(圖片來自ConstantinPopp,Unsplash)
什么是日蝕攻擊?
日蝕攻擊是針對對等式網絡的一種攻擊類型:攻擊者通過使節點從整個網絡上消失,從而完全控制特定節點對信息的訪問。
在流行的對等式網絡中,攻擊者可通過確保受害者節點不再從網絡的其余部分接收正確的信息,而只接收由攻擊者操縱的信息來執行日蝕攻擊。
換言之,當網絡上的大多數對等節點都是惡意的時候,并且正在控制特定節點的連接時,就會發生這類攻擊。控制此類連接的攻擊者,可確保此特定節點被惡意節點包圍。
此外,在日蝕攻擊中,攻擊者不像在女巫攻擊中那樣攻擊整個網絡,而是專注于隔離和瞄準某個特定節點。這種攻擊通常會導致受害者節點接收到被操縱的、偽造的區塊鏈視圖。
“傷心蛙”原創者Matt Furie已出售所持PEPE,獲利約56.4萬美元:9月8日消息,鏈上數據顯示,“傷心蛙”(Pepe the Frog)原始形象的創作者Matt Furie于12小時前出售其所持有的726,351,477,419枚PEPE,換取342.535枚ETH(約合56.4萬美元)。
據悉,Matt Furie所持有的PEPE主要來自于NFT市場Not Larva Labs創始人PAULY的捐贈。
此前消息,PAULY表示,PEPE創始人的真實身份為現居亞利桑那州的Zachary Testa。Zachary常用z(@degenharambe)和Lord Kek(@LordKekLol)這兩個賬號在社交媒體上活動。Zachary Testa生于1997年,2018年畢業于亞利桑那州立大學,現為一名職業攝影師。[2023/9/8 13:27:20]
“惡意節點使用其假冒區塊鏈阻止受害者節點對真實區塊鏈的查看。因此,作為區塊鏈安全的主要威脅之一,它的名字被稱為日蝕攻擊。”根據Heilman等人在2015年發布的論文,日蝕攻擊的一個關鍵含義,在于這種攻擊可能是其他類型攻擊的有用構建基礎。例如,一旦攻擊得到落實,攻擊者可以做的一件壞事就是,通過遠低于全網51%的算力發動51%攻擊。
0xScope:Multichain漏洞影響了Fantom、Dogechain、Moonriver和Conflux:金色財經報道,7月7日,Multichain在發現大規模漏洞后停止運營。鎖定在其MPC智能合約上的資產已被異常轉移。
根據Web3知識圖協議0xScope,該漏洞影響了Fantom、Dogechain、Moonriver和Conflux。
Multichain團隊表示不確定事件的細節,目前正在調查該事件。PechShield估計該漏洞中被盜資產的價值約為1.26億美元。截至撰寫本文時,多鏈運營已關閉30多個小時,目前尚未確定恢復時間。[2023/7/9 22:26:42]
這可能導致受害者所看到的網絡交易歷史的改變,從而可能導致受害者遭到經濟損失。
德國初創公司Blocktorch完成420萬美元種子輪融資:5月9日消息,旨在幫助 web3 工程團隊擴展他們的去中心化應用程序 (dApp)的德國初創公司Blocktorch完成420萬美元種子輪融資,早期風險投資公司 Ideo CoLab Ventures 領投。這些資金將用于發展 Blocktorch 的工程和商業團隊,并根據 Beta 測試的洞察力和用戶反饋,推出該產品的正式版本 。[2023/5/9 14:52:46]
對以太坊進行成功的日蝕攻擊需要什么條件?
值得注意的是,惡意方成功執行日蝕攻擊所需的條件并不是很多。Heilman等人在2018年發表的論文顯示,在以太坊網絡上執行日蝕攻擊只需要用到幾臺機器。
研究人員指出,為了完成對以太坊的的日蝕攻擊,惡意方只需要控制兩臺機器,每臺機器只有一個IP地址,以壟斷與受害者節點之間的連接,并最終將受害者節點與網絡中的其他對等節點隔離開來。
幣安全資收購日本合規交易所Sakura Exchange BitCoin,進入日本市場:11月30日消息,幣安宣布收購日本加密資產交易平臺服務提供商Sakura Exchange BitCoin(SEBC)100%股權,正式進入日本市場,并接受日本金融廳(JFSA)監管。收購后幣安將通過SEBC在日本提供合規服務,以推動在全球范圍內建立起負責任的加密資產發展環境。
幣安日本總經理Takeshi Chino表示,在未來的加密資產普及進程中,日本市場將起到關鍵作用。我們將積極與監管機構合作,以合規的方式為本地用戶打造一個全新的交易平臺。幣安渴望助力日本成為加密資產行業的領導者。[2022/11/30 21:12:20]
然而,在大多數情況下,日蝕攻擊仍然很難啟動,因為攻擊者必須選擇一個目標節點或一組節點,建立主機節點的僵尸網絡,斷開目標與其連接的每個節點的連接,并對目標的相鄰節點進行不斷試驗,使它們與攻擊者的節點相連。然后,攻擊者必須等待下一次受害者節點注銷并重新加入網絡。
在重置過程中,攻擊者會強制連接重定向到一組新節點,從而完全控制受害者的所有連接。這不是一項簡單的任務,但它是可行的。到目前為止,我們還沒有看到任何日蝕攻擊的例子;然而,最近的研究結果表明,這是不應該被忽視的。
針對物聯網設備的日蝕攻擊
在物聯網環境中進行的日蝕攻擊會怎么樣呢?物聯網設備帶來的風險會顯著增加。在數據中心挖掘節點的常見場景中,攻擊者需要幾臺機器才能成功執行日蝕攻擊。在數據中心場景中,日蝕攻擊是很難完成的,因為它通常會涉及攻擊多個獨立的上行鏈路。
另一方面,在物聯網環境場景中,攻擊者會更容易地執行日蝕攻擊。物聯網設備是攻擊者容易攻擊的目標,這主要是因為對物聯網設備的日蝕攻擊,只涉及攻擊一個單一故障點,例如,攻擊一個網狀的3G上行鏈路。
如果攻擊者想對物聯網設備發起日蝕攻擊,則其可首先通過瞄準物聯網設備的網關來發起中間人攻擊。一旦網關受到攻擊,攻擊者將完全控制受害者物聯網設備的數據,如區塊同步請求,因此可強制受害者連接到惡意節點。
“物聯網設備與網絡的其余部分隔離,因此無法查看真正的區塊鏈網絡。此后,針對物聯網設備的日蝕攻擊就完成了。”那么如何減輕日蝕攻擊呢?
