只要是系統,就存在著被攻擊的危機。
而區塊鏈是一個龐大的系統,一個融合各專業知識所集成的分散式帳本。
2019 年 4 月,一篇論文《 Exploring the Attack Surface of Blockchain:A Systematic Overview》整理了從古至今在區塊鏈上發生的常見攻擊方式。
除了知名的「雙花攻擊」及「女巫攻擊」概念以外,
這篇論文還介紹其他攻擊手段,並且提供解決的方案,
這篇文章會是技術導讀,帶大家認識區塊鏈上資安攻擊手段有哪些,初步了解相關資安議題:
目錄
雙花攻擊(針對「最長鏈原則」進行攻擊)
51%攻擊
攻擊者擁有超過區塊鏈上 50% 的算力,
因此可以創造一條長度大於原來鏈的新鏈,那麼根據最長鏈原則,過去的舊鏈則會失效。
(但因成本太高,現實中如比特幣、以太坊網絡皆沒被此攻擊過)
競賽攻擊(Race Attack)
通過控制礦工費(gas),來實現雙花攻擊。
攻擊者會發送兩筆交易,一筆給自己(含有較高的礦工費),一筆給商家/對方(含有較少的礦工費),並隱瞞發給自己的這筆交易。
商家看到攻擊者發送的交易,這時可能已被驗證,故提供商品給攻擊者。
然而,由於攻擊者給自己的這筆交易,因為具有較高礦工費,因此有較高機率被優先打包進最長鏈中;而之前商家所看到的,則是在部分節點上所進行的驗證。
在此種狀況下,商家就會產生損失。
自私挖礦(也有謀求挖礦獎勵的動機)
攻擊者隱瞞自己所挖到的區塊,先讓別人在公開最長鏈上進行挖礦。
等到自己手上隱瞞的區塊足以成為最長鏈後,再釋出來取代原本的最長鏈。
如此一來,攻擊者就會獲得對應的挖礦獎勵,以及有機會實現雙花攻擊。
在論文中的 “Block Withholding Attacks” 章節,其中又細分成三種攻擊手法:
- The finney Attack
- Classical withholding attack
- Fork after withholding attack
(以上為針對「最長鏈原則」最常見的攻擊方式,更多細節可參考這篇文章)
女巫攻擊 (針對「網絡 & 節點」進行攻擊)
由於區塊鏈是一個點對點(peer-to-peer)的網路架構,因此除了針對區塊鏈本身的規則(最長鏈)進行攻擊外,
另一種攻擊方式便是針對這些基礎節點(node)/網絡進行攻擊,在一般的資訊系統上也相當常見。
這類攻擊的概念很簡單:針對網絡上的節點、連線、或機制進行攻擊,達到阻隔用戶對網路資源的正確存取,甚至進一步誤導用戶到惡意節點上,來影響整個區塊鏈上的共識。
常見的攻擊方式有以下三種:
DNS 攻擊
當一個新節點加入到區塊鏈的網絡時,需要先訪問 DNS,才能獲得其他「誠實節點」的相關資訊,並決定要加入到哪個網絡中。
此時如果駭客針對 DNS 進行攻擊,在裡面植入「惡意節點」的資訊,那將會誤導用戶連結到由駭客所架構的「惡意網絡/惡意節點群」中,進而被利用向區塊鏈提供錯誤的區塊。
BGP 挾持攻擊(詳細介紹:BGP 挾持攻擊介紹)
藉由挾持路由器,來達到控制全節點/輕節點的目的。
論文表示:這類攻擊會使區塊鏈上的區塊傳播(block propagation)延遲最多20分鐘。
在比特幣中,是每十分鐘就會產生一個區塊,因此這類延遲將會使「雙花攻擊」、「區塊鏈分岔」、「共識延遲」的機率增加。
日蝕(Eclipse)攻擊
在區塊鏈網絡中,相鄰的節點之間會形成節點群(node clusters),互相交換最新的資訊。
所謂的日蝕攻擊,就是指在節點群中,先混入所謂的「惡意節點」,並針對網路連線進行攻擊,切斷誠實節點之間的連結。
如此一來,「誠實節點」之間的資訊無法互通,同時「惡意節點」又向「誠實節點」輸送假造的惡意資訊,使「誠實節點」誤以為是目前最正確的資訊,進而誤導整個區塊鏈上的共識。
分散式阻斷服務攻擊(DDoS)
是另一種常見的攻擊手法之一。
概念上來說,是針對目標電腦或系統進行大量頻繁的訪問,導致其資源耗盡,迫使服務暫時中斷,影響正常用戶的存取訪問,或是正常用戶的交易驗證。
