區(qū)塊鏈?zhǔn)且坏来蜷_新世界的大門，它仿佛讓我們看到了一個(gè)透明、公平的世界，但是殊不知這道門也面臨著各種攻擊，有些什么樣的攻擊呢?今天大白就來和大家聊聊區(qū)塊鏈中的攻擊。

01 交易延展性攻擊

交易延展性攻擊，也叫交易可塑性攻擊。在現(xiàn)實(shí)生活中，我們把一塊金子敲變形之后，雖然形狀有所改變，但質(zhì)量卻沒有發(fā)生變化，也就是說金子外觀發(fā)生了變化但是仍然被認(rèn)可，這種特性呢被稱為“可鍛性”。

在比特幣系統(tǒng)中，也有一個(gè)類似的名詞，“ Transaction Malleability ”。這個(gè)詞通常翻譯為“交易延展性”，也叫做“交易可鍛性”，而利用交易延展性而造成的攻擊就叫交易延展性攻擊。

具體指的是比特幣交易 A 發(fā)出之后，在還沒有被確認(rèn)之前，攻擊者通過修改某些交易數(shù)據(jù)，使得一筆交易的唯一標(biāo)識(shí)——交易哈希發(fā)生了改變，就形成了新的交易 B ，假如交易 B 先被記錄到比特幣賬本中，那么交易 A 會(huì)因?yàn)殡p重支付問題，被驗(yàn)證為不合法，從而拒絕。

一個(gè)現(xiàn)實(shí)的例子就是：小黑從交易所發(fā)起提幣，然后他提幣這個(gè)交易就被廣播出去了，在他這筆交易還沒有被節(jié)點(diǎn)驗(yàn)證之前，小黑進(jìn)行了延展性攻擊，恰好攻擊產(chǎn)生的新交易先被確認(rèn)，而新交易照樣會(huì)讓他獲得幣(就像金子外觀變了一樣被認(rèn)可)，但是貪心的小黑卻向交易所申訴自己并沒有收到幣，交易所一看之前給小黑轉(zhuǎn)幣的那筆交易確實(shí)被拒絕了，因此又給小黑匯了一筆幣，小黑心里就美滋滋了，貪心的小黑還不滿足，他又以同樣的攻擊方式繼續(xù)多次攻擊，這樣就導(dǎo)致了交易所的資金大量流失。

所以當(dāng)遇到交易無法確認(rèn)時(shí)，需要立即停止，應(yīng)當(dāng)根據(jù)區(qū)塊鏈上的交易報(bào)錯(cuò)信息以及查看是否在短時(shí)間內(nèi)已經(jīng)發(fā)起了這樣的交易，再進(jìn)行手動(dòng)處理。

02 粉塵攻擊

“粉塵”的意思是少量的幣(比如 1 聰就是“粉塵”，它只有 0.00000001 比特幣)。通常情況下，很少人的交易金額會(huì)那么少，因?yàn)榻灰资掷m(xù)費(fèi)就已經(jīng)超過交易金額。

正是由于“粉塵”很小所以容易被用戶忽視，這一現(xiàn)象被小黑(詐騙者)注意到了，因此小黑就像向用戶的錢包地址轉(zhuǎn)入“粉塵”，而收到這些“粉塵”的用戶大白并沒有引起注意，這些粉塵是大白收到的，但是還沒有花費(fèi)出去的，所以這些“粉塵”就和大白原來錢包地址里那些收到但還沒有花費(fèi)的幣( UTXO )混在了一起。

粉塵(藍(lán)色)和原來收到的但未花費(fèi)的貨幣混在了一起不過現(xiàn)在的問題不大，只是混在了一起而已，真正的問題是大白使用這筆未花費(fèi)的費(fèi)用，當(dāng)傻乎乎的大白把這筆錢用來向別的地址轉(zhuǎn)賬或其他交易的時(shí)候，就可能會(huì)用到這些“粉塵”，這個(gè)時(shí)候“粉塵”就悄悄地隨著大白的交易跑到了別的用戶地址里，一直跟蹤。

