雷鋒網(wǎng)編者按：“我們不生產(chǎn)幣，我們是幣的搬運工?！卑酌眳R安全研究院負(fù)責(zé)人鄧煥如此描繪他所觀察到黑客在區(qū)塊鏈幣世界的猖獗現(xiàn)象?！坝行┘夹g(shù)可以產(chǎn)品先行，但是自帶金融屬性的技術(shù)必須得安全先行?！卑酌眳R CEO 趙武這樣說。在專業(yè)的安全研究人員看來，黑客要想攻擊區(qū)塊鏈實在太簡單了，那么自帶金融屬性的區(qū)塊鏈又受到了哪些安全威脅？5月8日，白帽匯安全研究院聯(lián)合安全智庫發(fā)布了一份《區(qū)塊鏈安全分析報告》，雷鋒網(wǎng)截取了其中“區(qū)塊鏈攻擊對象分析”部分章節(jié)。

區(qū)塊鏈攻擊對象分析

基于目前世界各國對加密貨幣的態(tài)度不盡一致，在區(qū)塊鏈貨幣領(lǐng)域黑客幾乎可以為所欲為，尚處于無法監(jiān)管的狀態(tài)，所以思考已經(jīng)發(fā)生或者可能發(fā)生的安全問題對于區(qū)塊鏈應(yīng)用來說是必不可少的。

就目前區(qū)塊鏈的特征，我們進行了如下分層：應(yīng)用服務(wù)層、中間協(xié)議層和基礎(chǔ)網(wǎng)絡(luò)。并基于以下層面出發(fā)，針對每層中各個“攻擊面”去分析已發(fā)生或者可能發(fā)生的安全風(fēng)險：       

一般來說，區(qū)塊鏈系統(tǒng)由數(shù)據(jù)層、網(wǎng)絡(luò)層、共識層、激勵層、合約層和業(yè)務(wù)服務(wù)層組成。其中，數(shù)據(jù)層封裝了底層數(shù)據(jù)塊區(qū)以及相關(guān)的數(shù)據(jù)加密和時間戳等技術(shù)；網(wǎng)絡(luò)層則包括分布式組網(wǎng)機制、數(shù)據(jù)傳播機制和數(shù)據(jù)驗證機制等；共識層主要封裝網(wǎng)絡(luò)節(jié)點和各類共識算法；激勵層將經(jīng)濟因素集成到區(qū)塊鏈技術(shù)體系中來，主要包括經(jīng)濟激勵的發(fā)行機制和分配機制等；合約層主要封裝各類腳本、算法和智能合約，是區(qū)塊鏈可編程特性的基礎(chǔ)；業(yè)務(wù)層則封裝了區(qū)塊鏈的各種應(yīng)用場景和案例。

該模型中，基于時間戳的鏈?zhǔn)綁K區(qū)結(jié)構(gòu)、分布式節(jié)點的共識機制、基于共識算力的經(jīng)濟激勵和靈活可編程的智能合約是區(qū)塊鏈技術(shù)最具代表性的創(chuàng)新點。經(jīng)過對區(qū)塊鏈技術(shù)的各個層面進行縱向剖析，并針對上述層次的不同“角色”進行安全性分析后，我們發(fā)現(xiàn)目前攻擊者通常從兩個點出發(fā)：

1.    區(qū)塊鏈中的中心化對象：交易平臺、在線錢包等。

2.    區(qū)塊鏈中的去中心化對象：智能合約、共識機制等。

我們根據(jù)攻擊者主要采用的攻擊方式、對象和等級，總結(jié)如下表所示：

 

3.1         數(shù)據(jù)層

3.1.1     區(qū)塊數(shù)據(jù)

基于區(qū)塊鏈技術(shù)本身的特性，區(qū)塊數(shù)據(jù)是分布在多個節(jié)點上的鏈?zhǔn)浇Y(jié)構(gòu)數(shù)據(jù)，節(jié)點與節(jié)點之間的“互動”將記錄在區(qū)塊中，然后在各個節(jié)點之間同步完整的區(qū)塊數(shù)據(jù)，每個節(jié)點都有自己的一份區(qū)塊數(shù)據(jù)，單一或少部分的節(jié)點的區(qū)塊數(shù)據(jù)自行或被篡改，都無法影響整個區(qū)塊鏈的運行，依賴這種去中心化的架構(gòu)，可以很容易做到數(shù)據(jù)防篡改。