由於區塊鏈是「掌握算力者恆強」的機制,因此駭客透過 DDoS 去癱瘓其他礦工的算力,使自己握有的算力比例提升,這是此種攻擊方式最主要的目的!(延伸閱讀:區塊鏈 vs. DDoS)
(之所以不透過攻擊別人來提升自己算力的比例,那是因為成本太高了)
在論文中,有兩種這類型的攻擊方式,主要以「影響其他正常交易資料的驗證」為目的:
壓力測試(Stress Test)
在比特幣區塊鏈中,平均一個區塊會包含 2000 筆交易資料。而為了讓區塊鏈上的所有交易都能被驗證,因此每分鐘最多不能產生超過 200 筆交易資料。
這類攻擊方式的核心概念為 → 在短時間產生大量、價值小的交易資料,造成系統阻塞,將大部分的資源來處理這些價值小的資料,而無暇去理會鏈上其他正常用戶的交易資料。
內存池攻擊(Mempool flooding)
所有的交易資料,在未經確認前都會先集中到區塊鏈上的一個內存池(Mempool),然後由其他礦工來進行驗證。
而這類手法,便是針對內存池進行 DDoS 攻擊。在一些已知案例中,Saad 等人藉由透過提高 gas 費用,往內存池內塞入大量的未確認交易,
而礦工們為了獲得更多的報酬,就會率先去驗證這些交易,而忽略其他人的正常交易。
結語
在論文中,還有提到其他如「共識延遲攻擊」、「時間戳記竄改」、「加密挾持」、「瀏覽器挾持(進行挖礦)」、「智能合約攻擊」……等攻擊方式。
但因為沒時間深入了解,等之後有空再來介紹!
總之這篇論文深具系統性,除了剖析成區塊鏈的組成以外,還整理出從古至今發生過的資安攻擊手段,以及做為系統開發方該如何反制。
對於有心想開發區塊鏈系統、或對區塊練資安問題感興趣的人來說,這篇論文值得一讀。
對投資人來說,加密貨幣是不同於傳統金融(股票、外匯、黃金)、一種新型態的投資資產,因此門檻相對來說也較高。
建議想投入這個市場,先好好花時間來研究背後相關的知識,以及多看網路上的資源文章,充實自己對加密貨幣的認知藍圖。
如果是煩惱該選擇哪間加密貨幣交易所,我可以提供自己的經驗作參考:
- 幣安 Binance:我利用來現貨交易、買幣賣幣投資、質押領幣利息…等用途【幣安系列文】
- 派網 Pionex:我利用來開設網格天地單、放幣期限套利領高額利息【派網系列文】
- FTX 交易所:我利用來購買股權通證(用加密貨幣買美股和 Pre-IPO 股票)【 FTX 系列文】
- Gate.io:我利用來買平台幣 GT、小幣交易,提前布局尚未爆發的潛力項目 【Gate.io 系列文】
- Cabital:適合被動收入,透過儲蓄加密貨幣領到 12-15% 的利息【Cabital 系列文】
- KuCoin 庫幣:我利用閒幣賺息將手中閒置貨幣來收取利息、享有被動收入【KuCoin系列文】
當然不只有這些選擇,你可以再自行做功課研究,挑選適合自己的交易所,但務必留意安全性!
免責聲明: 本篇文章僅為知識分享教學文,所有交易皆存在風險,尤其加密貨幣和相關合約商品屬於波動性高的產品, 請謹慎投資。本文不構成任何開戶建議,請謹慎選擇具有安全監管保障的交易所與券商。
對加密貨幣有興趣的讀者可以加入》Line 群組-漫談加密貨幣群(區塊鏈、加密貨幣交流)
【精選專欄】
【其他區塊鏈知識文章】
- 區塊鏈教學:用白話文看懂比特幣與挖礦是什麼?
- 加密貨幣投資第一步:台灣最完整買賣 USDT 入金方式教學
- 新手加密貨幣教學:區塊鏈原理、避免詐騙、可靠交易所統整
- 區塊鏈教學:以太坊 Dapps 事前準備-如何在 Windows 作業系統上設定好開發環境?
- 區塊鏈的資安議題:常見的駭客攻擊有哪些?論文導讀《Exploring the Attack Surface of Blockchain: A Systematic Overview》
- 區塊鏈教學:利用 Windows 部署、開發 ERC-20 加密貨幣
- 區塊鏈知識:比特幣披薩日!第一筆比特幣交易
- The SandBox 是什麼?虛擬土地價值與應用,附帶土地購買教學詳解
- 區塊鏈介紹:PoS 機制是什麼?如何運作?有何風險?
- 公鏈什麼意思?又有哪些加密貨幣可以投資?
【訂閱、追蹤、更了解雷司紀的小道投資在做些什麼】
