Verge被攻击的命门在哪里？

Verge是一种去中心化的数字货币，专为注重隐私的用户而设计。近两个月来，Verge被两次攻击，其发行的加密货币XVG被大额卷走，价值高达百万美元。攻击发生于Verge与知名成人娱乐网站Pornhub宣布开展支付合作的几周前，是否巧合不得而知。Verge被攻击，缺陷在哪里？是否能抵御下一次51%攻击?我们又从中可以吸取哪些教训。请看下文。

臭名昭著的51%攻击是加密货币协议中的主要缺陷，但是极少出现，特别是在现下流行的主流加密货币中。

然而，在过去的几个月中，单个或一组矿工控制了整个网络算力半数以上进行开采的行为，已经在同一个区块链出现了两次。

Verge发行的是面向隐私的加密货币XVG，最近Verge因与流行成人娱乐网站Pornhub开展合作而出名，在此前后却遭遇了两次51%攻击，攻击者卷走了价值数百万美元的XVG币。

第一次攻击发生在4月，正是Verge与Pornhub网建立合作前的几周，攻击者卷走了25万个XVG币。最近一次攻击发生在5月中旬，攻击者掠走了价值170万美元的XVG币。

据调查，这几次攻击只是由于Verge对加密货币协议底层代码做了几个小小改变，但是在这几次攻击发生前，谁也没想到这些代码的改变会导致什么严重的后果。

其实，Verge开发者的初衷只是设计一个更好的加密货币用于支付，但是由于调整了小的参数（比如一个区块的有效时长），开发者相当于打开了自己区块链被攻击的大门。

伦敦帝国理工学院的助教、流动性网络创始人阿瑟·热维斯表示：“进行正确的奖励措施并保持其正确很难。”

区块链正是建立在一堆非常危险的奖励措施之上，而所有利益相关者都在为一个共同的目标而努力，从而消除一个实体获得完全控制权的可能性。

“事态显然不太好，”一直在密切关注这几次袭击的加密货币分析网站Abacus的首席技术官丹尼尔·戈德曼说，“代码库最初出现问题完全是程序员粗心大意，在没有理解代码含义的情况下引用了其他开源软件的代码。”

戈德曼补充：“虽然我也不愿意这么说，但必须总结一下：那些攻击者做的比开发者更好。如果是我，我想把他（攻击者）挖走。”

资深区块链开发者，如莱特币的查里·李和门罗币的首席开发员里卡多·斯帕格尼，一直以来都认为Verge这个平台进行的各种调整有明显的缺点，这些唱反调的观点如今看来是正确的，之前他们一直被一群自称“Verge军”的爱好者们攻击。

Verge开发团队就以上评论没有发表任何言论。

问题

教训之一就是为什么交易时间被限定的如此严格，这是有原因的。

比如，比特币被一个区块验证前只有10分钟的有效交易时间，而Verge将这个时间延长到2小时。由于区块链节点遍布全球而带来的信息不对称，攻击者可以偷偷在区块链上加上假的时间戳而不被发现。这个问题戈德曼曾在网上发文指出，该文广为流传。

但问题不仅于此。另一个被攻击的原因在于Verge采用了有问题的算法。

Verge使用“暗重力波”算法自动调整“矿工”寻找区块链的速度。这个算法运行周期是每两小时一次，而比特币是每两周一次，Verge显然更快。

戈德曼指出，造假的时间戳加上快速调整的算法，导致“错误地让加密货币协议的挖矿调整算法混乱了”。

或者换句话说，攻击者非常聪明的用假的时间戳挖出区块链，迫使加密货币难以更快的调整，导致攻击者更容易挖出更多的XVG币。

当第一次攻击发生时，Verge的开发人员很快发布了补丁，组织攻击者继续制造更多的钱。但是在上个月（5月）发生的攻击中，这个补丁也不过如此，攻击者找到另一种方式卷土重来，这让我们看到了建造一个抗攻击的分布式系统有多难。

持续不断的攻击

按照戈德曼的说法，Verge的问题可能还没完。

戈德曼表示：“一场攻击显然或许仍在酝酿。不过这个可能的攻击者目前还没有完全击垮Verge。”

但是他补充：“就现状来看，我认为三个易被攻击的基础问题中的两个已经得到了缓解，但还有一个完全没有修正。”

尽管之前的攻击并不是直接从用户手中偷取XVG币，但“矿工”不应该像这样能够随意扭曲规则，不应该让单个个体能在很短的时间内印制大量的货币。

因此，Verge的开发人员正积极改进代码。在与Verge开发人员的简短沟通后，5月31日，Verge黑皮书的作者CrytoRekt（笔名）在某新闻网站上表示，Verge团队的所有成员“绝不会故意做任何玷污或者伤害本项目的事”。

他还说，开发人员几周以来已经开发了新代码以“加强我们的货币抵御未来攻击的能力”。

但是，戈德曼认为还有其他问题。Verge的代码库和现今很多依赖开放源代码的加密货币项目不同，它是自己构建的，不会得到区块链社区的同行审查来帮助它发现自己的不足。

戈德曼发文说：“因为在没有经过负责任审查的情况下引入代码才导致了现在这一切，Verge家族应该感到紧张。”

Verge的未来

目前，Verge社区的多数人还是支持开发团队和他们的加密货币的。

Verge用户Cryto Dog至今仍然声称“没必要恐慌”，认为Verge肯定会成功。CrytoRekt将攻击视为积累学习经验，可以帮助Verge“建立更大更好的项目”。

尽管如此，这次的攻击还是很糟糕的，不管是对于Verge本身，还是对那些与Verge团队合作的机构，包括Pornhub。特别是Pornhub的副总裁科里·普莱斯表示，选中Verge作为支付方式保护客户的财务隐私是经过了“非常慎重的筛选过程”。

因此，有些开发人员相信，这种情况将让许多机构在采用区块链前的分析时，更关注其责任性。

BitGo工程师马克·额尓哈特表示：“近期将会更严格的审核，导致更多的攻击，也让投资者更准确地评估小型代币项目的价值，对此我毫不意外。”

他补充：“没有攻击就不能证明一个系统的安全性。不少代币项目都有不安全的缺陷。只是还没有人去发掘这些系统错误或者弱点。”

所以，在未来长期的发掘错误的过程中，Verge可能算是“头一个”。

尽管51%的攻击通常被视为难以实施，但是流动性网络的格非斯认为，新的数据显示了51%攻击比之前设想的要容易。他提到一个新的网络应用51crypto，这个应用可以追踪对各种区块链进行51%攻击的盈利情况。

这项数据统计的核心是，区块链越小，越容易被扭曲规则并被控制，因此开发人员在构建自己的系统时必须特别小心。

因为“违反诚实行为带来的经济利益越大，越容易发生攻击。” 格非斯总结道。

原文：https://www.coindesk.com/verges-blockchain-attacks-are-worth-a-sober-second-look/

编译：袁芳