什么是重放攻击?
重放攻击是计算机网络中常见而古老的攻击手段。在区块链中,重放攻击特指在硬分叉中,攻击者将一条链上的交易拿到另一条链上“重放”,从而获取不正当利益的攻击手段。这毕竟是一个技术概念,小白可能不容易理解,为了解释清楚,我们用一个真实案例来说明重放攻击具体是如何实施的。这个真实案例出自大名鼎鼎的以太坊TheDAO分叉事件。
TheDAO是以太坊上发起的一个众筹项目,它运行在智能合约上。由于智能合约存在某种漏洞,黑客转走了合约内管理的价值数千万美元的以太币。为了挽回损失,以Vitalik为首的大部分社区意见支持分叉以实现交易回滚,于是通过硬分叉形式发起了一条新链。然而另一部分社区意见则认为不应该回滚,仍旧维护原有的区块链。这导致以太坊分裂成新链和原链两条不同的区块链。
聚币 CEO:看好DeFi未来 短期投资注意甄别:聚币CEO Jeff 今日在聚币直播间,探讨DeFi市场发展趋势话题时表示, DeFi项目用户参与门槛较高,市场仍存在泡沫现象,但看好DeFi的未来。DeFi并非新概念,由于流动性挖矿产品的的兴起促使DeFi类项目收益短时间内提高。长期来看,市场确实存在去中心化金融借贷等金融产品的需求。近期,市场上出现了不少模式相似的新DeFi项目,短期投资者要注意甄别和风险把控。[2020/8/19]
那么重放攻击又是怎样实施的呢?我们假设小明在分叉前持有500个ETH。分叉以后,小明的地址下就同时持有500个ETH和500个ETC,因为这个A地址在两条链上都是存在的。由于小明是坚定的分叉支持者,因此小明只看好ETH未来的发展,觉得ETC肯定要归零。此时小刚找到小明,提议以低价购买小明手中的ETC。小明便将手中的500个ETC全部转账到了小刚的地址。
分析 | 以太坊注意上方185美元压力位:据Huobi数据显示,ETH现报181.7美元,日内涨幅+0.15%。针对当前走势,金色盘面特邀分析师保罗大帝表示:以太坊日线级别依然维持震荡,K线呈现两根十字星。短期依旧是整理的形态,上方想要突破30日均线阻力也不是一时半会的事情,需借助大盘的推动才能维持上涨。4小时看,MACD高位有死叉趋势,但在几次将要死叉时都以大阳线拉高,使得MACD呈现拒绝死叉形态。
今日操作:上方压力位185,上方强压力位205,下方支撑160-165,下方强支撑150。合约方面,近期主要关注188美元能否突破,若不能突破188左右空单可跟进。严格设置好止盈止损。现货方面,稳健投资者,可等待160-165美元附近埋伏进场。[2019/9/10]
前面听起来没什么不对劲吧,然而小明没有想到的是,小刚反手就把这笔ETC的转账交易发到了ETH的网络上。由于ETH、ETC是分叉的产物,因此两者交易结构、密码学体系都是一致的,ETC链上的交易在ETH链上也一样可被识别,因此这笔交易就会被验证上链,最终的结果是ETH链上的A地址也转出了500个ETH到B地址去。小刚假意低价收购ETC,却成功取了小明所有的ETH,小明自然是亏大发了!
分析 | 金色盘面:分叉币短线注意回调风险:金色盘面分析师表示:市场小幅回暖,分叉币再次集体大幅上涨,短线注意大幅回调风险。[2018/8/6]
如何防范重放攻击?
我们可以看到,小刚问小明收购ETC这个行为,本身没有问题;小明将手中的ETC转账给小刚这个行为,也没有任何问题。真正出问题的地方在于,由于ETH和ETC两条链使用了完全一致的交易结构和密码学体系,导致在ETC上有效的交易在ETH上也同样有效。这就给了攻击者可乘之机。攻击者可以将ETC上的一笔有效的交易“重放”到ETH的链上,仍可形成一笔有效的交易,然而这笔被重放的交易并不是交易者本人的真实意愿,因此容易被攻击者利用而造成资产损失。
大家可能会有一个疑问:那岂不是在分叉后的链之间,比如ETH和ETC之间、BTC和BCH之间,做的所有交易都是有可能被“重放”的?事实上,重放攻击的实施是需要一系列严苛条件的。只有在刚分叉完毕的一段时间内,两条链才能够保持共享几乎相同的链上数据的状态,最容易发生重放攻击;一旦运行一段时间,两条链上分别有了新的数据输入,将一条链的交易重放到另一条链的可行性就大大减弱了。
HADAX发布第二期第一轮投票结果处理及下一轮投票注意事项说明:火币自主数字资产交易所(HADAX)第二期第一轮投票上币将于今天新加坡标准时间3月15日13:00结束,由于本期投票规则较上一期变化较大,在投票结束前对本期规则以及下一轮投票可能的变化做如下说明:
本轮投票结果处理:
1、 我们会在投票结束后1~3个工作日内对数据进行清洗分析、人工回访等动作,确保投票的真实性后再行公布投票结果;一旦发现有作弊行为,我们会立即取消资格;
2、在本轮胜出的项目需要在上线HADAX前在保证金账户里锁定足够的保证金;