風(fēng)險

針對區(qū)塊數(shù)據(jù)的安全風(fēng)險，我們分析總結(jié)了以下攻擊方式：

惡意信息攻擊

在區(qū)塊鏈中寫入惡意信息，例如病毒特征碼、政治敏感話題等。借助區(qū)塊鏈數(shù)據(jù)不可刪除的特性，信息被寫入?yún)^(qū)塊鏈后很難刪除。若區(qū)塊鏈中出現(xiàn)惡意信息，將會遭到殺毒軟件、政治敏感等多方面的問題。

資源濫用攻擊

隨著時間的推移，區(qū)塊數(shù)據(jù)可能會爆炸式增長（節(jié)點之間惡意頻繁交互），也可能會呈線性增長，這主要取決于此區(qū)塊鏈應(yīng)用的設(shè)計，依賴現(xiàn)有的計算機存儲技術(shù)，區(qū)塊數(shù)據(jù)若發(fā)生爆炸式增長，可能導(dǎo)致節(jié)點無法容納又或者使區(qū)塊鏈運轉(zhuǎn)緩慢，從而使穩(wěn)定運行的節(jié)點越來越少，節(jié)點越少，則越趨于中心化，引發(fā)區(qū)塊鏈危機。

不過目前主流的區(qū)塊鏈應(yīng)用譬如BTC、ETH等，都完好的解決了此問題，比特幣的解決方法為固定區(qū)塊大小為1M，防止區(qū)塊過度膨脹，區(qū)塊鏈大小呈線性增長，即使到2029年區(qū)塊數(shù)據(jù)也只有1T左右，但是此解決方案并不優(yōu)雅，限制區(qū)塊大小的同時也給比特幣帶來了交易時間長的詬病，目前比特幣的一筆交易需要確認(rèn)數(shù)小時。

攻擊場景距離：若鏈中沒有設(shè)計相應(yīng)的操作限制，攻擊者可以通過發(fā)送大量的垃圾信息來堵塞整個區(qū)塊鏈，使區(qū)塊鏈中真正的信息遲遲得不到處理，又或者使區(qū)塊鏈中的存儲節(jié)點超負(fù)荷運行。

案例

2017年2月份，以太坊的Ropsten測試鏈就遭到了一次惡意攻擊，攻擊者發(fā)動了千萬級別的垃圾交易信息，直接阻塞的網(wǎng)絡(luò)的正常運行。

此案例雖然發(fā)生在測試網(wǎng)絡(luò)上，并沒有使以太坊網(wǎng)絡(luò)受到實質(zhì)性的影響，但也給我們敲響了警鐘，區(qū)塊鏈的應(yīng)用目前還處于萌芽階段，主流的應(yīng)用不存在此問題理所當(dāng)然，但不代表新的區(qū)塊鏈應(yīng)用不會存在這類問題，這都是區(qū)塊鏈開發(fā)者需要注意的。

2017年在EuskalHack安全會議上，有安全研究者提出了基于區(qū)塊鏈模式的botnet網(wǎng)絡(luò)，利用區(qū)塊鏈網(wǎng)絡(luò)進行C&C的惡意指令發(fā)布的并且提供了POC[17]。 

3.1.2     簽名與加密方式

簡要

密碼學(xué)是保證區(qū)塊鏈的安全性和不可篡改性的關(guān)鍵，而且區(qū)塊鏈技術(shù)大量依賴了密碼學(xué)的研究成果，為區(qū)塊鏈的信息完整性、認(rèn)證性和不可抵賴性提供了關(guān)鍵保障。

風(fēng)險

加密技術(shù)作為一個區(qū)塊鏈整體的支柱，其安全性顯得尤為重要，例如前些年所流行的MD5和sha1摘要算法，目前已經(jīng)證明安全性不足，現(xiàn)在已經(jīng)不能被商用。