在工作量證明網絡中進行的日蝕攻擊場景中,攻擊者利用此漏洞強制節點接受比主鏈更長、總難度更低的鏈。由于攻擊者公布的總難度高于誠實節點,當受害者節點重新加入網絡時,它將收到一個比有效鏈長但總難度較低的鏈。
因此,發生的情況是受害者節點無法再與有效鏈同步。那么,緩解這個問題的方法是什么呢?
幸運的是,重要的提案正在迅速出現。就在上個月,德國區塊鏈研究員DominicLetz提出了BlockQuick這一解決日蝕攻擊問題的超輕客戶端協議。
正如Letz在《BlockQuick:Super-LightClientProtocolforBlockchainValidationonConstrainedDevices》這篇論文中所寫:“BlockQuick能夠防止日蝕攻擊,因為在驗證區塊時,它不僅僅依賴于在工作量證明網絡上選擇難度最大的最長鏈。”
最長鏈和最高難度的功能在區塊鏈協議中是至關重要的,對流行的輕客戶端也是如此,但如果沒有適當的保護,攻擊者可能會濫用這些功能。為了提供一個安全的輕客戶端協議,在驗證區塊時,安全策略必須采用共識信譽表。
正如他在論文中解釋的那樣:“在每個新的區塊中,設備都會驗證礦工的加密簽名,并將其與共識聲譽表中的已知礦工身份進行比較。只有當一個區塊的共識得分大于50%時,客戶端才會接受。接收總得分較低的鏈會導致中止。”
客戶端將查看設備如何迭代這些區塊,并將運行緩慢的更新機制。其想法是,BlockQuick將運行信譽檢查,以確保客戶端只接受信譽分數大于50%的區塊,而不是遵守最長的鏈規則。
結論
在本文中,我們描述了日蝕攻擊是什么,討論了日蝕攻擊的一些含義,并探討了超輕型客戶端協議如何解決這個問題。隨著區塊鏈技術的不斷發展,了解當前和未來可能的發展對區塊鏈社區而言都是很重要的。
原文作者是臺北科技作者YahsinHuang
Tags:CHA區塊鏈LOCBLOCKVenus Chain區塊鏈技術通俗講解圖BlockAurablockchain官方網站提現
如果你關注時政,那么你一定知道在本月末于日本大阪舉行的G20峰會上,日本財務省大臣將會與二十國集團財政負責人分享日本在加密貨幣方面的積極體驗;如果你關注金融.
1900/1/1 0:00:00在以太坊誕生四年后,人們依然不知道智能合約最好的用例是什么。ICO的出現為融資方式帶來了革命性的改變,引爆了一輪牛市,并在2018年1月達到高峰.
1900/1/1 0:00:00上一篇文章里我們聊了USDT鏈上流通和發行的基礎概念,但僅僅解釋這些概念,并不足以理解USDT對市場的影響.
1900/1/1 0:00:00出品|火星財經APP 值得注意的是,PayU是南非傳媒巨頭Naspers的全資子公司,而Naspers是騰訊最大股東.
1900/1/1 0:00:00BTC氣勢如虹,拉續上拉,突破了10000美元大關,最終沒能突破11000美元的壓力,連續的上拉形成了較多的獲利盤,必然會引起幣價劇烈的波動,但這并不意味著會出現快速下跌.
1900/1/1 0:00:00我前兩天看到一條微博,覺得蠻有意思,原文是這樣的:“打工就是一座監獄,副業就是你手里的錘子,也許你的工作暗無天日,也許你的工作壓抑人性,也許你的工作令人窒息,但是你的手里要藏著一把錘子.
1900/1/1 0:00:00