麻省理工科技评论:区块链“不可攻击论”的破

时间:2019-04-13 13:01:26 | 作者:爱科技网 | 点击: 117 次

图片来源图虫:已授站长之家使用

译者注:本文发表在麻省理工科技评论网站,从ETC遭受51%以及以太坊智能合约漏洞得出了区块链越来越容易遭到攻击的结论,并认为区块链对于窃贼来说十分有吸引力。这种观点事实上非常片面:首先,相比基于区块链的加密货币,现金在金融活动中的匿名性更高;其次,近段时间遭受51%的加密货币均因为算力不足,而相比之下,比特币区块链自诞生以来从未被攻破;最后,以太坊智能合约由于处于开发早期,存在问题不可避免,但并不能和区块链存在漏洞划上等号,智能合约概念的诞生远早于区块链。

以下为麻省理工科技评论发表的这篇文章的全文:

上个月初,Coinbase的安全团队注意到Ethereum Classic(ETC)发生了一些奇怪的事情,其区块链,即所有交易的历史记录,遭到了攻击。这种加密货币在Coinbase的交易平台进行买卖。

一名黑客以某种方式控制了网络一半以上的算力,并利用它重写了交易历史。这使得同一笔加密货币的多次使用成为了可能——也就是“双花”。攻击者因此取得了 110 万美元。Coinbase声称,该公司的账户并未出现被盗的情况。但另一家知名的交易所Gate.io承认自己没那么幸运,损失了大约 20 万美元(奇怪的是,攻击者几天后返还了所有资金)。

就在一年前,这种噩梦般的情景还仅限于理论层面。但ETC面临的51%攻击,只是区块链最近遭受的一系列攻击其中的一起,这些攻击加大了这个新兴行业的风险。

自 2017 年初以来,黑客总共窃取了近 20 亿美元的加密货币,其中大部分来自交易所,而这还只是公开披露的信息。这也不仅仅涉及伺机而动的独立攻击者。一些有组织的网络犯罪集团现在也会这样做:分析公司Chainalysis近期表示,有两个显然非常活跃的组织,可能从交易所共盗窃了 10 亿美元。

我们不应该感到惊讶。区块链对窃贼尤其有吸引力,因为在传统金融体系中欺诈交易往往是不可逆转的(译者评:事实恰恰相反)。除此之外,我们早就知道区块链具备独特的安全特性,也有独特的漏洞。那些称这项技术“不可破解”的口号和标语大错特错(译者评:比特币区块链自诞生以来从未遭到外部攻击)。

自从 10 年前比特币出现以来,这一点至少在理论上已经得到了理解。但是在过去的一年里,随着加密货币项目的激增,我们开始看到这在实践中意味着什么——以及这些固有的弱点对区块链和数字资产的未来意味着什么。

如何攻击区块链?

在我们继续之前,让我们先弄清楚一些术语。

区块链是由计算机网络维护的加密数据库(译者评:区块链≠数据库),每个计算机网络存储最新的副本。区块链协议是一组规则,规定网络中的计算机(节点)应该如何验证新交易并将其添加到数据库中。该协议使用密码学、博弈论和经济学来激励节点努力保护网络,而不会为了个人利益攻击网络。如果设置正确,这个系统会使添加错误交易变得极其困难和昂贵,但是验证有效交易会相对比较容易。

这就是为什么这项技术对很多行业如此有吸引力——从金融业开始。即将推出相关服务的知名机构,如富达投资和纽约证券交易所(NYSE)的母公司洲际交易所(ICE),将开始把区块链纳入现有金融体系。就连各国央行现在也在考虑将其用于新的国家货币数字形式。

但是,区块链系统越复杂,在设置时出错的方式就越多。本月早些时候,负责Zcash(一种使用极其复杂的数学方法让用户私下进行交易的加密货币)的公司透露,他们已经秘密修复了协议中意外出现的一个“微妙的密码学缺陷”。攻击者可以利用它制造无限的虚假Zcash。幸运的是,似乎没有人真正做到了这一点。

协议不是唯一需要安全的部分。要自己交易加密货币或运行节点,必须运行软件客户端,这也可能包含漏洞。今年 9 月,比特币的主要客户端Bitcoin Core也修复一个漏洞(也是在秘密进行的),这个漏洞可能会让攻击者制造比系统预期允许的更多的比特币(译者注:这里解读为秘密进行不妥,开发者在事后均有主动披露事件细节)。

尽管如此,最近备受关注的黑客攻击大多不是针对区块链本身,而是针对交易所,即人们可以购买、交易和持有加密货币的网站。很多攻击都归咎于糟糕的基础安全措施。今年 1 月对ETC的51%攻击改变了这一点。

51%的规则

易受51%攻击是大多数加密货币固有的。这是因为他们当中的大多数都是基于PoW区块链来验证交易的。在这个过程中,也称为挖矿,节点花费大量的算力来证明自己足够可信,从而向数据库中添加关于新交易的信息。以某种方式控制了该网络大部分算力的矿工,可以通过向其他用户发送交易,然后创建一个从未发生过付款的区块链版本来欺骗他们,也就是分叉。控制大多数算力的攻击者可以使分叉成为一条链的权威版本,并再次使用相同的加密货币。