所以，公認(rèn)的高強度加密算法在經(jīng)過長時間的各方面實踐與論證后，已被大家所認(rèn)可，但不代表其不存在漏洞，不可被破解。

如比特幣目前大量使用的是sha256算法，到目前為止，此算法還是安全的，雖然有人依然持有質(zhì)疑，但是并沒有任何直接的公開證據(jù)表明此算法存在漏洞。 

然而，比特幣所使用的算法也并不是毫無瑕疵，至少目前引發(fā)了以下問題：

1.      sha256算法對應(yīng)的ASIC礦機以及礦池的出現(xiàn)，打破了中本聰最初設(shè)計“一CPU一票”的理念，淘汰了普通GPU挖礦，全網(wǎng)的節(jié)點逐漸減少，逐漸趨于中心化。

2.      假名制，通過公共賬本你可以查看任意賬戶的所有交易信息，這顯然是和隱私保護背道而馳的，而且在日常的互聯(lián)網(wǎng)生活中很難不在互聯(lián)網(wǎng)中留下痕跡，例如：在論壇中發(fā)布交易信息，錢包地址就與論壇賬戶產(chǎn)生了對應(yīng)關(guān)系。門羅幣在此方面則優(yōu)于比特幣。

所以，在設(shè)計區(qū)塊鏈應(yīng)用的時候，務(wù)必要對加密方式慎重選擇。對于目前主流的簽名方式有如下：

針對加密方式的安全風(fēng)險，我們分析總結(jié)了以下攻擊方式：

窮舉攻擊

此類攻擊方式主要作用于散列函數(shù)中，且?guī)缀跛猩⒘泻瘮?shù)或多或少都受此攻擊方式影響，而且其影響程度與函數(shù)本身無關(guān)，而是與生成的hash長度有關(guān)，主要是一個概率論的問題，其中最典型的的方式是基于生日悖論的“生日攻擊”。

生日悖論：如果一個房間里有23個或23個以上的人，那么至少有兩個人的生日相同的概率要大于50%。這就意味著在一個典型的標(biāo)準(zhǔn)小學(xué)班級(30人)中，存在兩人生日相同的可能性更高。對于60或者更多的人，這種概率要大于99%。

碰撞攻擊

此種攻擊方式主要作用于散列函數(shù)中，比較典型的案例是“md5摘要算法”和“sha1摘要算法”。

它的攻擊原理是通過尋找算法的弱點，瓦解它的強抗碰撞性這一特性，使得散列函數(shù)原本要在相當(dāng)長一段時間才能尋找到兩個值不同hash相同的值的特性被弱化，攻擊者能在較短的時間能尋找到值不同但hash相同的兩個值。

長度擴展攻擊

此種攻擊方式主要作用于散列函數(shù)中，準(zhǔn)確的說是基于Merkle–Damg?rd構(gòu)造的摘要算法。其原理是通過算法弱點，在已知密文hash和密文長度的情況下，推導(dǎo)出密文與另一消息拼接后計算出來的hash。

后門攻擊

此種攻擊方式作用于所有開源加密算法庫中，RSA算法是區(qū)塊鏈中身份驗證的基石，RSA算法本身是沒問題的，但是在實際情況中，人們可能更多的是選擇別人已經(jīng)寫好的“輪子”直接拿來用，而不是自己再去實現(xiàn)一套加密函數(shù)。

這就帶來了一個問題，在別人已經(jīng)寫好的“輪子”中，可能被安插后門，比較典型的案例是:NSA在RSA算法中安插后門，使得攻擊者能直接通過公鑰算出私鑰。

量子攻擊

此種攻擊方式作用于大部分密碼學(xué)算法。目前所有的加密算法以及摘要算法，其安全強度取決于它被窮舉的時間復(fù)雜度，這使得依賴現(xiàn)有的計算機的計算能力，針對比較強的加密算法要對它進行暴力破解是非常難的，但是量子計算機擁有傳統(tǒng)計算機無可比擬的算力，使得時間復(fù)雜度大大降低，于是，其安全強度便可能被瓦解，此問題是比特幣社區(qū)中一直在討論的問題。

