以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > 中幣 > Info

昌用:從“費用超付攻擊”看用戶可控安全的意義_自由現金:SIGN

Author:

Time:1900/1/1 0:00:00

編者按:本文來自昌用,作者:昌用,星球日報經授權發布。最近,比特幣出現“費用超付攻擊”:攻擊者利用冷錢包簽名交易時無法驗證鏈上交易狀態,攻擊冷錢包的在線端,通過在線端騙取冷錢包的多次簽名,再重組交易,使用戶支付高額礦工費。這個問題的出現暴露出當前密碼貨幣和區塊鏈發展的一個方向性問題:忽視“用戶可控安全”的重要意義。密碼貨幣或區塊鏈的重大意義有兩個:一是通過非對稱密碼實現個人信息安全。人們只知道“非對稱”的技術含義,忽視了非對稱的社會含義:個人用極低成本就能夠通過私鑰,掌控信息安全,攻擊者傾全國之力都難以攻破。二是通過分布式共識使個人基本權益擺脫中心的控制。這就是所謂“去中心化”的意義。但更多人強調技術上的分布式節點,同樣忽視了用戶可理解、可驗證的去中心化。如果用戶不懂得非對稱密碼和分布式共識的意義,不會自己掌控私鑰和驗證信息,再高超的技術都不能實現個人的信息安全,都不能避免信息壟斷。遺憾的是,現在的主流密碼貨幣和區塊鏈的各種應用,為了順應用戶的互聯網應用模式,也就是為了習慣和便利,把非對稱密碼和分布式共識封裝到軟件里。在這些應用中,用戶還是按照常規的中心化賬號、對稱密碼、短信驗證、郵箱驗證,甚至托管的方式運行所謂的去中心化應用。完全消解了非對稱密碼和分布式共識的重大價值。這也是眾多區塊鏈項目成為圈錢、割韭菜、套補貼的騙局的重要原因。要實現密碼貨幣和區塊鏈的真正價值,第一,要讓用戶學會自己掌握私鑰,用私鑰簽名授權。封裝私鑰是錯誤的,用同樣記不住的助記詞代替私鑰是多余的。第二,要讓用戶自己能夠驗證簽名內容,驗證分布式系統中的記錄。做到這兩點并不困難。自由現金在一開始就明白用戶掌握私鑰和驗證信息的重要性,所涉及的第一個基礎錢包就是離線保存私鑰和離線簽名的冷錢包——密簽。同樣作為冷錢包,密簽完全免費,只需要一個舊的安卓手機即可安裝使用。并且,完全不受“費用超付攻擊”的影響。密簽沒有采用助記詞模式,而是直接保管私鑰。通過在線端sign.cash網站獲取utxo和解碼廣播交易。整個過程用戶可以驗證每一步,從而避免“費用超付攻擊”:1)用戶自己選擇utxo。主流冷錢包是軟件處理utxo的選擇和簽名,用戶只輸入金額,并不知道utxo的選擇,因此,攻擊才能夠偽造utxo。密簽用戶是自己在sign.cash中查詢utxo,自己選擇要花費的utxo。2)用戶簽名時再次驗證utxo。用戶通過二維碼將utxo導入密簽后,將要花費的utxo展示給用戶,用戶確認后再簽名。這是自由現金的核心安全法則:用戶必須知道自己簽名的是什么。而常規冷錢包則封裝了utxo,只告知用戶總額,給攻擊者留下漏洞。3)關鍵環節可多方驗證。自由現金交易需要的utxo可以從各種瀏覽器或節點工具中獲得。密簽簽名的交易信息也可以在任何提供相關功能的工具中解碼和廣播。除了sign.cash,自由現金的多個瀏覽器能夠查詢utxo、解碼、廣播。用戶在廣播前能清楚地看到將要廣播的內容,并在多個平臺驗證。消除了攻擊者挾持專用的冷錢包在線端,偽造交易的問題。4)非專業用戶也可驗證。目前,冷錢包主要采用程序開源來解決專用軟硬件的中心化安全風險。但是,真正有能力編譯執行代碼、驗證代碼細節的人很少,更不用說拆解或重建硬件檢驗了。對絕大多數用戶而言,冷錢包的安全性是不可檢驗的。密簽初始學習成本略高,但普通用戶一兩天時間可以學會。自由現金社區已經廣泛使用密簽進行離線簽名交易,并從事更多身份確認和簽名授權活動。“費用超付攻擊”的實際攻擊價值不大,一方面,這個漏洞只對冷錢包有用,另一方面,偽造的交易并不能轉幣給攻擊者,而只是多付礦工費,所以攻擊動機不強。但是,比較一般冷錢包和密簽的安全機制,卻能夠從“費用超付攻擊”中看到主流密碼貨幣和區塊鏈的方向性問題。在自由現金解決方向性問題的實踐中,我總結出5個建議:1)密碼共識才是革新源泉非對稱密碼讓個人以極低成本獲得可以對抗巨大力量的信息安全。分布式共識讓個人權益擺脫中心控制。所以,密碼共識才是密碼經濟的動力源泉,別再折騰區塊鏈了!2)用戶必須自己掌控私鑰私鑰是私人掌握信息和權益的基礎,必須自己掌握。自己做好備份。絕不能托管,也不需要轉化成助記詞。3)可操作的驗證才夠安全用戶不是專家,信息社會需要用戶自己可驗證、可操作的安全。這樣才能實現基礎設施和基本權益的去中心化。4)技術不能解決所有問題技術只是工具,對只知囤幣的用戶,再多開發者都解決不了他們的所有安全問題。用戶自己具備安全的認知和技能才是關鍵。5)重大變革需要基礎教育技術和應用已經有了,急需人的理解和使用。從小學到大學,16年學校教育,拿一周出來傳授密碼共識思想和技能,將會讓中國成為全球密碼經濟的領頭羊。

