请选择 进入手机版 | 继续访问电脑版
彩云比特
摘要

原创: Joël Valenzuela 达世币资讯 今天 去中心化系统实验室(Decentralized Systems Lab)在最新的研究中发现,很多以权益证明为基础的加密数字货币都存在严重的安全漏洞。 去中心化系 ...

原创: Joël Valenzuela  达世币资讯  今天


去中心化系统实验室(Decentralized Systems Lab)在最新的研究中发现,很多以权益证明为基础的加密数字货币都存在严重的安全漏洞。

437.jpg



去中心化系统实验室隶属伊利诺伊大学香槟分校,它在一项新研究中发现了多个针对基于权益证明的加密数字货币的攻击向量。根据报告显示,许多安全威胁源于以权益证明为基础的加密数字货币沿用了比特币的设计。


据悉,许多加密数字货币实际上都是比特币代码库的分叉,或者至少是它的衍生,它们以比特币代码库为主干嫁接了权益证明。然而,由于这些加密数字货币在参考设计理念时的操作不够安全,因此它们面临着比特币代码库中并不存在的新漏洞。


此次研究发现的漏洞会对第三个版本的权益证明产生影响,攻击者可以利用这些漏洞过度占用节点资源,进而造成节点崩溃。


报告将新发现的漏洞命名为Fake Stake。从本质上来说,这种类型的攻击之所以能生效是因为第三个版本的权益证明在调配磁盘或RAM等宝贵的资源前无法充分验证网络数据。结果,并没有拥有太多权益(甚或完全没有权益)的攻击者就可以利用虚假数据过度占用磁盘或RAM并造成攻击对象节点的崩溃。报告进一步指出,所有基于UTXO和最长链权益证明的加密数字货币都很容易沦为攻击目标。


目前,研究已经发现了两种版本的Fake Stake攻击,它们可以影响不同种类的加密数字货币。其中一种利用节点无法单独通过区块头确定有效权益的特性造成RAM或磁盘的过度占用;第二种则涉及加密数字货币的合法权益,具体来说,受到攻击的加密数字货币会被多次转移,但此前用于权益证明的数据仍然继续使用。


受到影响的加密数字货币在研发过程中可能没有进行尽职调查
Andrew Miller @ socrates1024
今天,我们公开了一个会造成资源耗尽的安全漏洞,它影响到了十几种基于权益证明的加密数字货币。简而言之,这一漏洞的根源在于这些加密数字货币在将区块存储到磁盘和RAM之前没有充分验证区块。2018年11月,研究室就公布了这个多币种统一出现的安全漏洞。
sanket1729 @ Sanket1729
https://medium.com/@dsl_uiuc/fake-stake-attacks-on-chain-based-proof-of-stake-cryptocurrencies-b8b05723f806 ....
来自伊利诺伊大学香槟分校的去中心化系统实验室的@socrates1024、Yunqi Li、Yuguang Chen和Joseph Kuo表示,基于最长链权益证明的加密数字货币可能遭到Fake Stake攻击并导致资源耗尽。
——2019年1月23日5:14

去中心化系统实验室的报告发现,认定适用于比特币(基于工作量证明)的方法也适用于以权益证明为基础的加密数字货币的假设是错误的,而且很多种加密数字货币都面临着同样的安全漏洞的威胁。


虽然Fake Stake从原则上来说很简单,但它也突出了设计上的一个难题——适用于比特币(基于工作量证明)的方法并不适用于以权益证明为基础的加密数字货币。鉴于以第三个版本权益证明为基础的加密数字货币大量参考了比特币的核心代码,因此,研究人员认为这个问题值得更深入的反思与审查。


将比特币代码直接复制应用于截然不同的加密数字货币说明,基于权益证明的加密数字货币的研发人员可能并没有透彻地理解这两种不同的共识机制。


研究人员表示,对此次漏洞的反思表明,权益证明的研发人员对加密数字货币领域的设计要求和权衡并没有深入的理解。这方面的挑战在于:一方面,研发人员希望能尽快驳回无效的区块,一方面又不希望造成区块链分叉或延迟主链上的进程。如何提供系统性的解决方案仍然是未来工作中悬而未决的一个问题。


更令人担忧的是,许多开发团队似乎已经陷入了沉睡状态,他们没有对这些漏洞的披露作出任何回应,其中,四个加密数字货币项目没有予以回应,而六个则无法联系。这是因为,这些币种在Github上的活动迹象寥寥无几,说明项目研发陷入停滞。


据悉,在相关的加密数字货币当中,有五个项目团队承认了这一漏洞,三个团队正在进行调查,三个团队否认了漏洞的存在(并指出有缓解作用的执行变更),另有四个团队不予回应。对于没有回应的四个团队,实验室通过网站上的联系方式联系了有关人员。


最值得注意的是,截至发稿时市值全球排名前八十的PIVX并没有就漏洞的披露发表回应。


2019年可能是加密数字货币倍受攻击的一年


2019年,业内人士可能会看到针对加密数字货币的攻击显著增加。除了基于权益证明的币种所面临的安全漏洞之外,基于工作量证明的币种同样可能受到攻击。正如Siacoin的首席开发人员所说,加密数字货币将在2019年面临安全方面的重大挑战。以以太坊经典为例,它是今年黑客攻击的一个典型受害者,是排名前二十的加密数字货币中受到严重干扰的一个币种。


达世币具备防范攻击的能力,它拥有很高的算力和先进的X11算法。在不久的将来,它还计划引入名为ChainLocks的创新,这项创新要求潜在的攻击者必须掌控超过一半的主节点才能发动攻击。考虑到运行主节点所需的资金占到达世币供应量的一半以上,达成发动攻击的条件更是难上加难。


虽然达世币常常看似是以权益证明为基础,但它实际上利用的是工作量证明,而且还借助ChainLocks提高了安全性,这意味着它可以有效地防范由去中心化系统实验室发现的漏洞。


来自达世币核心团队的首席研发人员Udjinm6表示,主节点不会产生区块,而且,主节点保证金也不需要区块验证。ChainLocks是通过post-header来布局的,因此,攻击者无法在无效的header上对ChainLock进行投票。


这种独特的改进有望使达世币成为世界上最安全的加密数字货币。



免责声明:本文及本公众号任何文章之观点,皆为交流探讨之用,不构成任何投资建议。本公众号作者也不负有更新以往文章观点之责任,一切以最新文章为准。用户根据本文及本公众号任何其他观点进行投资,须风险自担,责任自负。由此造成的一切后果,本公众号不承担任何责任。


翻   译: 达世币中国团队
作   者: Joël Valenzuela
来   源:
https://dashnews.org/new-research-exposes-fake-stake-attack-proof-of-stake-vulnerability/

全部评论
显示全部楼层 |
跳转到指定楼层
    您需要登录后才可以回帖 登录 | 立即注册   

    本版积分规则

    qq客服QQ
    weixin微信公众号
    weibo官方微博
    滇ICP备14007133号-1 滇公网安备 53011102000197号   
    快速回复 返回顶部 返回列表