Verge被攻击的命门在哪里?

Verge是一种去中心化的数字货币,专为注重隐私的用户而设计。近两个月来,Verge被两次攻击,其发行的加密货币XVG被大额卷走,价值高达百万美元。攻击发生于Verge与知名成人娱乐网站Pornhub宣布开展支付合作的几周前,是否巧合不得而知。Verge被攻击,缺陷在哪里?是否能抵御下一次51%攻击?我们又从中可以吸取哪些教训。请看下文。

臭名昭著的51%攻击是加密货币协议中的主要缺陷,但是极少出现,特别是在现下流行的主流加密货币中。

然而,在过去的几个月中,单个或一组矿工控制了整个网络算力半数以上进行开采的行为,已经在同一个区块链出现了两次。

Verge发行的是面向隐私的加密货币XVG,最近Verge因与流行成人娱乐网站Pornhub开展合作而出名,在此前后却遭遇了两次51%攻击,攻击者卷走了价值数百万美元的XVG币。

第一次攻击发生在4月,正是Verge与Pornhub网建立合作前的几周,攻击者卷走了25万个XVG币。最近一次攻击发生在5月中旬,攻击者掠走了价值170万美元的XVG币。

据调查,这几次攻击只是由于Verge对加密货币协议底层代码做了几个小小改变,但是在这几次攻击发生前,谁也没想到这些代码的改变会导致什么严重的后果。

其实,Verge开发者的初衷只是设计一个更好的加密货币用于支付,但是由于调整了小的参数(比如一个区块的有效时长),开发者相当于打开了自己区块链被攻击的大门。

伦敦帝国理工学院的助教、流动性网络创始人阿瑟·热维斯表示:“进行正确的奖励措施并保持其正确很难。”

区块链正是建立在一堆非常危险的奖励措施之上,而所有利益相关者都在为一个共同的目标而努力,从而消除一个实体获得完全控制权的可能性。

“事态显然不太好,”一直在密切关注这几次袭击的加密货币分析网站Abacus的首席技术官丹尼尔·戈德曼说,“代码库最初出现问题完全是程序员粗心大意,在没有理解代码含义的情况下引用了其他开源软件的代码。”

戈德曼补充:“虽然我也不愿意这么说,但必须总结一下:那些攻击者做的比开发者更好。如果是我,我想把他(攻击者)挖走。”

资深区块链开发者,如莱特币的查里·李和门罗币的首席开发员里卡多·斯帕格尼,一直以来都认为Verge这个平台进行的各种调整有明显的缺点,这些唱反调的观点如今看来是正确的,之前他们一直被一群自称“Verge军”的爱好者们攻击。

Verge开发团队就以上评论没有发表任何言论。

问题

教训之一就是为什么交易时间被限定的如此严格,这是有原因的。

比如,比特币被一个区块验证前只有10分钟的有效交易时间,而Verge将这个时间延长到2小时。由于区块链节点遍布全球而带来的信息不对称,攻击者可以偷偷在区块链上加上假的时间戳而不被发现。这个问题戈德曼曾在网上发文指出,该文广为流传。

但问题不仅于此。另一个被攻击的原因在于Verge采用了有问题的算法。

Verge使用“暗重力波”算法自动调整“矿工”寻找区块链的速度。这个算法运行周期是每两小时一次,而比特币是每两周一次,Verge显然更快。

戈德曼指出,造假的时间戳加上快速调整的算法,导致“错误地让加密货币协议的挖矿调整算法混乱了”。

或者换句话说,攻击者非常聪明的用假的时间戳挖出区块链,迫使加密货币难以更快的调整,导致攻击者更容易挖出更多的XVG币。

当第一次攻击发生时,Verge的开发人员很快发布了补丁,组织攻击者继续制造更多的钱。但是在上个月(5月)发生的攻击中,这个补丁也不过如此,攻击者找到另一种方式卷土重来,这让我们看到了建造一个抗攻击的分布式系统有多难。

持续不断的攻击

按照戈德曼的说法,Verge的问题可能还没完。

戈德曼表示:“一场攻击显然或许仍在酝酿。不过这个可能的攻击者目前还没有完全击垮Verge。”

但是他补充:“就现状来看,我认为三个易被攻击的基础问题中的两个已经得到了缓解,但还有一个完全没有修正。”

尽管之前的攻击并不是直接从用户手中偷取XVG币,但“矿工”不应该像这样能够随意扭曲规则,不应该让单个个体能在很短的时间内印制大量的货币。

因此,Verge的开发人员正积极改进代码。在与Verge开发人员的简短沟通后,5月31日,Verge黑皮书的作者CrytoRekt(笔名)在某新闻网站上表示,Verge团队的所有成员“绝不会故意做任何玷污或者伤害本项目的事”。

他还说,开发人员几周以来已经开发了新代码以“加强我们的货币抵御未来攻击的能力”。

但是,戈德曼认为还有其他问题。Verge的代码库和现今很多依赖开放源代码的加密货币项目不同,它是自己构建的,不会得到区块链社区的同行审查来帮助它发现自己的不足。

戈德曼发文说:“因为在没有经过负责任审查的情况下引入代码才导致了现在这一切,Verge家族应该感到紧张。”

Verge的未来

目前,Verge社区的多数人还是支持开发团队和他们的加密货币的。

Verge用户Cryto Dog至今仍然声称“没必要恐慌”,认为Verge肯定会成功。CrytoRekt将攻击视为积累学习经验,可以帮助Verge“建立更大更好的项目”。

尽管如此,这次的攻击还是很糟糕的,不管是对于Verge本身,还是对那些与Verge团队合作的机构,包括Pornhub。特别是Pornhub的副总裁科里·普莱斯表示,选中Verge作为支付方式保护客户的财务隐私是经过了“非常慎重的筛选过程”。

因此,有些开发人员相信,这种情况将让许多机构在采用区块链前的分析时,更关注其责任性。

BitGo工程师马克·额尓哈特表示:“近期将会更严格的审核,导致更多的攻击,也让投资者更准确地评估小型代币项目的价值,对此我毫不意外。”

他补充:“没有攻击就不能证明一个系统的安全性。不少代币项目都有不安全的缺陷。只是还没有人去发掘这些系统错误或者弱点。”

所以,在未来长期的发掘错误的过程中,Verge可能算是“头一个”。

尽管51%的攻击通常被视为难以实施,但是流动性网络的格非斯认为,新的数据显示了51%攻击比之前设想的要容易。他提到一个新的网络应用51crypto,这个应用可以追踪对各种区块链进行51%攻击的盈利情况。

这项数据统计的核心是,区块链越小,越容易被扭曲规则并被控制,因此开发人员在构建自己的系统时必须特别小心。

因为“违反诚实行为带来的经济利益越大,越容易发生攻击。” 格非斯总结道。

原文:https://www.coindesk.com/verges-blockchain-attacks-are-worth-a-sober-second-look/

编译:袁芳

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180606G1LV8G00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券