又名“金银花”,自古被誉为清热解的良药,它性甘寒、气芳香,甘寒清热而不伤胃,芳香透达又可祛邪,真不愧是是派派用来凑字数的好花啊!我们今天要讲的这个双花跟植物没关系,是指区块链世界里的一种行为。“双花”即双重支付,白话来讲就是“只有一笔币却花费了两次”。双花是交易者最容易遇到的欺诈攻击形式,并且最近有受案例上升的趋势,因此从事相关行业的小伙伴们一定要仔细看看这篇文章。1、什么是双花?我们可以用现实生活中的案例再来类比一下。你银行卡里有5元钱,正好可以买一份烤冷面,不如我们就花了它吧…正常的情况下,你用微信扫码付完5元,银行卡余额变成了0,然后获得了好吃的烤冷面*1,双方互利互惠,交易达成。而在双花的情况下,你用微信扫了烤冷面的码,然后又用支付宝扫了隔壁臭豆腐的码,两次都选择同一个银行卡付款,结果是你一共只有5元,却花了两次,获得了价值10元的商品,后来交易系统判定烤冷面那笔交易异常,扣除了烤冷面商家收到的5元。烤冷面店家成功损失5元,而你这个坏人已经无影无踪了。2、怎样双花一笔比特币?双花行为本质上是一种欺诈攻击,只有更好的了解它,才能更好的防御它——派派回到我们的比特币身上,比特币正常情况下的交易确认速度是10分钟左右当一笔交易处于0确认的状态时,实际意味着这笔交易并没有真正的写入区块,这也是“攻击者”进行双花攻击的最好时机。下面我们来用案例模拟一下比特币的双花过程。小币和小钱约定好做一次交易:小币要卖给小钱1个比特币,小钱需要转给小币10万块钱。于是,小币先用A钱包给小钱转了1个比特币。小钱的钱包显示接收到了1个比特币,于是就把钱转给了小币。天真的小朋友们一定以为这时候交易就圆满的结束了,结果却并非如此。小钱收到的1个币一直是未确认的状态,等啊等…最后交易显示“被双花”,相应的比特币余额变回了收币前的状态。小钱成功损失10万块钱,而小币这个坏人已经无影无踪了。那么小币做了什么呢?小币在给小钱转币时在A钱包设置了特别低的矿工费,导致矿工一直未对这笔交易进行打包,而小钱也没有注意接收到的币处于“未确认”的状态,就给小币付了款。之后小币将A钱包的助记词导入B钱包就会发现自己的余额并未减少,于是小币从B钱包将那一个比特币发送到自己的另一个地址,同时设置了很高的矿工费......至此,小币总共把1个比特币发送了两遍,因为第二次设置了更高的矿工费,因为第二次交易会被更快的确认,导致转给小钱的币就会被双花作废掉,于是小钱并没有收到币,而钱却已经被小币走了。3、怎么预防双花?上面的案例是最常见的双花案例,也是一种几乎没有成本的欺诈攻击形式。攻击简单,相应的预防也简单。此类攻击的命门就在这个三个字上。因为只有未确认的交易才有可能被这种形式双花,所以大家一定要牢记一点“未确认=没有真正到账”,如果是与他人做交易,至少等待交易拥有一个确认之后再给对方打款。如果有了1个确认,子就不会再有这种双花的机会了。4、一个确认就足够安全了吗?在日常生活中我们可以认为1个确认就足够安全。在理论中,还有51%的算力攻击可以双花掉已经确认的交易,但是51%攻击需要巨大的成本并且对攻击者并无利益,因此我们可以认为其几乎不会发生,所以这里我们也不展开讲了。大家可以先消化一下上面的“零确认双花欺诈”5、我想再额外了解下比特币的确认机制。可以看下这篇文章:https://m.weibo.cn/6404560407/43599208638841366、双花是比特币的漏洞吗?0确认的双花欺诈其实更应该算是被者的基础知识不够扎实,对比特币的确认机制不够了解。这行为,就跟银行卡到账只看短信一样,短信不靠谱,还是打开网银确认一下更安全。7、把这篇文章写出来会不会让子学坏?子比我们都努力,不用我发早都学会了,全世界就你最后一个知道了,你还搁这瞎操心。上面有位智者讲过了,任何攻击只有了解它,才能防御它。鉴于国内对此类攻击手段的科普文章并不多,希望这篇文章可以让部分用户避免一些潜在的损失,那么如何能让更多的人避免损失呢?子必然不会去扩散这篇文章,拯救币圈苍生的重任就靠骨骼惊奇的你了!
动态 | 朝鲜黑客组织Lazarus最新活动揭露:近日,Kaspersky研究人员捕获了使用Chrome 0day漏洞进行攻击的行为,漏洞编号为CVE-2019-13720。经过相关研究人员分析,攻击发起者是朝鲜的APT组织“Lazarus”。根据降维安全实验室的情报,此组织在过去的2年时间内,一直对国际上的数字货币交易所以及其他相关企业进行APT攻击(如之前我们实验室捕获并分析的DragonEx交易所被黑事件)。此漏洞异常危险,降维安全实验室在此提醒交易所相关工作人员,切勿随意点击邮件或者聊天中的可疑链接,尽快将Chrome桌面版(Windows/Linux/MacOSX)更新到78.0.3904.87及以上版本。[2019/11/7]
动态 | 比特儿新型木马揭露:\"断网防封助手\"实为远控木马:据降维安全实验室(johnwick.io)报道,有大量用户遭到电报群内新型木马。者声称可利用gate平台充值码漏洞实现1个BTC充值后变成2个,并通过社交通讯工具给用户发送一个名叫“gate断网防封助手”的木马文件。该文件实际上是远程木马下载器,可下载远程木马监视并窃取用户数字资产。降维安全实验室在此建议用户保持警惕,切勿点击陌生文件及链接,谨防上当受。[2019/5/7]
动态 | FCA揭露一起加密货币局:据Financemagnates报道,英国金融行为管理局(FCA)本周五发布了一起加密货币局的相关消息,子冒充英国小型投资咨询公司ALPH Capital,利用虚假网站发布高额回报的加密货币投资信息以诱投资者。[2019/1/19]
土耳其加密货币Turcoin被揭露为庞氏局:土耳其加密货币Turcoin在其创始人逃离该国后,已经被揭露为庞氏局。它从成千上万的投资者取了1亿土耳其里拉(2,110万美元)。据报道,这个项目是一个常见的庞氏局,项目参与者获得了吸引新参与者的奖金。向参与者支付款项的方式是从新所有者那里筹集资金。[2018/6/19]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。