案例

目前暫無實際攻擊曝光，但在某些層面可能存在致命安全隱患

3.2         網(wǎng)絡(luò)層

3.2.1     P2P網(wǎng)絡(luò)

區(qū)塊鏈的信息傳播主要依賴于其點對點傳輸?shù)奶匦?，采用P2P[4]式的網(wǎng)絡(luò)架構(gòu)，尋找適宜的節(jié)點進行信息傳播，當(dāng)建立一個或多個連接后，節(jié)點將一條包含自身IP地址消息發(fā)送給其相鄰節(jié)點。相鄰節(jié)點再將此消息依次轉(zhuǎn)發(fā)給它們各自的相鄰節(jié)點，從而保證節(jié)點信息被多個節(jié)點所接收、保證連接更穩(wěn)定。

風(fēng)險

P2P網(wǎng)絡(luò)依賴附近的節(jié)點來進行信息傳輸必須要互相暴露對方的IP，若網(wǎng)絡(luò)中存在一個攻擊者，就很容易給其他節(jié)點帶來安全威脅，中心化的網(wǎng)絡(luò)不會太過擔(dān)心此問題的原因是組織的網(wǎng)絡(luò)中心的安全性都是極高的，即使暴露也不會有太大問題。

而去中心化的公鏈網(wǎng)絡(luò)節(jié)點可能是普通家庭PC，可能是云服務(wù)器等等，其安全性必然是參差不齊的，其中必有安全性較差的節(jié)點，對其進行攻擊將直接威脅節(jié)點的安全。

針對P2P網(wǎng)絡(luò)的安全風(fēng)險，我們分析總結(jié)了以下攻擊方式：

日食攻擊

日食攻擊是其他節(jié)點實施的網(wǎng)絡(luò)層面攻擊，其攻擊手段是囤積和霸占受害者的點對點連接間隙，將該節(jié)點保留在一個隔離的網(wǎng)絡(luò)中。這種類型的攻擊旨在阻止最新的區(qū)塊鏈信息進入到日食節(jié)點，從而隔離節(jié)點。

竊聽攻擊

攻擊者可以使用這種攻擊來讓區(qū)塊鏈中的用戶標(biāo)識與ip關(guān)聯(lián)起來，在某些情況下甚至可以追溯到用戶的家庭地址。

以比特幣為例，當(dāng)你在比特幣網(wǎng)絡(luò)上執(zhí)行交易時，你的比特幣客戶端通常通過連接到一組八臺服務(wù)器來加入網(wǎng)絡(luò)，這個初始連接集合就是你的入口節(jié)點，每個用戶都會獲得一組唯一的入口節(jié)點。

當(dāng)你的錢包發(fā)送比特幣完成購買時，入口節(jié)點將交易轉(zhuǎn)交給比特幣網(wǎng)絡(luò)的其余部分，研究人員發(fā)現(xiàn)，識別一組一口節(jié)點意味著識別一個特定的比特幣客戶端，以此來推導(dǎo)出某個用戶。

那么，攻擊者要做的是與比特幣服務(wù)器建立多個連接，連接后，攻擊者必須聽取客戶端與服務(wù)端的初始連接，這會泄露客戶端的ip地址。

隨著交易流經(jīng)網(wǎng)絡(luò)，它們將會與客戶端的入口節(jié)點相關(guān)聯(lián)，如果匹配，那么攻擊者就知道這是來自一個特定客戶端的交易。

