Verge的区块链攻击值得我们冷静地重新审视

区块链快讯 admin 2021-08-16 163 次浏览 0个评论

臭名昭著的双花攻击:这是数字货币协议的主要错误,但很少出现,尤其是在最流行的数字货币中。

然而,在过去的几个月里,一个矿工(或一群矿工)控制了超过一半网络的总计算能力,且可以改变协议的规则,使之对他们有利,这种情况已经出现两次了。在区块链上也是同样的。

实际上,最近在与流行的成人娱乐网站Pornhub的合作中,一种面向隐私的数字货币verge在双花攻击中受到了两次黑客攻击,攻击者带着价值数百万美元的本地数字货币XVG逃匿了。

在4月的第一次攻击中(在Pornhub建立伙伴关系的前几周),黑客带着250000 XVG侥幸过关。在最近的5月中旬,攻击者从协议中窃取了价值170万美元的数字货币。

据研究人员称,这些漏洞的出现是由于底层代码被更改,数字货币协议通常是基于这些代码构建的,而且还面临着预测这些更改将产生何种意外后果的挑战。

当然,verge开发者只是想通过调整参数,为支付设计一种更好的数字货币,比如区块有效的时间长度,这个团队已经开放了它的区块链。

帝国理工学院(Imperial College London)的助理教授、Liquidity Network创始人Arthur Gervais表示:“正确把握激励措施并保持它们的正确性非常困难。”

区块链是建立在非常危险的堆叠激励之上的,所有的利益相关者为了一个共同的目标而努力,不让单独实体有完全控制权的机会。

“事情显然不太好,”一直在跟踪攻击的数字货币分析网站Abacus的首席技术官Daniel Goldman说。“代码库最初被偷偷潜入的问题在于纯粹的粗心大意,这源于从其他开源软件中合并代码而不理解它的含义。”

Goldman补充道:我不想这么说,但如果我必须总结一下:攻击者比开发人员做得更好。如果我是他们,我就想把他挖走。”

区块链资深开发人员,包括莱特币(litecoin)的创造者Charlie Lee和门罗币(monero)的领导开发人员Riccardo Spagni在内,一直认为平台有明显的缺点。

Fidelity投资研究分析师Nic Carter在推特上总结了前沿科技的总体发展状况,其称:“有这么多重要的经验值得我们借鉴。”verge开发团队的代表没有回复CoinDesk的评论请求。

问题

其中一个教训是,有一些原因导致“交易有效”的时间戳受到了严格的限制。

举例来说,比特币交易只有大约10分钟的有效时间,以在一个区块中进行验证,而verge开发者将这个时间戳延长到了两个小时。

根据Goldman的邮件,由于在区块链系统中有一些信息不对称,而节点分布在全球各地,攻击者可以“恶搞”时间戳。

但不仅仅是这样;攻击的另一部分是verge的难度算法。

verge利用“Dark Gravity Wave”算法自动调整矿工找到区块的速度。在verge中,这每两个小时调整一次;与每两周调整一次的比特币相比,verge的算法相当快。

攻击者聪明地用假时间戳挖掘区块,迫使数字货币难以更快地调整,这使得攻击者更容易挖掘更多的XVG。

当第一次攻击发生时,verge开发者很快发布了一个补丁,阻止攻击者捞出更多的钱。然而,随着上个月的攻击,补丁似乎只起到一丁点的作用,攻击者找到了另一种方式来执行同样的攻击,这显示出构建一个不容易受到攻击的分布式系统有多么困难。

继续攻击

根据Goldman的说法,verge的问题可能还没有结束。

“一场攻击显然是,又或许是,仍在尝试。然而,到目前为止,潜在的攻击者还没有设法超过网络。”Goldman告诉CoinDesk。

但他继续说:“就目前的情况而言,三种(在我看来)最根本的脆弱性来源中,有两种已经得到了缓解,其中一种仍然是完全不确定的。”

虽然没有XVG直接从用户那里被窃取,但网络上的矿工不应该能够像这样扭曲规则,在短时间内有效地为某个体敛财。

因此,verge的开发人员正在积极地改进代码。

5月31日,verge的开发者CryptoRekt在社交网站红迪网(Reddit)上发表了一段简短的交流,他说,所有的verge团队都“不会故意做任何事情来破坏或伤害这个项目”。

他补充说,该项目的开发人员已经花了“几周”开发新代码,以“巩固我们的货币,防止未来的任何攻击”。

然而,Goldman认为还有另一个问题。与目前许多依赖开源代码的数字货币项目不同,verge的代码库是私下构建的,因此不会得到区块链专家社区的同行评议。

他在推特上写道:“因为在没有经过负责任的审查的情况下合并代码,才导致了这一切,这应该会让verge的粉丝感到紧张。”

Verge的未来?

但是到目前为止,许多verge社区仍然支持开发团队和数字货币的使命。

匿名的verge用户Crypto Dog甚至声称“没有必要恐慌”,称无论发生什么,verge的成功都将继续下去。而CryptoRekt则选择将其视为一种学习体验,它可以帮助verge“建立一个更大更好的项目”。

尽管如此,这种攻击看起来还是很糟糕,不仅是在verge上,而且在与包括Pornhub在内的verge团队合作的组织中也是如此。特别是Pornhub的副总裁Corey Price表示,为了保护客户的财务隐私,在“非常慎重的选择过程”中,将verge作为该网站的一种支付方式。

因此,一些开发人员认为,这一事件将提高许多组织在采用区块链之前更有效地对其进行分析的责任感。

“我不会对近期更多的审查感到意外,这将导致更多的攻击,也会让投资者更准确地评估小型山寨币(altcoin)项目的价值主张。”BitGo的工程师Mark Erhardt表示:“没有攻击并不能证明系统是安全的。相当多的山寨币项目似乎采用了不安全的方式。只是还没有人费心去利用这些系统性缺陷或弱点。”

因此,在未来的一系列开发中,verge可能是第一个。

尽管双花攻击通常被视为难以执行,但Liquidity Network’s Gervais认为,新的数据似乎表明,攻击比许多人之前认为的要容易。他提到了一个新的网络应用软件51crypto,它可以追踪对各种区块链进行双花攻击的盈利情况。

统计数据的要点是,区块链越小,就越容易超越它并改变规则,这就是为什么开发人员在构建系统时需要特别小心。

Gervais总结说,因为“如果相较于诚实行为,攻击有更大的经济意义,那么攻击者就会出现。”

 

作者:Alyssa Hertig

翻译:Zoe@比特财经

网址:https://www.coindesk.com/verges-blockchain-attacks-are-worth-a-sober-second-look/

【声明:此文为本站原创翻译,如有不当之处请多指教!欢迎转载,转载请务必注明译者以及转自比特财经!】

(免责声明:本文仅代表作者本人观点,不代表比特财经立场)

已有 163 位网友参与,快来吐槽:

发表评论