最近一段時間，“比特幣”投資頻繁的出現(xiàn)個各個媒體平臺，跌漲猶如過山車一般，我們在分析了原理、理清了資源后，仔細分析實際使用的比特幣就會發(fā)現(xiàn)，其通信和數(shù)據(jù)管理的細微之處存在巨大的安全隱患。

一

比特幣背后的區(qū)塊鏈技術(shù)使用加密科技，防止系統(tǒng)被篡改。不過，比特幣作為一種加密貨幣，單單具備防篡改性明顯是不夠的。如何抵御攻擊，避免雙重支付，防止交易記錄自相矛盾而導(dǎo)致服務(wù)失常，則需要從多種角度進行安全論證。

相較而言，比特幣使用區(qū)塊鏈技術(shù)的時間最為久遠。從2009年至今，除了程序漏洞以外，比特幣還沒有發(fā)生過系統(tǒng)停止或數(shù)據(jù)回滾(rollback)的情況。但是一些論文指出，由于比特幣的協(xié)議設(shè)計和運行問題，很有可能出現(xiàn)不當支付、數(shù)據(jù)篡改、系統(tǒng)停止等問題。

比特幣究竟具有怎樣的脆弱性，有沒有方案可以修正，區(qū)塊鏈的安全性又如何評價呢?下面我們就一起了解一下和區(qū)塊鏈安全性相關(guān)的4項理論成果。

微小算力攻擊龐大區(qū)塊鏈——“Selfishmining(自私挖礦)”

比特幣采用了共識算法——“工作證明”，一般來說，只要惡性節(jié)點的算力達不到全體的50%，就無法控制區(qū)塊鏈。令人意外的是，即使算力低于50%，惡性節(jié)點也可以“蚍蜉撼樹”，控制區(qū)塊鏈的生成，這種方式就是“Selfish mining(自私挖礦)”。

按照正常方式挖礦，比特幣的產(chǎn)生頻率與節(jié)點的計算力量存在比例關(guān)系。然而利用Selfish mining策略，最終結(jié)果將遠超擁有的計算資源。理論上來說，只要擁有整體41%的算力，控制區(qū)塊鏈產(chǎn)生的概率就高達50%以上。

Selfishmining的節(jié)點發(fā)現(xiàn)新的區(qū)塊后，并不馬上公開廣播，而是隱藏區(qū)塊的存在。這樣在其他節(jié)點還在尋找原來區(qū)塊的時候，他們已經(jīng)可以挖掘下一塊了。如果運氣好發(fā)現(xiàn)新區(qū)塊，這時再廣播前一個區(qū)塊的存在。

在其他人努力挖礦時，Selfishmining節(jié)點則不斷找尋新區(qū)塊，這樣，他們擁有的鏈條也越來越長(圖8-1)。

圖8-1Selfish mining

攻擊者采取這一戰(zhàn)略并且擁有整體33%以上的計算力量，實質(zhì)生成的區(qū)塊就遠超這一數(shù)字，也就是說，持有41%資源的節(jié)點能以50%以上的概率生成區(qū)塊。

目前，我們還沒有應(yīng)對Selfishmining的良策。我們一定要認識到，控制區(qū)塊鏈完全不需要擁有過半的算力，更低的數(shù)值完全可行。

“Fast payment(快速支付)”的比特幣雙重支付問題和對策

比特幣的交易信息(transaction)被記錄在區(qū)塊中，比特幣的支付需要獲得比特幣網(wǎng)絡(luò)(區(qū)塊鏈)的批準。根據(jù)系統(tǒng)要求，從發(fā)送交易記錄到獲得許可平均需要10分鐘。

此外，系統(tǒng)為了確認區(qū)塊的正當性，批準交易后，交易者還需要至少等待5個區(qū)塊連接。正常情況下，從交易完成到確認完畢要花費大約1小時。

正常消費時，別說1小時，顧客可能連10分鐘也不愿意等待，所以在一般交易時系統(tǒng)多采用“Fast payment(快速支付)”的方式。店方確認交易信息，驗證數(shù)字簽名后，并不會確認有無雙重支付，直接默認支付已經(jīng)完成。

