密货币也无法为用户的资金提供足够的安全性。此外,加密货币可以匿名转移,从而导致加密行业的重大攻击盗窃事件频发。
下文将梳理剖析加密史上十大加密货币盗窃事件,以及防范加密资产被盗的六大实用策略。
1.Mt. Gox 被盗事件
Mt. Gox 被盗事件仍然是 历史 上最大的加密货币盗窃案,在 2011 年至 2014 年期间,有超过 85 万比特币被盗。
Mt. Gox 声称导致损失的主要原因是源于比特币网络中的一个潜在漏洞——交易延展性,交易延展性是通过改变用于产生交易的数字签名来改变交易的唯一标识符的过程。
2011 年 9 月,MtGox 的账户私钥就已泄露,然而该公司并没有使用任何审计技术来发现漏洞并预防安全事件的发生。此外,由于 MtGox 定期重复使用已泄露私钥的比特币地址,导致被盗资金损失不断扩大,到 2013 年中,该交易所已被黑客盗取63万枚比特币。
许多交易所会同时使用冷钱包和热钱包来进行资产的存储和转移,一旦交易所的服务器被黑,黑客便可以盗取热钱包里面的加密资产。
2.Linode被盗事件
加密网络资产托管公司Linode主要业务就是托管比特币交易所和巨鲸的加密资产,不幸的是,这些被托管的加密资产储存在热钱包中,更为不幸的是,Linode 于 2011 年 6 月遭到黑客攻击。
这导致超过5万枚比特币被盗,Linode的客户损失惨重,其中,Bitcoinia、Bitcoin.cx以及Gavin Andresen分别损失43000枚、3000枚和5000枚比特币。
3.BitFloor被盗事件
2012 年 5 月,黑客攻击 BitFloor 并盗窃了24000枚比特币,这一切源于钱包密钥备份未加密,才使攻击者轻而易举获得了钱包密钥,并进而盗取了巨额加密资产。
被盗事件发生后,BitFloor 的创建者 Roman Shtylman 决定关闭交易所。
4.Bitfinex被盗事件
使用多重签名账户并不能完全杜绝安全事件的发生,Bitfinex接近12万枚巨额比特币资产被盗事件就证明了这一点。
2022年6月份,2000万枚OP代币就是以为不恰当使用多重签名账户而被盗。
5.Coincheck被盗事件
总部位于日本的 Coincheck 在 2018 年 1 月被盗价值 5.3 亿美元的 NEM ( XEM ) 代币。
Coincheck事后透露,由于当时的人员疏忽,黑客能够轻易访问他们的系统,且由于资金保存在热钱包中并且安全措施不足,黑客能够成功盗取巨额加密资产。
6.KuCoin被盗事件
KuCoin 于 2020 年 9 月宣布,黑客盗取了大量的以太坊 ( ETH)、BTC、莱特币 ( LTC )、Ripple ( XRP )、Stellar Lumens ( XLM )、Tron ( TRX ) 和 USDT等加密资产。
朝鲜黑客组织 Lazarus Group 被指控为KuCoin被盗事件的始作俑者,这次被盗事件造成了2.75 亿美元的资金损失。幸运的是,该交易所收回了约2.7亿美元的被盗资产。
7.Poly Network被盗事件
Poly Network被盗事件是有史以来最严重的加密货币盗窃案之一,2021 年 8 月,一位被称为“白帽先生”的黑客利用了 DeFi 平台 Poly Network 网络中的一个漏洞,成功窃取了Poly Network上价值约 6 亿美元的加密资产。
Poly Network被盗事件蹊跷的是,自被盗事件发生后,“白帽先生”不仅与Poly Network官方保持公开对话,而且还于一周后归还了所有被盗的加密资产。“白帽先生”因此获得50万美元的奖金,并获得了成为 Poly Network 高级安全官的工作机会。