這些“粉塵”就像熒光劑一樣，把用戶大白的行為一五一十的描述了出來，進(jìn)而被小黑跟蹤到，小黑就利用這些線索來猜測(cè)大白的身份，進(jìn)而對(duì)大白進(jìn)行威脅和勒索。這就是粉塵攻擊。

要怎么避免這種攻擊呢?上面已經(jīng)提到真正出現(xiàn)問題的地方在于大白用了混有“粉塵”的未花費(fèi)的貨幣，如果大白不花費(fèi)這筆費(fèi)用，“粉塵”就不會(huì)跑，小黑也就無法追蹤了，然而我們不能要求大白因?yàn)檫@些“粉塵”就永遠(yuǎn)不花費(fèi)那一池子的其他未花費(fèi)的貨幣，因此一些錢包(比如：Electron Cash )可以把這些粉塵單獨(dú)標(biāo)記起來，提醒大白用戶們不要去使用這些粉塵，相當(dāng)于把粉塵和池子里其他的未花費(fèi)貨幣隔離開，這樣大白們就可以安安心心地使用之前那些未花費(fèi)的貨幣啦。從而有效的避免了粉塵攻擊。

03 女巫攻擊

女巫攻擊又叫 Sybil 攻擊，名字來源于電影《女巫》( Sybli )，講的是一個(gè)有 16 種人格的女人心理治療的故事。而在區(qū)塊鏈中的女巫攻擊呢，指的是一個(gè)惡意的節(jié)點(diǎn)非法地對(duì)外呈現(xiàn)多個(gè)身份。

這就有點(diǎn)像小時(shí)候我們玩的“手拉手”游戲，當(dāng)新的小朋友加入我們這個(gè)游戲圈的時(shí)候，他會(huì)去牽旁邊人的手，進(jìn)而對(duì)旁邊的人有了進(jìn)一步的認(rèn)識(shí)。在區(qū)塊鏈中也是這樣，任何網(wǎng)絡(luò)節(jié)點(diǎn)是可以發(fā)送加入的請(qǐng)求消息的，收到請(qǐng)求消息的其他節(jié)點(diǎn)會(huì)立即做出響應(yīng)，回復(fù)其鄰居節(jié)點(diǎn)信息。

可是有些小朋友為了認(rèn)識(shí)更多的小伙伴，就每次換一個(gè)面具，這樣就可以到不同的位置去牽別的小朋友。惡意節(jié)點(diǎn)就像這個(gè)惡搞的小朋友，它對(duì)外偽裝成多個(gè)身份，這樣就可以獲取大量的區(qū)塊鏈網(wǎng)絡(luò)節(jié)點(diǎn)信息，以便進(jìn)一步的攻擊和破壞。

解決女巫攻擊的一種方法是工作量證明機(jī)制，即用計(jì)算能力去證明你是一個(gè)節(jié)點(diǎn)，這樣極大地增加了攻擊的成本。

另一個(gè)方法是身份認(rèn)證，可以是基于第三方可靠節(jié)點(diǎn)的認(rèn)證。就像在所有參加游戲的小伙伴中選出眼睛最亮的那個(gè)，這樣來避免大家被搞怪小朋友的面具蒙騙。身份認(rèn)證也可以是全節(jié)點(diǎn)制的認(rèn)證。這就相當(dāng)于每個(gè)小朋友都要對(duì)惡搞小朋友進(jìn)行身份審核，這樣就大大降低了惡搞小朋友成功偽裝多個(gè)身份的幾率。

04 小結(jié)

了解各種類型的攻擊可以使我們更好地防御它們，從而保障自己的財(cái)產(chǎn)安全。今天就先聊到這兒，后期還會(huì)有日蝕攻擊和 DDoS (分布式拒絕服務(wù)攻擊)等類型的科普介紹，歡迎大家關(guān)注。