久久科技网

私保障痛点科普|交易延展性攻击、粉尘攻击和女巫攻击阿里云

久久科技网 0

这是白话区块链的第1406期原创

作者 |宇星

出品|白话区块链(ID:hellobtc)

区块链是一道打开新世界的门,2019年是从传统IT向云计算全面转移的分水岭。近期,它仿佛让我们看到了一个透明公平的世界,阿里云被爆,但是殊不知这道门也面临着各种攻击,就在这一年双11,具体有些哪些的攻击呢,该公司员工将用户信息泄露给了第三方合作伙伴。对此,今天就让我们来聊一聊。

01交易延展性攻击

交易延展性攻击,阿里云8月23日回应称,也叫交易可塑性攻击。在现实生活中,根据自查,我们把一块金子敲变形之后,该事件应为2019年双11前后,虽然形状有所改变,阿里云一名电销员工违反公司纪律,但质量却没有发生变化,利用工作便利私下获取客户联系方式,也就是说金子外观发生了变化但是仍然被认可,并透露给分销商员工,这种特性呢被称为“可锻性”

在比特币系统中,也有一个类似的名词,“ Transaction Malleability ”。这个词通常翻译为“交易延展性”,也叫做“交易可锻性”,而利用交易延展性而造成的攻击就叫交易延展性攻击。

具体指的是比特币交易 A 发出之后,在还没有被确认之前,攻击者通过修改某些交易数据,使得一笔交易的唯一标识——交易哈希发生了改变,就形成了新的交易 B ,假如交易 B 先被记录到比特币账本中,那么交易 A 会因为双重支付问题,被验证为不合法,从而拒绝

一个现实的例子就是:小黑从交易平台发起提币,然后这个交易就被广播出去了,在还没有被节点验证之前,小黑进行了延展性攻击,恰好攻击产生的新交易先被确认,而新交易照样会让他获得币(就像金子外观变了一样被认可)。

但是贪心的小黑却向平台申诉自己并没有收到,交易平台一看之前给小黑转账的那笔交易确实被拒绝了,因此又给小黑汇了一笔,小黑心里就美滋滋了,贪心的小黑还不满足,他又以同样的攻击方式继续多次攻击,这样就导致了平台的资金量流失。

所以当遇到交易无法确认时,需要立即停止,应当根据区块链上的交易报错信息以及查看是否在短时间内已经发起了这样的交易,再进行手动处理。

02粉尘攻击

“粉尘”的意思是少量的币(比如 1 聪就是“粉尘”,它只有0.00000001 比特币)。通常情况下,很少人的交易金额会那么少,因为交易手续费就已经超过交易金额。

正是由于“粉尘”很小所以容易被用户忽视,这一现象被小黑(诈骗者)注意到了,因此小黑就像向用户的钱包地址转入“粉尘”,而收到这些“粉尘”的用户白并没有引起注意,这些粉尘是白收到的,但是还没有花费出去的,所以这些“粉尘”就和白原来钱包地址里那些收到但还没有花费的币(UTXO)混在了一起。

粉尘(蓝色)和原来收到的但未花费的货币混在了一起

不过现在的问题不,只是混在了一起而已,真正的问题是白使用这笔未花费的费用,当傻乎乎的白把这笔钱用来向别的地址转账或其他交易的时候,就可能会用到这些“粉尘”,这个时候“粉尘”就悄悄地随着白的交易跑到了别的用户地址里,一直。

这些“粉尘”就像荧光剂一样,把用户白的行为一五一十的描述了出来,进而被小黑到,小黑就利用这些线索来猜测白的身份,进而对白进行威胁和勒索。这就是粉尘攻击。

要怎么避免这种攻击呢?

上面已经提到真正出现问题的地方在于白用了混有“粉尘”的未花费的货币,如果白不花费这笔费用,“粉尘”就不会跑,小黑也就无法了,然而我们不能要求白因为这些“粉尘”就永远不花费那一池子的其他未花费的货币。

因此一些钱包(比如:Electron Cash )可以把这些粉尘单独标记起来,提醒白用户们不要去使用这些粉尘,相当于把粉尘和池子里其他的未花费货币隔离开,这样白们就可以安安心心地使用之前那些未花费的货币啦。从而有效的避免了粉尘攻击。

03女巫攻击

女巫攻击又叫 Sybil 攻击,名字来源于电影《女巫》( Sybli ),讲的是一个有 16 种人格的女人心理治疗的故事。而在区块链中的女巫攻击呢,指的是一个恶意的节点非法地对外呈现多个身份。

这就有点像小时候我们玩的“手拉手”游戏,当新的小朋友加入我们这个游戏圈的时候,他会去牵旁边人的手,进而对旁边的人有了进一步的认识。在区块链中也是这样,任何网络节点是可以发送加入的请求消息的,收到请求消息的其他节点会立即做出响应,回复其邻居节点信息。

可是有些小朋友为了认识更多的小伙伴,就每次换一个面具,这样就可以到不同的位置去牵别的小朋友。恶意节点就像这个恶搞的小朋友,它对外伪装成多个身份,这样就可以获取量的区块链网络节点信息,以便进一步的攻击和破坏。

解决女巫攻击的一种方法是工作量证明机制,即用计算能力去证明你是一个节点,这样极地增加了攻击的成本

另一个方法是身份认证,可以是基于第三方可靠节点的认证。就像在所有参加游戏的小伙伴中选出眼睛最亮的那个,这样来避免家被搞怪小朋友的面具蒙骗。身份认证也可以是全节点制的认证。这就相当于每个小朋友都要对恶搞小朋友进行身份审核,这样就降低了恶搞小朋友成功伪装多个身份的几率。

04小结

了解各种类型的攻击可以使我们更好地防御它们,从而保障自己的财产安全。今天就先聊到这儿,后期还会有日蚀攻击和 DDoS (分布式拒绝服务攻击)等类型的科普介绍,欢迎家关注。

你还了解或还想了解区块链中的什么攻击呢?知道如何才能防御它们吗欢迎在留言区分享你的观点。

END

上一篇:科普 | 什么是比特币?

『声明:本文为作者独立观点,不代表白话区块链立场,本内容仅供广加密爱好者科普学和交流,不构成投资意见或建议,请理性看待,树立正确的理念,提高风险意识。文章版权和最终解释权归白话区块链所有。』

阅读白话区块链入门连载

女生用什么笔记本推荐

平板电脑镜像怎么打开

电脑怎么知道cpu运作不运做

大自在观音翡翠文案怎么写

夏天怎么戴玉石项链

为什么给猫咪绝育手术

狗狗肚子红经常舔怎么回事

海外网络推广专员苏州

锦州抖音seo软件工具

标签:白话区块链 女巫 比特币