只要是系統,就存在著被攻擊的危機。
而區塊鏈是一個龐大的系統,一個融合各專業知識所集成的分散式帳本。
2019 年 4 月,一篇論文《 Exploring the Attack Surface of Blockchain:A Systematic Overview》整理了從古至今在區塊鏈上發生的常見攻擊方式。
除了知名的「雙花攻擊」及「女巫攻擊」概念以外,
這篇論文還介紹其他攻擊手段,並且提供解決的方案,
這篇文章會是技術導讀,帶大家認識區塊鏈上資安攻擊手段有哪些,初步了解相關資安議題:
雙花攻擊(針對「最長鏈原則」進行攻擊)
51%攻擊
攻擊者擁有超過區塊鏈上 50% 的算力,
因此可以創造一條長度大於原來鏈的新鏈,那麼根據最長鏈原則,過去的舊鏈則會失效。
(但因成本太高,現實中如比特幣、以太坊網絡皆沒被此攻擊過)
競賽攻擊(Race Attack)
通過控制礦工費(gas),來實現雙花攻擊。
攻擊者會發送兩筆交易,一筆給自己(含有較高的礦工費),一筆給商家/對方(含有較少的礦工費),並隱瞞發給自己的這筆交易。
商家看到攻擊者發送的交易,這時可能已被驗證,故提供商品給攻擊者。
然而,由於攻擊者給自己的這筆交易,因為具有較高礦工費,因此有較高機率被優先打包進最長鏈中;而之前商家所看到的,則是在部分節點上所進行的驗證。
在此種狀況下,商家就會產生損失。
自私挖礦(也有謀求挖礦獎勵的動機)
攻擊者隱瞞自己所挖到的區塊,先讓別人在公開最長鏈上進行挖礦。
等到自己手上隱瞞的區塊足以成為最長鏈後,再釋出來取代原本的最長鏈。
如此一來,攻擊者就會獲得對應的挖礦獎勵,以及有機會實現雙花攻擊。
在論文中的 “Block Withholding Attacks” 章節,其中又細分成三種攻擊手法:
- The finney Attack
- Classical withholding attack
- Fork after withholding attack
(以上為針對「最長鏈原則」最常見的攻擊方式,更多細節可參考這篇文章)
女巫攻擊 (針對「網絡 & 節點」進行攻擊)
由於區塊鏈是一個點對點(peer-to-peer)的網路架構,因此除了針對區塊鏈本身的規則(最長鏈)進行攻擊外,
另一種攻擊方式便是針對這些基礎節點(node)/網絡進行攻擊,在一般的資訊系統上也相當常見。
這類攻擊的概念很簡單:針對網絡上的節點、連線、或機制進行攻擊,達到阻隔用戶對網路資源的正確存取,甚至進一步誤導用戶到惡意節點上,來影響整個區塊鏈上的共識。
常見的攻擊方式有以下三種:
DNS 攻擊
當一個新節點加入到區塊鏈的網絡時,需要先訪問 DNS,才能獲得其他「誠實節點」的相關資訊,並決定要加入到哪個網絡中。
此時如果駭客針對 DNS 進行攻擊,在裡面植入「惡意節點」的資訊,那將會誤導用戶連結到由駭客所架構的「惡意網絡/惡意節點群」中,進而被利用向區塊鏈提供錯誤的區塊。
BGP 挾持攻擊(詳細介紹:BGP 挾持攻擊介紹)
藉由挾持路由器,來達到控制全節點/輕節點的目的。
論文表示:這類攻擊會使區塊鏈上的區塊傳播(block propagation)延遲最多20分鐘。
在比特幣中,是每十分鐘就會產生一個區塊,因此這類延遲將會使「雙花攻擊」、「區塊鏈分岔」、「共識延遲」的機率增加。
日蝕(Eclipse)攻擊
在區塊鏈網絡中,相鄰的節點之間會形成節點群(node clusters),互相交換最新的資訊。
所謂的日蝕攻擊,就是指在節點群中,先混入所謂的「惡意節點」,並針對網路連線進行攻擊,切斷誠實節點之間的連結。
如此一來,「誠實節點」之間的資訊無法互通,同時「惡意節點」又向「誠實節點」輸送假造的惡意資訊,使「誠實節點」誤以為是目前最正確的資訊,進而誤導整個區塊鏈上的共識。
分散式阻斷服務攻擊(DDoS)
是另一種常見的攻擊手法之一。
概念上來說,是針對目標電腦或系統進行大量頻繁的訪問,導致其資源耗盡,迫使服務暫時中斷,影響正常用戶的存取訪問,或是正常用戶的交易驗證。
由於區塊鏈是「掌握算力者恆強」的機制,因此駭客透過 DDoS 去癱瘓其他礦工的算力,使自己握有的算力比例提升,這是此種攻擊方式最主要的目的!(延伸閱讀:區塊鏈 vs. DDoS)
(之所以不透過攻擊別人來提升自己算力的比例,那是因為成本太高了)
在論文中,有兩種這類型的攻擊方式,主要以「影響其他正常交易資料的驗證」為目的:
壓力測試(Stress Test)
在比特幣區塊鏈中,平均一個區塊會包含 2000 筆交易資料。而為了讓區塊鏈上的所有交易都能被驗證,因此每分鐘最多不能產生超過 200 筆交易資料。
這類攻擊方式的核心概念為 → 在短時間產生大量、價值小的交易資料,造成系統阻塞,將大部分的資源來處理這些價值小的資料,而無暇去理會鏈上其他正常用戶的交易資料。
內存池攻擊(Mempool flooding)
所有的交易資料,在未經確認前都會先集中到區塊鏈上的一個內存池(Mempool),然後由其他礦工來進行驗證。
而這類手法,便是針對內存池進行 DDoS 攻擊。在一些已知案例中,Saad 等人藉由透過提高 gas 費用,往內存池內塞入大量的未確認交易,
而礦工們為了獲得更多的報酬,就會率先去驗證這些交易,而忽略其他人的正常交易。
結語
在論文中,還有提到其他如「共識延遲攻擊」、「時間戳記竄改」、「加密挾持」、「瀏覽器挾持(進行挖礦)」、「智能合約攻擊」……等攻擊方式。
但因為沒時間深入了解,等之後有空再來介紹!