8.Cream Finance被盗事件
2021 年 10 月,Cream Finance发生安全事件,被黑客盗取价值1.3 亿美元的加密资产。这是 Cream Finance 今年发生的第三起加密货币盗取事件,黑客在 2021 年 2 月盗取了 3700 万美元的加密资产,在 2021年 8 月盗取了 1900 万美元的加密资产。
本次被盗事件是通过闪电贷攻击的方式完成的,攻击者使用 MakerDAO 的 DAI 生成大量 yUSD 代币,同时还利用 yUSD 价格预言机来完成闪电贷攻击。
9.BadgerDAO被盗事件
2021 年 12 月,一名黑客成功从DeFi 项目 BadgerDAO 上的多个加密货币钱包中窃取资产。
该事件与通过Cloudflare将恶意脚本注入网站用户界面时的网络钓鱼有关。 黑客利用应用程序编程接口 (API) 密钥窃取了 1.3 亿美元的资金。API 密钥是在 Badger 工程师不知情或未经许可的情况下创建的,用于定期将恶意代码注入其一小部分客户端。
然而,由于黑客未能及时从Badger提取资金,因此大约 900 万美元加密资产得以追回。
10.Bitmart被盗事件
2021 年 12 月,Bitmart 的热钱包遭到黑客攻击,约 2 亿美元加密资产被盗。研究发现,约1 亿美元的加密资产是通过以太坊网络盗取转移的,另外接近1亿美元是通过币安智能链网络盗取转移的。
此次被盗事件涉及20多种代币,包括比特币等主流币,和相当数量的山寨币等。
保护加密资产的最佳方法是重视钱包的加密保护和安全的私钥存放方式,以及对市场上的项目进行深入的研究和辨识,避免踏入攻击者的陷阱。
由于区块链的不可篡改和不可逆性,一旦钱包私钥泄露,加密资产被盗便不可避免并无法追回。
防范加密资产被盗的六大实用策略:
1.使用冷钱包
与热钱包不同,冷钱包不连接互联网,因此不会受到网络攻击。私钥存储在冷钱包中可有有效保护加密资产。
2.使用安全网络
在交易或进行加密交易时,仅使用安全的网络,避免使用公共 Wi-Fi 网络。
3. 资金分散到多个钱包中
鸡蛋不要放到同一个篮子中,这句话在金融领域和加密领域都十分受用。
将加密资产分发到不同的多个钱包中,这样可以在遭受攻击时,将损失降到最低。
4. 提高个人设备安全性
确保个人设备安装了最新的安全软件,以防御新发现的漏洞和网络攻击,并且开启防火墙来提高设备的安全性,以避免黑客通过设备系统安全漏洞来进行攻击。
5.设置强密码并定期更改
在谈论安全性时,我们不能低估强密码的重要性。很多人在多个设备、应用程序社交媒体帐户和加密钱包上使用相同的密码,这大幅增加了加密资产被盗的几率。
防止被盗需要钱包账户建立一个安全等级较高的强密码,这个强密码需要具有独特性,并养成定期更改的习惯。此外,选择双重身份验证 (2FA) 或多重身份验证 (MFA) 可以提高安全性。
6. 谨防钓鱼攻击
通过恶意广告和电子邮件进行的网络钓鱼诈骗在加密货币世界中十分猖獗。在进行加密交易时要格外小心,避免点击任何可疑和未知链接。
应当始终检查核实有关加密投资的相关信息和网站的URL,尤其是这些信息极具诱惑力且不合常理时,比如,项目方官方通过Didcord等渠道私聊信息,当然,项目方Didcord被攻击的安全事件的频繁发生,这时的恶意链接可能是在公共频道中而不是私聊界面,这种情况下,多渠道检查核实有关加密投资相关信息的真实性就显得格外重要了!
