500美元完成一次51%双花攻击,区块链还安全吗?

转发语:从5月中旬开始,“51%攻击”在区块链世界中爆发,BTG(比特币黄金)沦为受害者。有人认为,如果“51%攻击”可以成功篡改区块链,甚至可能动摇整个区块链的根基。当某个人或者某个组织通过花钱租用算力,就可以任意摆布某条区块链的时候,又有多少条链还是安全的呢?区块律动BlockBeats的这篇文章从技术的角度对此进行了探讨。

被这么低的价格震惊到了?准确来说是 16100 美元就可以租借足够发动 51% 双花攻击的算力一小时。

截至发稿,有 71 种数字加密货币可以通过租借算力来控制区块链进行双花攻击,其中你只需要 500 美金,就可以对BCN 发起一次 51% 算力的双花攻击

上个月底,全球排名第 29 名比特币黄金(BTG)遭到地下矿工有预谋的双花攻击,据悉攻击者在本次双花攻击中总共获得20.5 万枚 BTG,价值高达 1.1 亿元人民币。

双花攻击,了解一下?

简单介绍一下什么是 BTG 遇到的双花攻击,根据 BTG 团队的描述:

攻击者预先准备了 8000 个 BTG 与大量可用算力,将 BTG 充入交易所,随后调用自己手中的算力开始私自挖矿。

等充币成功之后,攻击者在交易所将 BTG 卖掉提款。但是攻击者拥有的算力超过 51%,可以对 BTG 区块链进行控制,攻击者的这条区块链变成 BTG 的新主链。

攻击者控制这条主链,排斥刚才自己往交易所充币的交易行为,使充币这个动作失效,8000BTG 回到攻击者手中,但这时已经在交易所完成了套现。

攻击者在 4 天内重复进行了 17 次这样的攻击尝试,尝试「双花」了 20.5 万个 BTG。

简单来讲就是攻击者在交易所进行交易后,有预谋地控制算力来改写区块,使之前的区块链交易失效,但攻击者已经拿到现金走人

比特币黄金的创始人廖翔在事件发生之后分析称:攻击者必须拥有绝对大量的算力才能进行攻击,算力的来源可能是矿机公司制造的矿机,也有可能是从算力市场租借的算力,当然也有可能是某个矿池的管理员的恶意攻击。

就在上周,ZenCash 也遇到了同样的双花攻击,黑客通过控制算力改写区块,获得了 1.96 万枚 ZEN 代币。

区块链双花攻击事件频发,不禁让区块律动 Blockbeats 开始深入追踪事件的起因。

然后,我们发现其实市场上早就已经出现了可以为攻击者提供双花攻击的工具:双花成本计算网站 Crypto51 和全网算力租借平台 NiceHash

*本文所列的区块链在理论上是可以进行双花攻击的,但需要一定的技术来进行操作,本文讨论以攻击者意图不轨且具备相应技术为前提进行。

到目前为止,除了 BTG 和 ZEN 外均未遭到双花攻击。区块律动 BlockBeats 不推荐读者进行尝试操作,仅为提醒诸位之作!

Crypto51和Nicehash能做什么?

Crypto51 是一个追踪 POW 算法挖矿的区块链并测算发起 51%算力攻击理论成本的网站,其数据来源于目前全球最大的算力租借平台 Nicehash,在这个平台上,只要肯出钱就能租到算力来做任何事情。

数据显示,只需要 2659 美元就可以租借到能够实现 1 小时 BTG 区块链双花攻击的算力,在这一个小时里,你可以像上文提到的攻击者一样,充币到交易所,卖掉 BTG,然后再用租到的算力来改写区块链。

除了 BTG 外,该网站还提供包括比特币、以太坊、比特币现金等 80 多条区块链的双花攻击算力成本测算。

此刻我们更好奇的是:

如果进行双花攻击,哪些区块链花的钱最多?

如果有足够的钱,哪个区块链更容易成为双花攻击对象?

如果有足够的技术,双花攻击又是否真的每次都能获利?

如果进行双花攻击,哪些链最费钱?

根据该网站信息显示,目前实施 51% 双花攻击成本最高的前十五条区块链信息如下:

目前算力成本最高的算法是以比特币和比特币现金为代表的 SHA-256 算法,其次是以太坊领导的 Ethash 算法和莱特币所代表的 Scrypt 算法。

除去 SHA-256、Ethash 和 Scrypt 这三类主流算法的区块链外,还有采用了 CryptoNightV7 算法的莱特币和 X11 算法的达世币。

不过,区块律动 BlockBeats 发现,并非表中所列的区块链都可以被攻击,因为像比特币、比特币现金、以太坊等区块链的大量算力都被矿池占领。矿池是不会在 NiceHash 上出租算力的,所以就导致即便有钱想租借算力来进行双花攻击,也租不到足够的算力。

那么去掉无法双花攻击的区块链,还有哪些适合黑客下手双花攻击呢?哪些性价比高呢?

双花攻击更容易发生在哪些链身上?