針對Fast payment的缺陷，我們一起來了解一下具體攻擊方式。

支付方在Fastpayment的店鋪使用比特幣(UTXO)付款(匯款)，同時向另一賬戶(同伴的賬戶或自己的其他賬戶)匯款同等金額，這樣店方確認的交易信息就失效了。既獲得了物品或服務(wù)，又沒有消耗比特幣，這就是“雙重支付攻擊”的一種表現(xiàn)。因為該種攻擊正好利用了比特幣的交易傳輸協(xié)議漏洞，因此其成功率非常高。

攻擊成立需要兩個前提。一是攻擊者(支付方)可以直接向商店發(fā)送交易，二是由“輔助節(jié)點(helper node)”輔助攻擊。

假設(shè)攻擊者的交易信息為“Tv”，同時向輔助節(jié)點發(fā)送“Ta”交易請求。輔助節(jié)點排除店鋪周圍節(jié)點群的范疇，直接向其他節(jié)點發(fā)送信息，“Ta”后來居上，更早擴散。收到“Ta”信息的節(jié)點接收交易“Tv”后，將其視為不當交易而取消，自然“Tv”也就不會被廣播。

相比交易“Tv”，后發(fā)起的“Ta”存儲在區(qū)塊中的概率更高，“Tv”交易無效(圖8-2)。

圖8-2　輔助節(jié)點的雙重支付供給

這種攻擊的可怕之處在于，其不僅使店家蒙受損失，對于其他節(jié)點來說，他們根本無法發(fā)現(xiàn)不當行為。

現(xiàn)行的比特幣體系中，同時接收“Ta”“Tv”的節(jié)點數(shù)量十分有限。先接收“Ta”，則“Tv”失效;先接收“Tv”，則“Ta”失效，不會擴散到其他節(jié)點，所以大部分節(jié)點無法獲得雙重支付的證據(jù)。

不當交易是證明賬戶非法的有力證據(jù)，希望可以廣為告知，將其用于評價管理之中。“Bitcoin - XT(比特幣核心開發(fā)者加文·安德烈森開發(fā)，用于提高區(qū)塊擴展性)”就公開雙重支付的信息，修正評價管理方法，對賬戶所有者進行評論。

如果所有信息都以接力的方式上傳，網(wǎng)絡(luò)承擔大量信息，這就是“DoS(拒絕服務(wù))”攻擊，可能導(dǎo)致系統(tǒng)癱瘓。Bitcoin-XT限定單個UTXO只能交易兩次，就是為了規(guī)避這種風險。

因為礦工意見不同，Bitcoin-XT還無法擴大區(qū)塊，也沒有被納入比特幣體系之中。因此，F(xiàn)astpayment店鋪結(jié)算時，店方不得不承擔這種雙重支付風險。

二.比特幣的DoS攻擊和對策

有報告稱，惡意使用了比特幣的交易和區(qū)塊協(xié)議，可以在特定節(jié)點延遲信息的傳播，繼而拖慢系統(tǒng)的信息傳遞，甚至可能導(dǎo)致系統(tǒng)停止，或者出現(xiàn)雙重支付等不當行為。

比特幣傳遞交易和區(qū)塊信息時，首先傳遞的并不是數(shù)據(jù)信息，而是名為“清單信息(Inventory Message)”的哈希值。節(jié)點收到信息，如果哈希值未知，則會向原節(jié)點請求數(shù)據(jù)信息，繼而完成信息傳播(圖8-3)。如果有人惡意使用清單消息，很可能造成信息傳播的延遲。