SAFEIS是国际知名的创新型区块链生态安全服务平台,基于 数据、 智能、网络安全、图计算等多种核心技术打造,具有完备的数据处理和精准追溯能 ,服务对象涵盖全球诸多知名公司和项目。
“让区块链更安全”是一个光荣使命,我们将践行光荣使命、续航崭新征程。
Ⅱ 怎么防止区块链货币,区块链有什么技术,可以实现“防篡改”
货币安全是重点,数字货币的安全措施有哪些?数字货币的合约交易不安全。数字货币交易平台依然存在诸多漏洞,比如最常见的就有以下六种:
一、拒绝服务攻击
拒绝服务攻击是目前最主要的针对数字货币交易平台的攻击方式,攻击者通过拒绝服务攻击,让交易平台无法正常访问,而用户因为无法准确分辨攻击程度,往往会造成恐慌性的资产转移,从而带来一定的损失影响。
二、钓鱼事件
即使是目前最好的技术措施也无法让数字货币交易平台避免钓鱼攻击,一些黑客和不法分子可以通过虚假的域名或者仿冒页面的方式迷惑数字货币投资者,而一般的投资者又无从辨别真伪,因此很容易就造成资产上的损失。
三、热钱包防护问题
很多数字货币交易平台使用单个私钥来保护热钱包,如果黑客们可以访问单个私钥,他们就可以破解与私钥相关的热钱包。例如,2017年首尔交易所Yapizon的攻击,攻击者一年内前后两次对交易平台发起了针对平台上热钱包的盗取,总共造成交易平台近50%的资产损失,并最终导致了交易平台破产。
四、内部攻击
没有完善的风险隔离措施,或对于员工权限监督不力,数字货币交易平台也存在员工监守自盗,部分拥有平台操作权限的员工利用内部信任为自己谋取不义之财。例如,2016年交易平台ShapeShift发生的员工盗取比特币事件,通过私下盗取和将敏感信息转卖给他人的方式给交易平台共造成23万美元损失。
五、软件漏洞
数字货币交易平台的软件漏洞则包括单点登录漏洞、oAuth协议漏洞等。目前各国都有法律要求银行或其他金融机构实施信息安全措施,以保护客户的存款。但由于区块链领域还处于起步阶段,目前缺少适用于加密数字资产的此类规范。因此,许多交易平台在缺乏安全规范约束的条件下,存在大量漏洞并非偶然。
六、交易可锻性
区块链的技术支持者常常认为区块链交易是高度安全的,因为它们被记录在据称不可更改的记录上,但是每个交易都需要有相应签名,而在交易最终确认之前,记录是可以被暂时伪造的。
区块链如何保证使用安全?区块链项目(尤其是公有链)的一个特点是开源。通过开放源代码,来提高项目的可信性,也使更多的人可以参与进来。但源代码的开放也使得攻击者对于区块链系统的攻击变得更加容易。近两年就发生多起黑客攻击事件,近日就有匿名币Verge(XVG)再次遭到攻击,攻击者锁定了XVG代码中的某个漏洞,该漏洞允许恶意矿工在区块上添加虚假的时间戳,随后快速挖出新块,短短的几个小时内谋取了近价值175万美元的数字货币。虽然随后攻击就被成功制止,然而没人能够保证未来攻击者是否会再次出击。
当然,区块链开发者们也可以采取一些措施
一是使用专业的代码审计服务,
二是了解安全编码规范,防患于未然。
密码算法的安全性
随着量子计算机的发展将会给现在使用的密码体系带来重大的安全威胁。区块链主要依赖椭圆曲线公钥加密算法生成数字签名来安全地交易,目前最常用的ECDSA、RSA、DSA等在理论上都不能承受量子攻击,将会存在较大的风险,越来越多的研究人员开始关注能够抵抗量子攻击的密码算法。
当然,除了改变算法,还有一个方法可以提升一定的安全性:
参考比特币对于公钥地址的处理方式,降低公钥泄露所带来的潜在的风险。作为用户,尤其是比特币用户,每次交易后的余额都采用新的地址进行存储,确保有比特币资金存储的地址的公钥不外泄。
共识机制的安全性
当前的共识机制有工作量证明(ProofofWork,PoW)、权益证明(ProofofStake,PoS)、授权权益证明(DelegatedProofofStake,DPoS)、实用拜占庭容错(,PBFT)等。
