DAO攻击
DAO攻击应该说是链圈里大名鼎鼎,毕竟DAO攻击当时可是差点毁了以太坊,这个攻击并不是某一个经典的名词性攻击而是以事件来命名的。2016年6月17日,一群黑客攻击了The DAO网络,盗取了约364万ETH。当天,以太坊价格暴跌50%损失惨重。以太坊团队为挽救损失在7月20日进行了硬分叉,所以现在以太坊有两个链ETC(以太经典)和ETH(以太坊)。
DAO攻击黑客同时利用了2个攻击漏洞,一个是递归调用splitDAO函数;一个是DAO资产分离后要从THEDAO资产池中销毁资产。一般DAO资产被分离后,TheDAO资产池会销毁这部分DAO资产,但是攻击者在递归调用结束前把自己的DAO资产转移到了其它账户,这样就避免这部分DAO资产被销毁。
双花攻击
双花攻击简单来说就是一笔钱花两次,因为区块链的共识是链长者为主链,链短者数据自动作废。假如小红给你转了200FIL,你将等价人民币转入小红的银行卡,这200FIL的交易生成上链。但是小红拥有全网51%的算力,他在交易到账后新开一条主链,使含有你交易的区块作废,这样小红没有损失任何币却得到了一笔钱,这笔钱还可以再花一次,所以这种攻击方式被称为双花攻击。
区块链中最著名的双花攻击是2018年一名恶意矿工临时控制了比特币黄金(BTG),在向交易所充币后迅速提币,窃取388200个BTG,价值高达1860万美元。3月18日晚,也有媒体称Filecoin遭遇了双花攻击,最后被证实为虚惊一场。
女巫攻击
女巫攻击一般是指一个网络节点通过伪装来不停地变换身份,让同网络中的其它节点误认为它是不同的节点,当伪装节点达到一定数量的时候,我们就认为发起了一次成功的女巫攻击。就像《陆小凤传奇》里面的司空摘星通过易容的手段,变化成不同身份来达到自己“探囊取物”的目的。在P2P网络中,刷票、刷排名、刷阅读量等行为均可以视为女巫攻击。
很多项目在最初的时候,就会对女巫攻击有所防范,作恶者要控制其网络的共识机制,要付出高额成本,所以区块链一些经典项目如btc、ETH、FIL上无需担心女巫攻击,但新项目网络算力不足、节点不足,对其进行女巫攻击的成功概率就会大很多。
粉尘攻击
粉尘攻击简单来说就是通过数据追踪用户生活轨迹,获得用户真实信息和关系网络;或在链上不停发送小额交易造成消息池堵塞。用户一般很难注意到钱包地址中0.000001以下代币金额的变化,部分恶意矿工就会通过向钱包发送少量代币的方式对用户进行攻击,因为金额很少所以这种少量金额就被称为“粉尘”。
2018年10月下旬,比特币Samourai钱包的开发者就曾经宣布他们的一些用户遭受了粉尘袭击。随后Samourai Wallet团队实施了粉尘跟踪的实时警报以及允许用户标记可疑资金的“不用花费”功能。
钓鱼攻击
钓鱼攻击顾名思义就是放饵给鱼咬,然后吃干抹净只剩骨头。不仅我们平时日常生活中存在这种诈骗,链圈也是同样的,一般都会将自己伪装成官方人员通过电话、邮件、社交媒体等渠道提供受害人确切信息来获取受害人的信任得到用户私钥将金钱转移。
2018 年 2 月 19 日,乌克兰的一个黑客组织,通过购买谷歌搜索引擎中与加密货币相关的关键词广告,伪装成合法网站从知名加密货币钱包 Blockchain.info 中窃取了价值超过 5000 万美元的数字加密货币。
区块链中的攻击有些是针对项目方、矿工,有些则是会针对交易所和个人用户。针对项目方和矿工的攻击一般会在技术上进行提前预判来避免,是小概率发生事件;针对交易所发起的攻击,一般成熟的交易所在安全上会有专门的团队来进行保障,降低其发生概率;针对个人用户的攻击,则希望用户可以保持警惕,每条与之相关信息都要谨慎对待,不要轻易信任他人或者网站给出自己的凭据或私钥。没有一项技术是绝对的安全,恶意攻击也不仅存在于区块链这个行业,用一种理想的眼光去看待攻击,它既是摧毁也是基石。