攻擊方法存在于區(qū)塊和交易傳輸協(xié)議之間(圖8-4)。

圖8-3　節(jié)點間的信息傳遞

圖8-4　信息傳遞延遲的原理

攻擊節(jié)點向目標節(jié)點發(fā)送消息，對于節(jié)點區(qū)塊頭、區(qū)塊數(shù)據(jù)的要求，攻擊節(jié)點只回復(fù)“ping”，在超時之前的20分鐘內(nèi)，攻擊節(jié)點盡情占有目標節(jié)點的功能，延遲區(qū)塊的傳播。比特幣連接的上限是126，而通常只使用20個左右，攻擊節(jié)點依此占據(jù)目標節(jié)點的空閑資源，甚至連續(xù)搶奪資源。

攻擊節(jié)點利用交易節(jié)點的傳輸漏洞，發(fā)送清單消息后，同樣只回復(fù)“ping”，直到超時(兩分鐘)為止，從而大大延遲交易信息的傳輸。而且清單消息由隊列管理，只要占領(lǐng)隊列，超時之后，攻擊者還可以控制信息傳送，甚至可以拒絕傳遞任意時間點的交易信息。

如果與其他攻擊并用，該種攻擊的效果將成倍增強，這也是延遲傳遞的可怕之處。

如果與自私挖礦并用，攻擊者就可以用極少的算力控制整個區(qū)塊鏈。有觀點認為，只要擁有不少于34%的資源，就可以控制50%以上的區(qū)塊，進而支配區(qū)塊鏈。

另外，這種傳遞可以無限期滯后，攻擊者還可能發(fā)起雙重支付攻擊。如果攻擊者攻擊所有節(jié)點，比特幣的服務(wù)將陷入全面癱瘓。而攻擊所需的計算機能力并不嚴苛，只要每20分鐘能發(fā)送600千字節(jié)即可。

[[386027]]

針對以上問題，比特幣開發(fā)者也在考慮對策，以應(yīng)對攻擊，比如放棄清單信息，改向區(qū)塊頭發(fā)送信息，改變既有協(xié)議;用IP地址過濾信息發(fā)送者;通過隨機選擇的方法管理發(fā)送方……前項對策(BIP 130)已經(jīng)寫入Bitcoin 0.12.0版本。

區(qū)塊鏈安全性評價成果備受期待

對很多加密協(xié)議來說，雖然協(xié)議安全理論上有保證，但受安裝和運行環(huán)境的影響，還是有可能陷入危險。相比之下，比特幣屬于前一階段，其滿足何種條件才算是安全的，具體的標準還在研究當中。下面我們就從工作量證明(Proof of work：POW)的區(qū)塊鏈入手，介紹解析協(xié)議的研究成果。

嚴格來講，論文中提及的哈希鏈與比特幣哈希鏈的構(gòu)成方法并不相同，評價區(qū)塊鏈時，可以從“Common Prefix(共有前綴) property”和“Chain Quality(鏈質(zhì)量) property”兩方面入手，分析“POW的成功概率”，意義深遠。

POW 型的區(qū)塊鏈中，假設(shè)遵守協(xié)議的誠實(honest) 礦工成功概率為α，不遵守協(xié)議的礦工成功概率為β，人們已經(jīng)清楚α和β的數(shù)值各為多少。論文認為，人們可以具體評估在滿足某種條件后區(qū)塊鏈不進行分叉的概率(Common Prefix property)和誠實礦工所生成區(qū)塊進入?yún)^(qū)塊鏈的概率(Chain Quality property)。也就是說，不遵守協(xié)議者成功生成區(qū)塊這類情況對區(qū)塊鏈所產(chǎn)生的影響程度可以量化。

有趣的是，自私挖礦的情況下，不遵守協(xié)議礦工的成功概率β可能高于1/3，而ChainQuality property也處于較低水平。這個結(jié)果看起來理所當然，其實這是數(shù)理模型證明的巨大突破。

我們在分析了原理、理清了資源后，仔細分析實際使用的比特幣就會發(fā)現(xiàn)，其通信和數(shù)據(jù)管理的細微之處存在巨大的安全隱患。筆者希望今后有更多的研究著眼于區(qū)塊鏈的脆弱性和安全性，構(gòu)筑更為嚴密的協(xié)議體系。