PoW面临51%攻击问题。由于PoW依赖于算力,当攻击者具备算力优势时,找到新的区块的概率将会大于其他节点,这时其具备了撤销已经发生的交易的能力。需要说明的是,即便在这种情况下,攻击者也只能修改自己的交易而不能修改其他用户的交易(攻击者没有其他用户的私钥)。
在PoS中,攻击者在持有超过51%的Token量时才能够攻击成功,这相对于PoW中的51%算力来说,更加困难。
在PBFT中,恶意节点小于总节点的1/3时系统是安全的。总的来说,任何共识机制都有其成立的条件,作为攻击者,还需要考虑的是,一旦攻击成功,将会造成该系统的价值归零,这时攻击者除了破坏之外,并没有得到其他有价值的回报。
对于区块链项目的设计者而言,应该了解清楚各个共识机制的优劣,从而选择出合适的共识机制或者根据场景需要,设计新的共识机制。
智能合约的安全性
智能合约具备运行成本低、人为干预风险小等优势,但如果智能合约的设计存在问题,将有可能带来较大的损失。2016年6月,以太坊最大众筹项目TheDAO被攻击,黑客获得超过350万个以太币,后来导致以太坊分叉为ETH和ETC。
对此提出的措施有两个方面:
一是对智能合约进行安全审计,
二是遵循智能合约安全开发原则。
智能合约的安全开发原则有:对可能的错误有所准备,确保代码能够正确的处理出现的bug和漏洞;谨慎发布智能合约,做好功能测试与安全测试,充分考虑边界;保持智能合约的简洁;关注区块链威胁情报,并及时检查更新;清楚区块链的特性,如谨慎调用外部合约等。
数字钱包的安全性
数字钱包主要存在三方面的安全隐患:第一,设计缺陷。2014年底,某签报因一个严重的随机数问题(R值重复)造成用户丢失数百枚数字资产。第二,数字钱包中包含恶意代码。第三,电脑、手机丢失或损坏导致的丢失资产。
应对措施主要有四个方面:
一是确保私钥的随机性;
二是在软件安装前进行散列值校验,确保数字钱包软件没有被篡改过;
三是使用冷钱包;
四是对私钥进行备份。
网络金融“区块链,虚拟货币”诈骗传销如何识别防范?
据不完全统计,我国利用区块链概念的传销平台已超过上千家。可以说从“曲高和寡”到“泥沙俱下”,这种“新壶装老酒”的网络诈骗传销,经久不衰,引人深思。
归纳总结这些区块链的诈骗无非是这两个惯用手法:
一种是“挂羊头卖狗肉”,以“虚拟币”之名行传销之实。比如Fcoin交易所的FT币,投资者都觉得这种交易分红的模式能维持下去,然而一旦没有新人入场购买,就足以让其崩盘。
另一种是所谓的“出口转内销”。比如涉案金额高达16亿元的“维卡币”案中,该组织的传销网站及营销模式皆由保加利亚人组织建立,服务器则设在丹麦。在我国依法取缔ICO并依法关闭境内虚拟货币交易所后,诈骗组织打出“出口转内销”的口号继续行骗。
那我们该如何辨别区块链传销?
区块链传销作为传销的一个分支,必然拥有传销的诸多特点,其中最大的特点之一就是发展下线,组织者会许诺发展多少人会给多少提成,或是发展几级下线有多少奖励,或者用什么裂变等术语迷惑用户。
1、传销全靠一张嘴,并没有实际开发者。比如著名的传销币维卡币,还有一个非常好听的名字Onecoin。这个币号称是比特币之后的第二代加密货币,自2014年问世以来吸引了大批投资者。虽然多次被国家归为传销币打击,但依旧有投资人不离不弃,也许是被深套的无奈吧。我们不能听之任之,要眼观四路,耳听八方。
2、传销的饼画得太大,一定保持着一个怀疑的态度。常见用语是颠覆世界,改变格局,打败银行,财富自由等。梦想是有的,但说的太离谱,简直让人不敢相信。
3、还有就是传销者主动制造FOMO(让你害怕错过发生的事情)。向外宣传买了币就能翻百倍翻千倍,
时时刻刻透露着这是屌丝翻身迎娶白富美的机会。早买早暴富,购买了就等着财富自由。
如何辨别是否传销币?记住下面这三点:
1、过分的夸大自己:喜欢冠以全球XX,世界XX等微商类字眼的宣传语项目,就要小心!
2、分等级制度:一般传销喜欢搞分级模式,发展会员,而正规的区块链是没有的。
3、验证你的实名制之类:凡是需要什么群主/工会/上级来验证你的实名制那都是传销。
最后,多去搜索信息、发出质疑、多思考做功课,币圈太杂骗也多,需谨慎!
遭遇区块链传销骗局我们该如何维权?