3、项目方赠送的Token会在上线HADAX后分四次空投给用户,每次间隔一周。
下一轮投票注意事项:
1、在本轮投票期间新申请的项目,会在下一轮发送给超级投票节点初审,然后会进入下一轮投票列表;
2、根据本期投票的情况,有部分社区有时差影响,认为投票周期过短,不利于发动社群支持,因此下一轮投票周期有可能会调整为5-10天,胜出项目数可能会调整为1-3个,具体请以投票开始公告为准。[2018/3/15]
从防范重放攻击的角度,我们可以总结一些规律。首先,大家要意识到,重放交易本身不是一种Bug,并不能直接窃取您的资产,重放攻击一定是配合或结合其他恶意行为进行的。就好像我们刚才提到的小明卖ETC案例中,一定是有小刚这样的角色实施了“假意低价收购ETC、实则图谋ETH”的欺诈行为。如果您在分叉之后的一段时间内保持警惕,时刻意识到您在新链上的交易有可能被重放到原链,就可以杜绝绝大多数与之相关的欺诈行为。
美国证券法专家:Barry Silbert发布许多关于ETC价格的推特 可能很快就会吸引美国监管机构的注意:美国证券法专家表示,巴里?希尔伯特(Barry Silbert)在推特上发布的许多关于(以太经典)ETC价格推特消息,以及他最近发布的一份简短的“专业提示”,可能会引起负责防止价格操纵的市场监管机构的警告。巴里·西尔伯特(Barry Silbert)为推广以太经典所做的不懈努力再次成为公众关注的焦点。现在,一些美国证券律师告诉路透社,他们认为西尔伯特在社交媒体上的以太经典拉拉队可能很快就会吸引美国监管机构的注意。
Barry Silbert是Digital Currency Group(DCG)的子公司Grayscale的首席执行官。该公司推出了“以太坊经典投资信托基金”,该基金的“股票是第一个单独投资并从价格中获得价值的证券”。[2017/12/25]
我们介绍两种具体的防范手段。第一种是在分叉后购买极少量“新鲜的币”到您的地址内。所谓“新鲜的币”是指那些在分叉高度以后挖矿产出的币,这些币在另一条链上并不存在,因而当交易的input引用到它们时,这笔交易就不可能被另一条链所验证。第二种是在分叉后将您所有地址内的币归结到一个新生成的地址。这也就是所谓的“腾笼换鸟”,可以减少攻击者在另一条链重放交易的可行性;如果您按顺序结合使用两种方法,基本可以免除遭受重放攻击的可能性。
Lava团队关于分叉期间的风险提示和相关建议
首先,我们特别提醒,本次PoC2+升级使用硬分叉方式,有可能形成两条链,即一条升级协议后的“新链”、一条仍运行旧协议的“原链”。这是区块链的特性所致,只要原有的协议有算力维护,那么原链也可以保留下来。Lava技术团队声明,升级完成后我们不会对运行旧协议的原链进行任何维护和开发工作。
因此,我们首先建议社区用户务必在分叉前更新您手中的所有全节点或钱包软件版本。您可以前往官网下载最新版本的软件,并在升级指南页面检查您的软件版本是否为最新。如果您没有及时更新,仍在使用旧版本的钱包,可能会造成混淆和误操作。
其次,我们建议您在没有把握的情况下,分叉后短期内谨慎与第三方进行转账活动。分叉后可能有人提出收购您在原链的LV资产,您需要特别意识到交易存在被重放的风险。
Lava技术团队可能计划在分叉完成后,向所有持有LV余额较大的地址转账少量金额的“新鲜LV”,以减少攻击者实施重放攻击的可行性。我们建议所有持有大额LV资产的用户,在接收“新鲜LV”转账后,将持有的LV归集到一个新的地址。
教学:如何做归集交易
归集交易就是将您钱包内分散在各个地址下的资金统一发送到一个地址下的交易。该地址应当是一个由您的钱包控制的、最好是没有使用过的地址。在分叉后进行一次资金归集,能够减小被重放攻击的可能性。
如果您使用带有界面的钱包,例如轻钱包、GUI钱包:
此处以GUI钱包为例,其他带有界面的钱包的操作方法类似。在“接收”界面点击“请求付款”,钱包会自动展示一个收款地址,如下图所示。
复制该地址,前往“发送”界面,将钱包内所有资金发送至该地址即可。您可以预先浏览您的钱包余额并填写需要发送的资金数额,或者在发送交易时直接勾选“发送全部余额”以保证所有余额都得到归集。
如果您使用全节点钱包:·使用getbalance查看钱包内的总余额;·使用getnewaddress生成一个新地址;·使用sendtoaddress将钱包内的所有余额转账到新地址内。注意:要考虑留出交易手续费,因此可以在转账之前先设置settxfee0.001,然后将剩余余额通过sendtoaddress转入归集地址。
Lava官网链接:www.lavatech.orgGithub:https://www.github.com/lavaio
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。