劉昌用:“圈內人士”認為BTC是搏傻游戲說明牛市才剛開始:知密大學創始人劉昌用今日在微博表示,“圈內人士”認為比特幣是搏傻游戲,說明牛市才剛開始。等他們為比特幣喊單的時候,牛市就該結束了。[2020/12/22 16:04:16]

劉昌用:看好加密貨幣下半年行情:北京大學經濟學博士、知密大學創始人劉昌用發微博表示,加密貨幣的價值支撐包括兩部分,一是跟主流資產一樣的普通的投資組合需求,一種是革新主流經濟的創新投資需求。前者跟主流資產同步漲跌,后者跟主流資產反向漲跌。2017年牛市導致前一種需求比重成主體,最近跟隨主流經濟暴跌,消化了前一種需求,革新需求比例增長。主流危機剛剛開始,看好加密貨幣下半年行情。[2020/3/19]

聲音 | 劉昌用:區塊鏈的本質是\"密碼共識\":2019年12月29日下午,在\"2020數字資產投資新趨勢暨區塊鏈產業應用研討會\"上,知密大學發起人劉昌用進行了《融入密碼經濟的大潮》為主題的演講。

劉昌用表示區塊鏈的本質是“密碼共識”,密碼共識=非對稱密碼技術+分布式共識,非對稱密碼在于數字確權,夠保證最基本的權利;分布式共識在于去中心化,能夠保證任何組織都無法作弊。

劉昌用認為密碼共識能夠建立信息社會的新秩序,并表示未來密碼經濟具有密碼應用,密碼共識,密碼聯盟這三大層次。[2019/12/31]

聲音 | 劉昌用:在BCH分叉案例中,重組保護真真切切地阻止了CSW和Calvin的51%攻擊威脅:1月9日消息,北京大學經濟學博士、區塊鏈社區意見領袖劉昌用表示,在BCH分叉這個案例中,正是重組保護真真切切地阻止了CSW和Calvin的51%攻擊威脅,這是歷史上最嚴重的一次公開的、持久的51%攻擊威脅。攻擊者宣稱絕不分叉,寧可BCH兩年不能用,也要持續算力攻擊消滅ABC一方。但ABC加入重組保護后,Calvin和CSW立刻宣布放棄對BCH的爭奪,分叉出了BSV。一個真刀實槍的戰爭結果,勝過一百個紙上談兵的花樣邏輯。重組保護在極端的情況下可能會產生意外分叉,或者有新的攻擊方法。但沒有一勞永逸的方案,只能是不斷發現問題、解決問題。[2019/1/9]

Tags:區塊鏈自由現金BCHSIGN區塊鏈幣圈大佬排行榜BCHCSIGN價格

中幣
一文告訴你什么是傳輸證明_比特幣:比特幣最新價格行情美元交易

編者按:本文來自區塊鏈大本營,作者:MitchellCuevas,譯者:火火醬,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
解讀海南頂層方案:區塊鏈成招牌提6次,但對“數字貨幣”很小心_區塊鏈:加密貨幣情感詐騙

6月1日《海南自由貿易港建設總體方案》出爐。這份方案規格極高,大老板親自指示,幾乎是這幾年最重要的地方性文件,甚至有超過雄安之勢.

1900/1/1 0:00:00
剛“砸錢”打造幣圈女團,幣安現在又想來玩大魚吞小魚?_VIN:加密貨幣

當現貨市場的盈利故事不再具有吸引力后,幣圈存量用戶開始走向合約“賭場”。合約市場的增長有多快?或許看看幣安這個合約賽道后發選手的數據,就能清晰地感知:2019年11月初,幣安的合約交易日持倉量不.

1900/1/1 0:00:00
三分鐘帶你讀懂公有鏈、聯盟鏈和私有鏈_數字貨幣:加密貨幣存在的意義

經常有粉絲問鑒叔這個鏈怎么樣,那個鏈靠譜嗎公有鏈、聯盟鏈和私有鏈作為三大鏈究竟有啥區別?三者有好壞優劣之分嗎?又到了一周一次的鑒叔補課時間快上車!調查:三分之二的挪威加密貨幣投資者擁有BTC:4.

1900/1/1 0:00:00
黃凌波:區塊鏈與大數據結合下的投資機會有哪些?_FILE:Eagle King Coin

編者按:本文來自萬向區塊鏈,Odaily星球日報經授權轉載。感謝萬向區塊鏈的邀請,今天我分享的主題是《區塊鏈與大數據結合下的投資機會》.

1900/1/1 0:00:00
Compound超越Maker成為DeFi市值最高的項目:DeFi大戲開啟_COMP:COMPLUS NETWORK

編者按:本文來自藍狐筆記,Odaily星球日報經授權轉載。截止到藍狐筆記寫稿時為止,COMP在Uniswap的交易價格是0.434244ETH.

1900/1/1 0:00:00
ads