1、现场谈判维权
很多投资者在发现被骗之后,会联合起来到虚拟币交易所所在地进行现场维权,围攻交易所,施压让其返还相关的损失,这种方式能起一定的作用。许多投资者拿回了部分损失,或多或少的,很少有全部拿回的。那些能拿回的要不是有实力或背景,要不是通过媒体,有的甚至通过找关系,但很多人是没有拿回损失。
2、报警
报警时一般会得到以下几种处理结果:
第一,警方认定此类案件属于正常的投资亏损,不做立案处理;
第二,警方认定他们的资金已经流通至国外,无法受理,只能建议他们打国际官司;
第三,由于之前的合同平台是以公司名义与他们签订的,金额没有达到立案标准;
第四,平台一旦跑路、公司搬空,案件几乎无法推进,只能选择民事诉讼。
维权的路实在是坎坷,还是从源头做好,不给诈骗犯机会!
Ⅲ 以太坊钱包是什么
以太坊钱包是一种用于存储、管理、生成和使用以太坊数字资产的工具。它是用户私钥和公钥的保管处,允许用户安全地交互和操作以太坊区块链上的各种应用。
以太坊钱包的具体解释如下:
以太坊钱包是加密货币领域的一个重要组成部分。它是一个软件或硬件设备,用于存储以太坊的私钥和公钥。私钥是一个独特的密钥,用于访问账户并授权交易。公钥则是账户的地址,类似于电子邮件地址,通过它可以向其他人发送或接收以太坊或其他代币。这些钱包的设计目的是为了保障加密货币的安全,因此通常会采取多重安全措施,如密码保护、备份恢复功能以及生物识别认证等。此外,这些钱包也支持多种平台的操作,无论是桌面电脑、移动设备还是硬件存储介质上均可使用。用户可以轻松地查看其账户的资产,以及与智能合约和去中心化应用进行交互操作。
使用以太坊钱包不仅可以让用户更方便地管理和控制他们的数字资产,还能够帮助他们探索以太坊生态系统的广阔应用场景和功能。许多交易和市场参与活动以及投资和挖矿行为,都离不开这些智能、安全的钱包支持。它们是以太坊区块链上不可或缺的一环。总之,以太坊钱包在保障加密货币的安全管理以及促进区块链技术应用上起到了重要作用。其安全和可靠性强劲的特征能够使用户在使用时感到安心和便捷。
Ⅳ 以太坊钱包和波场钱包有什么区别
1. 以太坊钱包是一种冷钱包,可以存储加密数字货币资产。这种钱包可以在没有网络连接的情况下使用,为用户提供了一种离线存储数字资产的方式。
2. 波场钱包则属于热钱包,它必须在网络连接的情况下才能使用。这意味着,波场钱包需要用户始终连接到互联网,以便进行资产的存储和交易。
3. 以太坊钱包和波场钱包的主要区别在于它们的存储方式和网络依赖性。以太坊钱包适合那些希望离线保护其资产的用户,而波场钱包则适合那些需要随时进行交易和资产管理的用户。
Ⅳ 鱼池矿池怎么了
慢雾安全团队宣布观测到一起自动化盗币的攻击行为,攻击者利用以太坊节点 Geth/Parity RPC API 鉴权缺陷,恶意调用 eth_sendTransaction 盗取代币,持续时间长达两年,单被盗的且还未转出的以太币价值就高达现价 2 千万美金,还有代币种类 164 种,总价值难以估计,因为很多代币还未上交易所正式发行。池也是受害者之一,因此损失了8000多个ETH。
拓展资料:Cobo钱包主要在两个方面做优化:
1、产品方面。致力于解决用户没有好钱包产品这个痛点。很多小白用户进入这个行业第一就是要学习复杂的钱包使用说明,用户在前期都是尝试阶段,打很小额的币或者不打币,所以对管理私钥不太在乎,后期交易量高了,很容易遗忘或根本记不起来各种币种的密钥,甚至有的换了手机,连APP都找不到了。为了解决这个用户最基础最痛的痛点,启动了这个项目,期望用最好的互联网产品逻辑出发去打造一个优质体验的钱包产品。
2、安全方面。安全方面Cobo耗费了大量的人力物力,资产安全是我们第一生命线,在安全方面我们从不吝惜成本。有多家国内外互联网企业级安全团队入驻,帮助我们把好用户资产安全这个大门。除了服务器端的安全加固,资产还会进入到我们冷钱包中。有一种很极端的情况,Cobo钱包的后端服务器被盗,导致用户的资产丢失,对此做了一系列的安全方案,首先从安全的分级,到不同的资产,一些大额用户的资产放到了完全离线的、跟互联网没有任何接触的离线服务器里面,只有少额的数字资产是放在在线的钱包里的,如果在线钱包的数字货币被盗取,也是在Cobo能够承受的范围之内。
鱼池钱包的优势和区别,应该是以下几个点:
1、运营思路与传统钱包完全不同,完全从用户实用角度出发而不是使用,有别于现在市面上所有钱包产品逻辑;
2、利用国际化团队的优势,把优质的区块链产品及应用融入到钱包中,
3、目前各类钱包、包含交易所在内的安全等级都不够,各种丢币事件频出,用户资产安全应该是头等大事,不惜成本不惜代价的来守护,如果没有这个理念,就不应该出现在这个行业。
Ⅵ ETH币是骗局吗ETH币怎么买
ETH币是骗局,是骗子们专门给自以为买了骗子们发行的数字货币就可以赚大钱的韭菜们而发行的,ETH币要在骗子们开的交易所购买!