BGP劫持攻擊

邊界網(wǎng)關(guān)協(xié)議(BGP)是因特網(wǎng)的關(guān)鍵組成部分，用于確定路由路徑。BGP劫持,即利用BGP操縱因特網(wǎng)路由路徑，最近幾年中已經(jīng)變得越來越頻繁。 無論是網(wǎng)絡(luò)犯罪分子還是政府,都可以利用這種技術(shù)來達到自己的目的，如誤導(dǎo)和攔截流量等，目前在區(qū)塊鏈網(wǎng)絡(luò)中節(jié)點的流量一但被接管又能對整個網(wǎng)絡(luò)造成巨大的影響，如破壞共識機制，交易等各種信息。而對于BGP劫持攻擊中，目前有安全研究者已經(jīng)證明該攻擊的概念可行性，從2015年11月5日至2016年11月15日通過對節(jié)點網(wǎng)絡(luò)的分析統(tǒng)計目前大多數(shù)比特幣節(jié)點都托管在少數(shù)特定的幾個互聯(lián)網(wǎng)服務(wù)提供商(ISPs)，而60%的比特幣連接都是在這幾個ISP。所以這幾個ISP可以看到60%的比特幣流量，所以也能夠做到對目前比特幣網(wǎng)絡(luò)的流量控制權(quán)，研究者通過劫持的場景驗證了至少如下兩個攻擊概念是可行的，同時給出了驗證的代碼[8]。

分割攻擊

攻擊者可以利用BGP劫持來講區(qū)塊鏈網(wǎng)絡(luò)劃分成兩個或多個不相交的網(wǎng)絡(luò)，此時的區(qū)塊鏈會分叉為兩條或多條并行鏈。攻擊停止后，區(qū)塊鏈會重新統(tǒng)一為一條鏈，以最長的鏈為主鏈，其他的鏈將被廢棄，其上的交易、獎勵等全部無效。

攻擊場景舉例：

1)        首先，攻擊者發(fā)動BGP劫持，將網(wǎng)絡(luò)分割為兩部分，一個大網(wǎng)絡(luò)、一個小網(wǎng)絡(luò)。

2)        在小網(wǎng)絡(luò)中，攻擊者發(fā)布交易賣出自己全部的加密貨幣，并兌換為法幣。

3)        經(jīng)過小網(wǎng)絡(luò)的“全網(wǎng)確認(rèn)”，這筆交易生效，攻擊者獲得等值的法幣。

4)        攻擊者釋放BGP劫持，大網(wǎng)絡(luò)與小網(wǎng)絡(luò)互通，小網(wǎng)絡(luò)上的一切交易被大網(wǎng)絡(luò)否定，攻擊者的加密貨幣全部回歸到賬戶，而交易得來的法幣，依然還在攻擊者手中，完成獲利。

延遲攻擊

攻擊者可以利用BGP劫持來延遲目標(biāo)的區(qū)塊更新，而且不被發(fā)現(xiàn)。因為它是基于中間人修改目標(biāo)請求區(qū)塊的數(shù)據(jù)來做到的：在目標(biāo)請求獲取最新區(qū)塊的時候，將它的這一請求修改為獲取舊區(qū)塊的請求，使得目標(biāo)獲得較舊的塊。

攻擊場景舉例：

1)        攻擊者修改礦工獲取最新塊請求

2)        礦工無法獲取到新區(qū)塊

3)        礦工損失算力以及獎勵機會

節(jié)點客戶端漏洞

攻擊者在內(nèi)網(wǎng)或者外網(wǎng)利用各種手段譬如漏洞掃描，0day漏洞利用等技術(shù)，對節(jié)點客戶端進行攻擊，此類攻擊主要針對客戶端自身軟件可能存在安全漏洞進行利用，獲取節(jié)點的控制權(quán)限。

拒絕服務(wù)攻擊

通過大流量，或者漏洞的方式攻擊P2P網(wǎng)絡(luò)中的節(jié)點，使網(wǎng)絡(luò)中部分節(jié)點網(wǎng)絡(luò)癱瘓，節(jié)點癱瘓意味著鏈中總算力受損，使得其更容易遭受51%攻擊，而目前進行拒絕服務(wù)攻擊成本也較低，大量的攻擊工具平臺能輕易在黑市購買用于攻擊。

案例

2018年3月22日，閃電網(wǎng)絡(luò)[10]節(jié)點遭受DDOS攻擊，導(dǎo)致大約200個節(jié)點離線，從大約1,050個節(jié)點降到了870個。

