加密貨幣交易網(wǎng)絡(luò)中的安全漏洞正在被越來越多的人利用

時(shí)間：2020-06-10 18:18:01

關(guān)鍵字：加密貨幣區(qū)塊鏈數(shù)字貨幣比特幣

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀] 隨著一度被譽(yù)為“不可破解”的區(qū)塊鏈一次又一次遭到黑客攻擊，加密貨幣及其交易網(wǎng)絡(luò)中的安全漏洞正被越來越多的人利用。上個(gè)月，總部位于加州舊金山的數(shù)字貨幣交易所Coinbase的安全團(tuán)隊(duì)發(fā)現(xiàn)

隨著一度被譽(yù)為“不可破解”的區(qū)塊鏈一次又一次遭到黑客攻擊，加密貨幣及其交易網(wǎng)絡(luò)中的安全漏洞正被越來越多的人利用。

上個(gè)月，總部位于加州舊金山的數(shù)字貨幣交易所Coinbase的安全團(tuán)隊(duì)發(fā)現(xiàn)，可以在其交易平臺(tái)上買賣的加密貨幣以太坊 Classic受到了攻擊。訪問Coinbase網(wǎng)絡(luò)的黑客重寫了該平臺(tái)的部分交易歷史，使用戶能夠多次使用相同的加密貨幣。

Coinbase聲稱，黑客沒有從其賬戶竊取任何資金，但這只是針對加密貨幣及其交易平臺(tái)的一系列網(wǎng)絡(luò)犯罪攻擊中的最新一起。

根據(jù)麻省理工學(xué)院的《技術(shù)評(píng)論》，自2017年以來，黑客竊取了大約20億美元的加密貨幣。報(bào)告稱，黑客攻擊不僅是由個(gè)人實(shí)施的，而且是由網(wǎng)絡(luò)犯罪組織實(shí)施的。

由于欺詐性的區(qū)塊鏈交易無法逆轉(zhuǎn)，而且通常是代碼中獨(dú)特漏洞的結(jié)果，因此加密貨幣盜竊正變得越來越普遍。

“區(qū)塊鏈?zhǔn)且幌盗胁豢勺兊臄?shù)據(jù)記錄的時(shí)間戳，由不屬于單個(gè)實(shí)體的計(jì)算機(jī)集群管理，”Blockgeeks.com說，并補(bǔ)充道，“這些數(shù)據(jù)塊中的每一塊都是安全的，并使用加密原則相互綁定?！?/p>

另一方面，區(qū)塊鏈協(xié)議是一組指導(dǎo)方針，概述網(wǎng)絡(luò)中的計(jì)算機(jī)如何驗(yàn)證新事務(wù)，然后將這些事務(wù)添加到數(shù)據(jù)庫中。

然而，區(qū)塊鏈系統(tǒng)越復(fù)雜，錯(cuò)誤發(fā)生的可能性就越大。今年2月，Zcash（一種使用加密學(xué)為用戶提供更高隱私保護(hù)的加密貨幣）的負(fù)責(zé)人透露，該公司修補(bǔ)了一個(gè)“微妙的加密漏洞”，這個(gè)漏洞本可以很容易被利用。但是協(xié)議并不是軟件唯一可以利用的方面。要交易加密貨幣，還需要訪問加密貨幣服務(wù)器提供的服務(wù)的軟件客戶機(jī)，這是易受漏洞影響的另一段代碼。

最常見的攻擊是對加密貨幣交換的攻擊，用戶購買、交易、出售和持有加密貨幣的網(wǎng)站。其中一種攻擊被稱為“51%攻擊”，一群礦工控制了網(wǎng)絡(luò)計(jì)算能力的50%以上。

比特幣挖掘是將交易記錄添加到加密貨幣區(qū)塊鏈過去的交易中的過程。在51%的攻擊中，黑客可以阻止新事務(wù)得到驗(yàn)證，并逆轉(zhuǎn)那些已經(jīng)完成的事務(wù)。

然而，根據(jù)Crypto51網(wǎng)站的說法，要想對熱門區(qū)塊鏈發(fā)起這種攻擊，需要耗費(fèi)大量的采礦能量——每小時(shí)的成本超過26萬美元。但是，使用不太流行的加密貨幣進(jìn)行類似攻擊的成本會(huì)降低。

2018年，攻擊者對邊Verge、Monacoin和比特幣黃金等不太受歡迎的加密貨幣發(fā)起了51%的攻擊，竊取了大約2000萬美元的加密貨幣。據(jù)科技評(píng)論網(wǎng)稱， Ethereum Classic遭受的類似攻擊造成了100萬美元的損失。

David Vorick是基于區(qū)塊鏈的文件存儲(chǔ)平臺(tái)Sia的聯(lián)合創(chuàng)始人，他告訴麻省理工學(xué)院的論文，他預(yù)計(jì)51%的攻擊頻率和嚴(yán)重程度會(huì)增加。

“在選擇支持哪種加密貨幣時(shí)，交易所最終需要嚴(yán)格得多，”Vorick說。

除了51%的攻擊，智能合約可以幫助減少攻擊——運(yùn)行在區(qū)塊鏈網(wǎng)絡(luò)上的加密貨幣交換自動(dòng)化代碼——漏洞是區(qū)塊鏈的一個(gè)明顯的安全弱點(diǎn)?！犊萍荚u(píng)論》報(bào)道稱，利用智能合約軟件的一種方法是“創(chuàng)建一種投票機(jī)制，讓風(fēng)險(xiǎn)投資基金的所有投資者能夠集體決定如何分配資金”。

2016年，一個(gè)名為“去中心化自治組織”的基金正是利用以太坊成立的。然而，智能合約中的一個(gè)缺陷允許攻擊者繼續(xù)從帳戶請求資金，而無需系統(tǒng)記錄從帳戶中提取了多少資金，從而導(dǎo)致價(jià)值6000多萬美元的加密貨幣被盜。

雖然開發(fā)人員可以通過構(gòu)建“集中式殺傷網(wǎng)絡(luò)”來結(jié)束這些攻擊，以便在檢測到攻擊時(shí)停止所有活動(dòng)，但追趕那些利用代碼漏洞的攻擊者的步伐一直比較緩慢。

像AnChain初創(chuàng)公司。旨在通過使用人工智能檢測可疑活動(dòng)，同時(shí)使用智能合約碼來掃描潛在的漏洞，以消除這些類型的攻擊。

Tsankov‘s ChainSecurity這樣的公司正在開發(fā)使用“正式驗(yàn)證”的審計(jì)服務(wù)。“正式驗(yàn)證”是一種計(jì)算機(jī)科學(xué)技術(shù)，可以從數(shù)學(xué)上測試一份合同的代碼是否能達(dá)到預(yù)期目的。

這些審計(jì)工具雖然被承諾能夠有效地終止當(dāng)前已知的漏洞，但眾所周知，它們既昂貴又耗時(shí)。