Ⅶ DeFi安全吗
越来越多的人希望通过攻击智能合约来窃取资金,他们正在利用当智能合约组合在一起时出现的漏洞进行攻击。
2020年,对DeFi的攻击中,被套取或盗取的总金额已经达到了3600万美元。但因为dForce的攻击者退还了被盗的2500万美元,所以实际金额大约有 1100 万美元。
与以太坊早期相比,每次黑客攻击的平均损失价值已经明显下降。在2020年的10次攻击中,有8次的攻击金额低于100万美元。
DeFi
在以太坊早期,大多数攻击都是基于找到个别漏洞,让攻击者有能力冻结或耗尽智能合约。2016年臭名昭著的DAO黑客事件就是如此,1.6亿美元的ETH被盗,以太坊最终因此分叉。同样,2017年的Parity多签袭击让黑客盗取了3000万美元,Parity钱包中1.5亿美元被冻结,都是这类漏洞造成的后果。
这类智能合约的漏洞仍不时被人利用。最近,一名攻击者成功地从代币合约中窃取了所有的VETH,仅通过耗尽VETH-ETH Uniswap池就获利了90万美元。但这是VETH造成的一个简单失误,因为VETH修改ERC20代币标准的方式有逻辑上的错误。
总的来说,现在的安全性有所提高,特别是那些关注度比较高的项目。它们的安全性提升是由于用户对审计的期望和围绕测试的工具改进推动的。最近DeFi中最大的安全问题是dForce 2500万美元的数字资产在借贷市场中被盗。然而,由于攻击者的IP地址被发现并与新加坡警方共享,因此这些资金被退了回去。
链乔教育在线旗下学硕创新区块链技术工作站是中国教育部学校规划建设发展中心开展的“智慧学习工场2020-学硕创新工作站 ”唯一获准的“区块链技术专业”试点工作站。专业站立足为学生提供多样化成长路径,推进专业学位研究生产学研结合培养模式改革,构建应用型、复合型人才培养体系。
Ⅷ 简单解释何为51%攻击
你可能会下意识认为加密货币是安全可靠的。怎么说呢,即使网络犯罪分子以不可思议的规律频繁攻击交易所和热钱包,但底层的区块链技术本身天然抗攻击,不是吗?
好吧,其实不然。区块链容易遭受所谓的“51%攻击”伤害。
当有一组矿工控制超过Token哈希算力(计算能力)的50%时,可能会发生51%的攻击(也称为“多数攻击”)。 实际上,“51%”其实用词不当; 一个成功的攻击实际上仅需要50%+ 1的哈希算力。
如果一个群体可以达到如此高水平的控制,就可以通过以下方式轻易毁掉相关币种。
不进行确认从而阻止产生新的区块
撤消当前块上已完成的事务
在网络上发起“双花”
50%+ 1是确保攻击成功所需的哈希算力。 但是,也有可能以较低的哈希算力成功进行攻击。 安全团队使用统计建模来表明当被控制的哈希算力达到约30%时,漏洞风险可能会开始增加。
比特币以及其他几个主流币种使用工作量证明机制来验证交易并将其广播到区块链上。
在白皮书中,比特币的创始人中本聪简明扼要地将这个过程概括为“一CPU,一票”:
“工作量证明“实质上是一CPU一票,最长的链条代表大多数判断,因为该链条拥有最大量“工作量证明”投入。如果CPU算力的大多数由诚实的节点控制,诚实的链条将以超过其他与之竞争链条的速度快速生长。
您可能已经注意到上述引文中的大问题:“如果大部分CPU功率由诚实节点控制......”