3.2.2     廣播機制

在區(qū)塊鏈中，節(jié)點是與節(jié)點互相連接的。當(dāng)某節(jié)點接入到區(qū)塊鏈網(wǎng)絡(luò)后，單個節(jié)點會與其他節(jié)點建立連接。此時該節(jié)點就具備了廣播信息的資格，在將信息傳播給其他節(jié)點后，其他節(jié)點會驗證此信息是否為有效的信息，確認(rèn)無誤后再繼續(xù)向其他節(jié)點廣播。

風(fēng)險

針對廣播機制的安全風(fēng)險，我們分析總結(jié)了以下攻擊方式：

雙重支出攻擊

又稱雙花問題，指的是一個代幣花費在多筆交易中的攻擊，它的實現(xiàn)方法主要有以下幾種。

1.        種族攻擊：在面對0確認(rèn)的交易便立刻進行付款的商家可能會遭遇此攻擊。欺詐者直接向商家發(fā)送支付給商家的交易，并發(fā)送沖突的交易，將代幣投入自己到網(wǎng)絡(luò)的其余部分。第二個沖突的交易很可能會被開采出來，并被區(qū)塊鏈節(jié)點認(rèn)為是真的，于是付款交易作廢。

2.        芬尼攻擊：當(dāng)接受0確認(rèn)的付款時可能會遭遇此攻擊。假設(shè)攻擊者偶爾產(chǎn)生數(shù)據(jù)塊。在他生成的每個區(qū)塊中，他包括從他控制的地址A到地址B的轉(zhuǎn)移。為了欺騙你，當(dāng)他生成一個塊時，他不會廣播它。相反，他打開您的商店網(wǎng)頁，并使用地址A向您的地址C付款。您可能會花費幾秒鐘的時間尋找雙重花費，然后轉(zhuǎn)讓商品。接著他廣播他之前的區(qū)塊，他的交易將優(yōu)先于你的交易，于是付款交易作廢。

3.        Vector76攻擊：也被稱為單一確認(rèn)攻擊，是種族攻擊和芬尼攻擊的組合，因此即使有一次確認(rèn)的交易仍然可以逆轉(zhuǎn)。對于種族攻擊，相同的保護措施顯然降低了發(fā)生這種情況的風(fēng)險。 值得注意的是，成功的攻擊會使攻擊者花費一個塊，他們需要通過不傳播它來“犧牲”一個塊，而是僅將其轉(zhuǎn)讓給被攻擊的節(jié)點。

4.        替代歷史攻擊：即使商家等待一些確認(rèn)，這種攻擊也有機會成功，但風(fēng)險較高。攻擊者向商家提交支付的交易，同時私下挖掘其中包含欺詐性雙重支出交易的分支。等待n次確認(rèn)后，商家發(fā)送產(chǎn)品。如果攻擊者此時碰巧找到n個以上的區(qū)塊，他就會釋放他的分支并重新獲得他的硬幣。

5.        51%攻擊：如果攻擊者控制全網(wǎng)算力的一半以上，則前面提到的替代歷史攻擊有100％的概率成功。由于攻擊者可以比網(wǎng)絡(luò)的其他部分更快地生成塊，所以他可以堅持自己的私有分支，直到它比誠實節(jié)點網(wǎng)絡(luò)建立的分支更長，它將代替主鏈。

交易延展性攻擊

延展性攻擊者偵聽P2P網(wǎng)絡(luò)中的交易，利用交易簽名算法的特征修改原交易中的input 簽名, 生成擁有一樣input和output的新交易，然后廣播到網(wǎng)絡(luò)中形成雙花，這樣原來的交易就可能有一定的概率不能被確認(rèn)，在虛擬貨幣交易的情況下，它可以被用來進行二次存款或雙重提現(xiàn)。

案例

1.     2014年8月，在線黑市Silk Road 2遭遇交易延展性攻擊，部分比特幣被盜，損失約260萬美元

2.     2013年11月，GHash.io礦池對賭博網(wǎng)站BetCoin Dice進行多次付款欺詐，實施雙重支出攻擊

3.2.3     驗證機制

區(qū)塊鏈的運行為了維持其數(shù)據(jù)的有效性與真實性，必須要有相應(yīng)的驗證機制來限制節(jié)點必須將真實信息寫入?yún)^(qū)塊中。