所谓双花攻击的性价比,指的是以最少的资金来获得最大的收益。

区块律动 BlockBeats 给这个双花攻击性价比自制了一个简单的公式来计算其性价比得分:

要想一次性赚到最多的钱,当然要从最值钱的区块链开始,于是区块律动 BlockBeats 对可以进行双花攻击的区块链的市值进行了排名。

可以看到以太经典(ETC)赫然在列,它不仅市值达到了94 亿人民币,而且可以租到 96% 的算力来进行双花攻击。

再根据这一双花攻击性价比公式,双花攻击性价比最高的区块链排名如下:

在性价比排名前 10 的区块链中,有 2 条已经被攻击,剩下的还有BCNETCBTCP以及MONA等区块链拥有更高的被攻击性价比。

那么再让我们看看,如果攻击者想要双花攻击,交易所是否会为攻击者「敞开大门」?

很显然,交易所可以为攻击者提供足够的场地来进行双花攻击的提现操作。其中 ETC 可以在 67 家交易所进行交易,BCN 可以在 6 家交易所交易,BTCP 可以在 5 家交易所交易,MONA 可以在 9 家交易所交易

攻击者如果真的控制了这些币的算力,可以进行双花的交易所,真的是太多太多了……

通过区块律动 Blockbeats 的整理,「性价比极高」的 BTCP、BCI 和ETC三个区块链处于随时可能会被攻击的危险状态,我们随时都有可能会在第二天的早上,看到以上区块链被双花攻击的新闻。

租售算力是否道德?

毫无疑问,无论是 Crypto51 ,还是 NiceHash,这两家网站都是无害的,尤其是 NiceHash,它在区块链行业的萌芽阶段提供有效地支持,解决了不少项目算力缺失的问题,也让零散在全球的矿工可以通过自己的闲置算力赚到钱。

不道德的是破坏共识机制的攻击者。恶意攻击者,现在可以通过 Crypto51 看到可攻击目标,还可以通过 NiceHash 租到算力来实施攻击。

其实 crypto51 的出现,并不能改变矿工可以通过 NiceHash 购买算力,来进行 51% 攻击的事实,反而是 crypto51 对成本信息的纰漏,更应引起部分「高性价比」项目方对潜在双花攻击的重视。

当深入思考这个现象的时候,我们发现随着区块链技术的迭代升级,POW 算法机制弊端开始显露,新型公链项目不再需要大量算力挖矿,整个区块链市场也在越来越多的转向了 DPOS 机制来追求中心化、安全和性能上的综合平衡

这也就意味着,除了老牌的挖矿币之外,新的币将不再需要矿机支持,市场上被淘汰算力也将越来越多,可以在 NiceHash 上租到的算力也会越来越多。闲置算力越多,双花攻击的出现几率就越大。

面对双花攻击,该怎么办?

因为惨遭双花攻击、损失惨重,BTG 和 ZEN 团队都给出了相应后续预防办法。

在 BTG 遭到 51% 攻击后,BTG 团队无法有效增加 BTG 全网算力,创始人廖翔对双花攻击的反制措施中提及:将计划改进 BTG 的 Equihash 算法来预防 BTG 网络的再次遭到攻击

而 ZenCash 的团队在 ZEN 双花攻击发生一周后,也对外回复到:

我们发现,现在施行 51% 算力攻击既在技术上可行,而且在经济上也有利可图。成功与否依然是随机的,所以这是一场赌博;但只要有合理的成功率预测,我们就会目睹有源源不断的坏人出现。

随后,Zen 的团队在对外的公告中,也给出了自己的三个解决方案:

1)每当网络上报告了平行区块时,需要区块哈希指针指向 n > 1 个区块;

2)针对迟来的区块报告引入惩罚标准(包含一个补充选项,即根据惩罚标准动态地调节难度);

3)使用我们的节点系统作为一种公证服务,有效地在当前的 POW 机制之上加入一层权益证明机制。

这些补救办法虽然可以在有效的时间内控制双花攻击,但是对于之前的损失,项目团队没有任何解决方法,双花攻击中受损的矿工也得不到有效的补偿。

而在双花攻击中,最倒霉的要数中心化的交易所。但实际上,并不是每一次双花攻击都能生效,部分交易所在出现某个币种的大额交易的时候,会采取预警或者限制交易的方法来进行干预,对涉事账户进行冻结处理,而且交易所交易的 KYC 也对攻击者进行限制。双花攻击属于互联网犯罪行为,交易所可以向警方报案

但是如果黑客有足够的能力,搞到一批假的交易所账号,即便无法提现,也可以通过砸盘来操作期货套利

区块律动 BlockBeats 咨询了安全团队和矿池,他们都认为目前没有什么好的解决方法,所以我们的建议是尽可能远离这些容易被双花攻击的区块链。

• end •

作者 |0x2

来源 | 区块律动BlockBeats

图 | 网络

欢迎大家踊跃投稿

有区块链项目及相关消息请与我们联系

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180612A20GLS00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券