当不诚实的节点数量超过诚实节点时,问题就出现了。 在这些情况下,他们可以“投票孤立”合法的矿工,确保他们自己控制最长的链条,从而控制整个加密货币。
中本聪假定,即使矿工可以控制超过50%的节点,他仍然可能“遵守规则”来保护自己的财富:
如果一个贪婪的攻击者有能力比诚实矿工控制更多CPU算力,他将被迫进行选择,是通过欺诈以偷回其支付的款项(译者注:即双重支付攻击),还是通过(获取)生成的新货币。他应当会发现,按照规则行事更加有利可图,这样的规则有利于他比其他联合起来的每一个人获取更多的新货币,亦优于破坏系统以及损害自己拥有财富的有效性。
不幸的是,网络犯罪分子并不完全遵循规则。 自中本聪的白皮书发布以来,已有无数的51%攻击案例。
到目前为止,我们已经利用比特币来说明51%的攻击是如何发生的。
然而,虽然在技术层面上比特币易受攻击,但在更实际的层面上,由于三个原因,它不太可能成为这个受害者:
1、成本
比特币网络规模巨大,想要获得足够用于攻击的哈希算力,需要相当大量的资金投入。
据Crypto51称,对比特币进行长达一小时的黑客攻击需要花费237,941美元。 对以太坊进行攻击的成本同样令人望而却步 ——将花费74,837美元。
2、矿池
如今,最大的加密货币的矿池分布广泛。
情况并非总是如此;2014年,Ghash.io大概掌握量51%的比特币哈希算力。比特币当时显然远不如现在影响大,但仍然令人担忧。
不得不说Ghash.io贼靠谱,他们几乎立即放弃了10%算力,并要求社区自愿将自己的算力限制在40%内,以保护区块链的长期完整性。
现在最大的比特币矿池的哈希算力徘徊在20%左右。
3、NiceHash
NiceHash是世界上最大的加密货币挖矿算力市场。
据Crypto51估计,NiceHash可以产生的总功率不到比特币网络总功率的百分之一。 以太坊是5%,比特币现金是2%。 所有主流币的百分比都保持相似的低百分比。
因此,即使是武器化的NiceHash也没有足够的力量对主流币进行51%的攻击。
当你研究较小的币种时,事情开始发生巨大变化。
就像市值排名前十的币种,对其发动攻击基本都是天价,而排名再往后就不好说了。其对应的NiceHash百分比也开始增加。 也有一些较大币种的百分比令人担忧。 以太坊经典为82%,门罗币79%……
2018年5月比特币黄金遭遇51%的攻击时,小币种的脆弱性成为焦点。
比特黄金 ——来自2017年比特币的硬分叉 - 当时甚至出现不到六个月。
以至于该项目的发言人爱德华·伊斯克拉尔必须告知所有可以交易比特黄金的交易所,将确认数从5个增加到50个,并手动审查大额交易是否存在可疑活动。
“持续攻击的成本很高。 由于成本很高,攻击者只有从虚假存款中快速获得高价值的东西才能获利。 像交易所这样的场所,可以自动接受大额存款,允许用户快速交易另一个币种,然后自动撤离。 在清算交易资金之前,我们一直建议设置上限以防止此类攻击,并敦促人工审查BTG的大额存款。“
在很长是一段时间,我们几乎可以肯定的是,51%攻击的次数会不断增加。
但是会有一线希望吗? 很难说目前存在的数千种山寨币给最终用户带来了什么实实在在的好处。 如果由此加密世界能围绕一些较大的币种进行巩固,那么对于该行业的长期健康来说,51%攻击可能不是一件绝对的坏事。