風(fēng)險

針對驗證機制的安全風(fēng)險，我們分析總結(jié)了以下攻擊方式：

驗證繞過

驗證機制的代碼是區(qū)塊鏈應(yīng)用的核心之一，一旦出現(xiàn)問題將直接導(dǎo)致區(qū)塊鏈的數(shù)據(jù)混亂，而且核心代碼的修改與升級都涉及到區(qū)塊鏈分叉的問題，所以驗證機制的嚴(yán)謹(jǐn)性就顯得尤為重要。

必須要結(jié)合驗證機制代碼的語言特性來進行大量的白盒審計或是模糊測試，來保證驗證機制的不可繞過。

案例

比特幣無限造幣漏洞：2010年8月15日，有人在比特幣區(qū)塊鏈的第74638塊上發(fā)現(xiàn)了一條讓人驚愕的交易，這筆交易里竟然出現(xiàn)了184,467,440,737.09551616個比特幣，其中各有922億個比特幣被發(fā)送到兩個比特幣地址。

這次攻擊的根本原因則是比特幣的驗證機制中存在大整數(shù)溢出漏洞，由于大整數(shù)溢出為負(fù)數(shù)，網(wǎng)絡(luò)各個節(jié)點對黑客的交易均驗證通過，導(dǎo)致了比特幣區(qū)塊鏈中憑空出現(xiàn)了大量比特幣。

3.3         激勵層

3.3.1     獎勵機制

激勵層目的是提供一定的激勵措施鼓勵節(jié)點參與區(qū)塊鏈的安全驗證工作。區(qū)塊鏈的安全性依賴于眾多節(jié)點的參與。例如比特幣區(qū)塊鏈的安全性是基于眾多節(jié)點參與工作量證明帶來的巨大的計算量，使得攻擊者無法提供更高的計算量。節(jié)點的驗證過程通常需要耗費的計算資源和電能。為了鼓勵節(jié)點參與，區(qū)塊鏈通常會采用虛擬貨幣的形式獎勵參與者，目前比特幣、萊特幣、以太幣都是這種機制的產(chǎn)物。以比特幣為例，獎勵機制包括了兩種，第一種是新區(qū)快產(chǎn)生后系統(tǒng)生成的比特幣，第二種是每筆交易會扣除萬分之一比特幣作為手續(xù)費。在前期，每一個區(qū)塊的創(chuàng)建者都會獲得一定數(shù)量的比特幣，創(chuàng)世區(qū)塊提供50個比特幣，之后隨著系統(tǒng)中比特幣數(shù)量的持續(xù)增加，這種模式提供的比特幣數(shù)量會持續(xù)減半。當(dāng)比特幣總量達到2100萬時，新產(chǎn)生的區(qū)塊將不再生成比特幣。這時主要依靠第二種手續(xù)費作為獎勵機制。

風(fēng)險

獎勵不符合市場預(yù)期

區(qū)塊鏈項目需要順應(yīng)市場自動適當(dāng)調(diào)整獎勵，而不是一味降低。若在區(qū)塊鏈項目獎勵機制中，當(dāng)節(jié)點們的工作成本小于和接近于收益的時候，他們往往會選擇不再為這個區(qū)塊鏈工作，從而很容易導(dǎo)致中心化問題。
攻擊場景：

1.        比特幣區(qū)塊鏈上的被全部開采完畢

2.        礦工獎勵驟降，大量礦工下鏈

3.        攻擊者以較低成本發(fā)動51%攻擊

案例

目前暫無實際攻擊曝光，但在某些層面可能存在致命安全隱患

3.4         共識層

3.4.1     共識機制

共識機制賦予了區(qū)塊鏈技術(shù)靈魂，使它與其他的P2P技術(shù)差異化。

目前常用的共識機制有PoW（工作量證明機制）、PoS（權(quán)益證明機制）、DPoS（股份授權(quán)證明機制），然而他們都不是完美的，都有各自的優(yōu)點與缺點。對于各種共識機制的對比[11]我們列出如下列表進行說明：

 

