中飛科技股份有限公司 ::: 專業的團隊,精緻的服務

News & Event

消息與報導
08 2018.05

資安訊息

Sophos News

本週稍早,注重用戶隱私的加密貨幣Verge (XVG)的投資者收到了令人不安的消息。

 

根據一篇論壇貼文,一名惡意挖礦者似乎找到了一種方法來讓 Verage 受制於一個高度偽造的區塊鍊,稱之為 51% 攻擊”。

套句用外行人的話說,有人正在奪取區塊鏈大部分的採礦能力,以便會獲得產生貨幣的權力。

從理論上講,一個礦工突然獲得大量計算能力時可以提高其雜湊率 (相當於貨幣產生能力),但這次問題出現的原因更簡單 - 只是因為攻擊者在 Verge 的軟體中發現了錯誤:

 

據自稱為 OCminer 者表示 :

由於 XVG 程式碼中存在著一些錯誤,因此您可以經由挖掘時間戳被偽造的區塊來利用這個錯誤。當您提交一個開採區塊時 (無論是作為一個惡意的礦工或礦池),只需將這個區塊的時間戳記設置一個小時前,然後 XVG 就會 “認為” 這個演算法開採出來的最後一塊是在一小時前。

你的下一個區塊和後續區塊,就能取得正確的時間。而且,因為它已經被視為是一個小時前的成果 (至少網路是這樣認為的),這個區塊就可以被加到主鏈中。

 

由於 Verge 對連續開採區塊使用了五種不同的算法,因此這應該是不可能發生的。然而,偽造時間戳記的這個錯誤允許攻擊者只用一個演算法 Scrypt 來挖礦,大幅加快了速度。

 

隨著眾人焦慮感不斷上升,Verge 的官方推特推文表示這並不是令人聞之色變的 51%攻擊:

 

https://pbs.twimg.com/profile_images/876926354452660224/PpTNeZT__normal.jpg

vergecurrency@vergecurrency

 

今天早上我們遭到一次小型的雜湊攻擊,狀況持續了大約 3 個小時,但現在已經被排除了。我們將在未來對這種類型的問題進行更多的冗餘檢查!

 

同時,其他人指出這種小型攻擊可以讓攻擊者每秒產生 1,560 Verge (每秒 80 美元),視攻擊持續了多長的時間而定,這代表著幾千美元到 近乎百萬美元的獲利。

 

麻煩的是,此時需要達成 Verge 的一個硬分叉 (hard fork) 才能解決這個問題。這是一次重大升級,要求所有礦工升級到新的協議和區塊鏈。

Verge 2016 年時才由原本的 DogeCoinDark 虛擬貨幣名稱蛻變為 Verge,其也是 Dogecoin 的一個早期硬分叉。

Verge 社群一直爭論著這個分支的防禦機制,有些人認為效果不彰。

爭辯的一項分析

XVG 團隊錯誤地分叉整個網路以 '回復' 被惡意攻擊的資料塊,但這導致整個網路無法同步。

 

在此同時,攻擊者看似在攻擊期間繼續挖礦 Verge

這已經不是第一次加密貨幣區塊鏈中的軟體錯誤憑空產生金錢利益,例如上個月就有一項比較不嚴重的問題導致Coinbase 發生問題

 

對外界來說,看起來不同尋常的事情是在這次 Verge 遭受攻擊的事件中,就什麼事情發生和什麼事情沒有發生所引發的爭議,而不是已經發生的事實了。

對懷疑論者來說,這是另一個警告,亦即區塊鏈並不是如某些人聲稱般的無懈可擊。

  

英文原文 https://nakedsecurity.sophos.com/2018/04/09/hacker-mines-up-to-1-million-in-verge-after-exploiting-major-bug/  

(本文為翻譯本,內容以英文原文為準)
 
facebook youtube LINE