臭名昭著的51%算力攻击,这是加密货币协议中的主要缺陷,但很少见到,特别是在最流行的加密货币中。
然而,在过去的几个月里,一个矿工(或一群矿工)控制了超过一半的网络的总计算能力,然后可以改变协议的规则,使之对他们有利,这种情况已经在同一个区块链上出现两次了。
实际上,最近通过与流行的成人娱乐网站Pornhub的合作,一种面向隐私的加密货币 verge通过51%算力受到两次黑客攻击,攻击者用价值数百万美元的本地加密货币XVG潜逃。
在4月的第一次攻击中(在Pornhub合作伙伴之前的几周),黑客以250000 XVG侥幸过关。在最近的5月中旬,攻击者从协议中窃取了价值170万美元的加密货币。
据研究人员称,这些漏洞是对底层代码进行简单更改的产物,加密货币协议通常是基于这些代码构建的,而且还面临着预测这些更改将产生何种意外后果的挑战。
当然,verge开发者只是试图设计一个更好的加密货币来支付,但通过调整小块参数(例如块的有效时间长度),该团队已经将其区块链开放到了攻击之中。
伦敦帝国理工学院助理教授、流动性网络创始人Arthur Gervais表示:“正确把握激励措施并保持非常困难。”
区块链是建立在非常危险的堆叠激励之上的,所有的利益相关者为了一个共同的目标共同努力,以消除一个实体完全控制的机会。
“事情显然看起来不太好,”加密货币分析网站The Abacus的首席技术官丹尼尔戈德曼说,他正在跟踪这些攻击事件。 “最初陷入代码库的问题是纯粹粗心大意的结果 - 将来自其他开源软件的代码整合到其中,而不理解其含义。”
Goldman补充说:
“我讨厌这么说,但是如果我不得不总结一下:攻击者比开发人员做得更好。如果我是他们,我就想把他挖走。”
由于经验丰富的区块链开发人员,包括litecoin创始人Charlie Lee和monero首席开发人员Riccardo Spagni,长期以来一直认为平台所做的调整有明显的缺点,例如这些反对者很容易被一群自称为"Verge Army" 感觉被证明是正确的。
“从中可以学到很多重要的经验教训,”富达投资研究分析师Nic Carter在推文中总结了verge发展的总体状况。
verge开发团队的代表没有回复CoinDesk的评论请求。
问题
其中一个教训是,交易可以有效的时间窗口限制非常严格。
举例来说,比特币交易在一个块中进行验证的有效时间只有大约10分钟,而verge开发者将这个窗口延长到了两个小时。因为节点分布在全球各地,在区块链系统中有一些信息不对称,所以攻击者不需注意就可以“恶搞”时间戳。
但不仅仅是这样;攻击的另一部分是verge的难度算法。
Verge利用“暗重力波”算法自动调整矿工找到方块的速度。在Verge,这每两个小时发生一次;与每两周调整一次的比特币相比,verge的算法相当快。
正如Goldman所说,与这种快速调整算法配对的伪造时间戳导致了“可悲地混淆协议的挖掘调整算法”的问题。
或者换句话说,攻击者巧妙地用假时间戳挖掘块,迫使加密货币的难度更快地调整 ——使攻击者更容易挖掘更多的XVG。
当第一次攻击发生时,verge开发人员迅速发布补丁,阻止攻击者打印更多钱。 然而,上个月发生的这次攻击,似乎这个补丁只是走了这么远,攻击者找到了另一种方式来执行相同的攻击,显示构建一个不容易受到攻击的分布式系统是多么困难。
持续的攻击
据Goldman称,verge问题可能还没有结束。
“一场明显的攻击,现在可能还在,一直正在尝试。但是到目前为止,这个可能的攻击者还没有设法超越网络,”Goldman告诉CoinDesk。
但他继续说道:
“就目前来看,三个漏洞中的两个(在我看来)漏洞的基本来源已经被缓解了,其中一种仍然是完全不确定的。”
尽管没有XVG直接被用户盗用,但网络上的矿工不应该像这样扭曲这些规则,在短时间内有效地为一个人印钱。
因此,verge开发者正在积极地改进代码。在经过了一段时间与verge的开发人员的沟通后,《the verge》(the verge“blackpaper”)一书的匿名作者CryptoRekt于5月31日在Reddit上表示,verge的所有团队“绝不会故意做任何玷污或伤害这个项目的事”。
他补充说,该项目的开发人员已经花了“几周”开发新代码,以“巩固我们的货币,防止未来的任何攻击”。
然而,Goldman认为还有另一个问题。与目前许多依赖开源代码的密码货币项目不同,verge的代码库是私下构建的,因此不会得到区块链专家社区的同行评议。
他在推特上写道:“因为在没有经过负责任的审查的情况下合并代码,才导致了这一切,这应该会让vergefam家族感到紧张。”
Verge的未来?
但到目前为止,大部分边缘社区仍然支持开发团队和加密货币的使命。
假名用户Crypto Dog甚至宣称“没有必要恐慌”,认为无论如何,verge的成功将会继续。 而CryptoRekt选择将其视为一种学习体验,这将有助于“构建更大更好的项目”。
尽管如此,这次攻击看起来并不理想,不仅仅是在verge本身,而且还有与包括Pornhub在内的verge团队合作的组织。 尤其由于Pornhub的副总裁科里·普赖斯(Corey Price)表示,为了保护客户的财务隐私,在“非常慎重的选择过程”中,将verge (verge)作为该网站的一种支付方式。
因此,一些开发人员认为,这一事件将提高许多组织在采用区块链之前更有效地分析它的责任感。
BitGo工程师Mark Erhardt补充说:“我不会对在不久的将来受到更多审查感到惊讶,它们都会导致更多的攻击,并且会让投资者更准确地评估较小的Altcoin项目的价值主张,”BitGo工程师Mark Erhardt说,
“没有进行攻击并不能证明系统是安全的,不止一个altcoin项目似乎正在采取不安全的捷径,只是没有人愿意利用这些系统缺陷或弱点。”
因此,verge可能是未来一系列未来攻坚战的第一步。
尽管51%的攻击通常被认为很难执行,但Liquidity Network的Gervais认为,新数据似乎表明它比许多以前认为的更容易。他指出一款新的网络应用程序51crypto,它可以追踪对各种区块链进行51%攻击的盈利情况。
统计的要点是,区块链越小,越容易超越它并改变规则,这就是为什么开发人员在构建系统时需要特别小心的原因。
因为“如果攻击比真实的行为更具经济意义,攻击者将会在那里,”Gervais总结道。