總之這篇論文深具系統性,除了剖析成區塊鏈的組成以外,還整理出從古至今發生過的資安攻擊手段,以及做為系統開發方該如何反制。
對於有心想開發區塊鏈系統、或對區塊練資安問題感興趣的人來說,這篇論文值得一讀。
免責聲明: 本篇文章僅為知識分享教學文,所有交易皆存在風險,尤其加密貨幣和相關合約商品屬於波動性高的產品, 請謹慎投資。本文不構成任何開戶建議,請謹慎選擇具有安全監管保障的交易所與券商。
對加密貨幣有興趣的讀者可以加入》Line 群組-漫談加密貨幣群(區塊鏈、加密貨幣交流)
合作工商
加密貨幣其實就像台股一樣,你可以享有交易手續費折扣,不過取得方式卻不一樣。
在台股,你可以親自和業務員談手續費減免;但在幣圈,你必須透過推薦連結開戶才能享有手續費減免。
手續費減免的幅度也有分等級,這裡提供的都是折扣幅度最高的推薦連結,也就是說你在交易時能夠享受最大幅度的手續費折扣,而且保證是全球最大幅度的。
如果你今天在交易上多省 1% 的手續費,就代表你在投資績效上可以多賺 1%,更不用說下面的推薦連結都不只 1%,動輒 5% – 20% 的任君選擇。所以在幣圈投資時,用越好的手續費折扣連結來註冊,你在交易時能取得的投資績效也就越好。
| 交易所 | 這間交易所適合做什麼操作? | 終身交易手續費折扣 | 註冊推薦碼 |
| 幣安 Binance | 現貨、合約交易,以及質押領息 | 最高 40%(20%折扣 +20%BNB費率抵免) | YIX7CMSZ |
| 派網 Pionex | 開網格天地單、抄底寶,用期現套利領高額利息 | 20% | EhYBkd6v |
| FTX 交易所 | 購買股權通證和 8% 活存利息 | 5% | rayskyinvest |
| Bitfinex | 美元放貸,獲取 18~25% 的利息收入 | 6% | MkvZwqTRR |
| Gate.io | 買平台幣 GT、小幣交易,提前布局潛力項目 | 首年享 30% 費率折扣 | 5961249 |
| BingX | 合約交易與實體福利,享受一百多間在地店家優惠 | 90 天享 20% 費率折扣 | HTDTMS5H |
| Kucoin | 閒幣賺息 | 享 0.02% 手續費 | rJ6X7EW |
| Bybit | 現貨、合約交易 | 享 0.1% 吃單手續費 | 21215 |
【精選專欄】
【其他區塊鏈知識文章】
- 區塊鏈教學:用白話文看懂比特幣與挖礦是什麼?
- 加密貨幣投資第一步:台灣最完整買賣 USDT 入金方式教學
- 新手加密貨幣教學:區塊鏈原理、避免詐騙、可靠交易所統整
- 區塊鏈教學:以太坊 Dapps 事前準備-如何在 Windows 作業系統上設定好開發環境?
- 區塊鏈的資安議題:常見的駭客攻擊有哪些?論文導讀《Exploring the Attack Surface of Blockchain: A Systematic Overview》
- 區塊鏈教學:利用 Windows 部署、開發 ERC-20 加密貨幣
- 區塊鏈知識:比特幣披薩日!第一筆比特幣交易
- The SandBox 是什麼?虛擬土地價值與應用,附帶土地購買教學詳解
- 區塊鏈介紹:PoS 機制是什麼?如何運作?有何風險?
- 公鏈什麼意思?又有哪些加密貨幣可以投資?
【訂閱、追蹤、更了解雷司紀的小道投資在做些什麼】
Last Updated on 2022-10-28 by Nick
