區塊鏈是一道打開新世界的大門,它彷佛讓我們看到了一個透明公平的世界,但是殊不知這道門也面臨著各種攻擊,今天就讓我們來具體聊一聊,交易延展性攻擊、粉塵和女巫攻擊到底為何呢。
(前情提要:慎防!Discord 出現惡意軟體釣魚,鎖定加密貨幣、 NFT、DeFi 社群攻擊)
(事件背景:啾啾鞋自白!領NFT空投遭假Metamask釣魚,錢包資產3分鐘被盜領一空)
交易延展性攻擊
交易延展性攻擊,也叫交易可塑性攻擊。在現實生活中,我們把一塊金子敲變形之後,雖然形狀有所改變,但質量卻沒有發生變化,也就是說金子外觀發生了變化但是仍然被認可,這種特性呢被稱為「可鍛性」。
在比特幣系統中,也有一個類似的名詞,「Transaction Malleability」。這個詞通常翻譯為「交易延展性」,也叫做「交易可鍛性」,而利用交易延展性而造成的攻擊就叫交易延展性攻擊。
具體指的是比特幣交易 A 發出之後,在還沒有被確認之前,攻擊者透過修改某些交易數據,使得一筆交易的唯一標識——交易哈希發生了改變,就形成了新的交易 B ,假如交易 B 先被記錄到比特幣帳本中,那麽交易 A 會因為雙重支付問題,被驗證為不合法,從而拒絕。
一個現實的例子就是:小黑從交易平台發起提幣,然後這個交易就被廣播出去了,在還沒有被節點驗證之前,小黑進行了延展性攻擊,恰好攻擊產生的新交易先被確認,而新交易照樣會讓他獲得幣(就像金子外觀變了一樣被認可)。
但是貪心的小黑卻向平台申訴自己並沒有收到,交易平台一看之前給小黑轉帳的那筆交易確實被拒絕了,因此又給小黑匯了一筆,小黑心裡就美滋滋了,貪心的小黑還不滿足,他又以同樣的攻擊方式繼續多次攻擊,這樣就導致了平台的資金大量流失。
所以當遇到交易無法確認時,需要立即停止,應當根據區塊鏈上的交易報錯訊息以及查看是否在短時間內已經發起了這樣的交易,再進行手動處理。
粉塵攻擊
「粉塵」的意思是少量的幣(比如 1 聰就是「粉塵」,它只有 0.00000001 比特幣)。通常情況下,很少人的交易金額會那麽少,因為交易手續費就已經超過交易金額。
正是由於「粉塵」很小所以容易被用戶忽視,這一現象被小黑(詐騙者)注意到了,因此小黑就像向用戶的錢包地址轉入「粉塵」,而收到這些「粉塵」的用戶大白並沒有引起注意,這些粉塵是大白收到的,但是還沒有花費出去的,所以這些「粉塵」就和大白原來錢包地址裡那些收到但還沒有花費的幣( UTXO )混在了一起。
不過現在的問題不大,只是混在了一起而已,真正的問題是大白使用這筆未花費的費用,當傻乎乎的大白把這筆錢用來向別的地址轉帳或其他交易的時候,就可能會用到這些「粉塵」,這個時候「粉塵」就悄悄地隨著大白的交易跑到了別的用戶地址裡,一直跟蹤。
這些「粉塵」就像螢光劑一樣,把用戶大白的行為一五一十的描述了出來,進而被小黑跟蹤到,小黑就利用這些線索來猜測大白的身份,進而對大白進行威脅和勒索。這就是粉塵攻擊。
要怎麽避免這種攻擊呢?
上面已經提到真正出現問題的地方在於大白用了混有「粉塵」的未花費貨幣,如果大白不花費這筆費用,「粉塵」就不會跑,小黑也就無法追蹤了,然而我們不能要求大白因為這些「粉塵」就永遠不花費那一池子的其他未花費的貨幣。
因此一些錢包(比如:Electron Cash )可以把這些粉塵單獨標記起來,提醒大白用戶們不要去使用這些粉塵,相當於把粉塵和池子裡其他的未花費貨幣隔離開,這樣大白們就可以安安心心地使用之前那些未花費的貨幣啦。從而有效的避免了粉塵攻擊。
女巫攻擊
女巫攻擊又叫 Sybil 攻擊,名字來源於電影《女巫》( Sybli ),講的是一個有 16 種人格的女人心理治療的故事。而在區塊鏈中的女巫攻擊呢,指的是一個惡意的節點非法地對外呈現多個身份。
這就有點像小時候我們玩的「手拉手」遊戲,當新的小朋友加入我們這個遊戲圈的時候,他會去牽旁邊人的手,進而對旁邊的人有了進一步的認識。在區塊鏈中也是這樣,任何網路節點是可以發送加入的請求消息的,收到請求消息的其他節點會立即做出響應,回覆其鄰居節點訊息。
可是有些小朋友為了認識更多的小夥伴,就每次換一個面具,這樣就可以到不同的位置去牽別的小朋友。惡意節點就像這個惡搞的小朋友,它對外偽裝成多個身份,這樣就可以獲取大量的區塊鏈網路節點訊息,以便進一步的攻擊和破壞。
解決女巫攻擊的一種方法是工作量證明機制,即用計算能力去證明你是一個節點,這樣極大地增加了攻擊的成本。
另一個方法是身份認證,可以是基於第三方可靠節點的認證。
就像在所有參加遊戲的小夥伴中選出眼睛最亮的那個,這樣來避免大家被搞怪小朋友的面具蒙騙。身份認證也可以是全節點制的認證。
這就相當於每個小朋友都要對惡搞小朋友進行身份審核,這樣就大大降低了惡搞小朋友成功偽裝多個身份的幾率。
總結
了解各種類型的攻擊可以使我們更好地防禦它們,從而保障自己的財產安全。今天就先聊到這兒,後期還會有日蝕攻擊和 DDoS(分布式拒絕服務攻擊)等類型的科普介紹,歡迎大家關注。
📍相關報導📍
Curve 遭遇治理攻擊,USDM穩定幣協議 Mochi 「捲走3500萬美元」
Cream Finance第三度遭閃電貸攻擊、損失 1.3 億美元,駭客留下神秘訊息
全解析 | 不可不知的 3種「Defi重入攻擊」: 基本概念、背後細節、手法 — Amber資安負責人
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務