風(fēng)險

       針對共識機制的安全風(fēng)險，我們分析總結(jié)了以下攻擊方式以及適用范圍：

 

短距離攻擊

此類攻擊比較典型的是“賄賂攻擊”，此攻擊主要影響PoS共識機制，賄賂攻擊流程如下：

1)        攻擊者購買某個商品或服務(wù)。

2)        商戶開始等待網(wǎng)絡(luò)確認(rèn)這筆交易。

3)        此時，攻擊者開始在網(wǎng)絡(luò)中首次宣稱，對目前相對最長的不包含這次交易的主鏈進行獎勵。

4)        當(dāng)主鏈足夠長時，攻擊者開始放出更大的獎勵，獎勵那些在包含此次交易的鏈條中挖礦的礦工。

5)        六次確認(rèn)達成后，放棄獎勵。

6)        貨物到手，同時放棄攻擊者選中的鏈條。

因此，只要此次賄賂攻擊的成本小于貨物或者服務(wù)費用，此次攻擊就是成功的。相比之下，PoW 機制中賄賂攻擊就需要賄賂大多數(shù)礦工，因此成本極高，難以實現(xiàn)。

長距離攻擊

此類攻擊比較典型的是“51%”攻擊。在PoS 中，產(chǎn)生每個 Block 的速度相對 PoW 快了很多。因此，少數(shù)不懷好意的節(jié)點會想著把整個區(qū)塊鏈共識賬本全部重寫。這在 PoW 中是經(jīng)典的 51% 問題，即：當(dāng)某一個節(jié)點控制了 51% 及以上算力，就有能力篡改賬本，但達到 51% 算力是件極其困難的事情。而在 PoS 中缺乏對算力的約束，那么就存在潛在可能篡改賬本。

幣齡累計攻擊

在最早的 Peercoin 版本中，挖礦難度不僅與當(dāng)前賬戶余額有關(guān)，也與每個幣的持幣時間掛鉤。這就導(dǎo)致，部分節(jié)點在等待足夠長時間后，就有能力利用 Age 的增加來控制整個網(wǎng)絡(luò)，產(chǎn)生非常顯著的影響。

預(yù)計算攻擊

當(dāng) PoS 中的某一節(jié)點占有了一定量的算力后，PoS 中占有特定算力的節(jié)點，就有能力通過控制 Hprev 來使自己所在算力范圍有能力去計算 Hnext。

女巫攻擊

又稱Sybil攻擊，在Sybil攻擊中，攻擊者通過創(chuàng)建大量的假名標(biāo)識來破壞對等網(wǎng)絡(luò)的信譽系統(tǒng)，使用它們獲得不成比例的大的影響。對等網(wǎng)絡(luò)上的實體是能夠訪問本地資源的一塊軟件。實體通過呈現(xiàn)身份在網(wǎng)絡(luò)上通告自身。 多于一個標(biāo)識可以對應(yīng)于單個實體。

換句話說，身份到實體的映射是多對一的。對等網(wǎng)絡(luò)中的實體為了冗余，資源共享，可靠性和完整性而使用多個標(biāo)識。

在對等網(wǎng)絡(luò)中，身份用作抽象，使得遠(yuǎn)程實體可以知道身份而不必知道身份與本地實體的對應(yīng)關(guān)系。

默認(rèn)情況下，通常假定每個不同的標(biāo)識對應(yīng)于不同的本地實體。實際上，許多身份可以對應(yīng)于相同的本地實體。

對手可以向?qū)Φ染W(wǎng)絡(luò)呈現(xiàn)多個身份，以便出現(xiàn)并充當(dāng)多個不同的節(jié)點。因此，對手可能能夠獲得對網(wǎng)絡(luò)的不成比例的控制水平，例如通過影響投票結(jié)果。

案例

1.        2016年8月份，基于以太坊的數(shù)字貨幣Krypton遭受來自一個名為“51% Crew”的組織通過租用Nicehash的算力，進行51%攻擊，導(dǎo)致該區(qū)塊鏈損失約21,465 KR的代幣。

雷鋒網(wǎng)注：若想獲取整份報告，鏈接如下：https://www.bcsec.org。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。