摘要:贝利是美国虚拟货币安全的研究员,他在雪地中建立的虚拟币实验室测试与曝光了许多虚拟币的安全问题,包括51%攻击、后门入侵和网络控制。比特币、狗狗币和莱特币之外的虚拟币投资者请听听他的看法。
今年一月,在北密歇根的一个不起眼的房子里安装了5万美元的计算设备。服务器排列在一起,没有放家具的空间。它背后的安全研究员是顿 贝利(Don Bailey )。他如果愿意到这些轰鸣的机子当中度假的话,倒是可以睡在一个充气床上。
贝利与他的匿名同事不是无缘无故地建一个奇怪的数据中心。他们想看看如何利用大量的挖矿操作去采掘不同的加密货币,这样可以赚取密码币支持这个项目并测试市场上各种密码货币的安全性能。虽然他们没有能力去干扰一些广受欢迎的货币(像是比特币与狗狗币),他们依然怀疑市场上一些鱼龙混杂的币能轻易被算力干扰。他们搭起服务器不久,就证明了他们是对的。他们能轻易地毁坏许多加密货币,贝利在44Con上告诉我(44con是一个这个月在伦敦召开的一个安全论坛)
但是,首先他们需要让程序跑起来,这在零下32度的恶劣环境中不是很简单的工作。虽然这个温度会引起很多问题,他们却急需这个温度,因为计算机发出的极大的热量需要散发出去。他们使用了一个可以使用气压差吸入外部冷空气的系统来做冷却。贝利说,任何希望做大量挖矿工作的人都会倾向于做这种环境中搭建设备。
他们选择了这个遥远寒冷的地方还有别的理由,首先,他们需要有一个低犯罪率的地方以防有人偷了他们昂贵的设备。第二,电力基建费用要很低,因为他们要消耗很大的电力。最后,他们需要稳定的电力供应,所以他们最后选址离机场很近,当地电网不工作的时候可以迅速转移到他们备用电网。
大雪真的对他们很不便。当房子的排水沟和通风管道被雪堵上的时候,他们也无法排出一些下水道产生的有毒气体。贝利说,这不仅能致人于死地,还能变成更大灾难。整个房子有一次曾经可能会爆炸,但是消防部门打进来电话,避免了这个危机。
在总总危机之后,贝利与他的团队获得了许多关于小面值密码货币的知识(替代币)。”我们不光找到了许多在客户端和服务器端的问题,我们还发现了许多显而易见的问题到处都存在。“,贝利告诉我。
一个更严重的问题就是用巨大的计算能力去影响试图挖矿的人。挖矿的过程就是通过解决一些数学难题去获取新的密码币。专业的挖矿者用大量专门订制的机器去计算这种数学难题。
许多替代币的网络根据挖矿算力的大小调整挖矿难度来保护区块产生过程。贝利发现他能精细地控制巨大的算力的出入,让这种计算变得更加复杂,替代币的网络会增加某个块的挖矿难度。这样会吓跑更多的挖矿者。当替代币网络再次调整挖矿难度,难度会下降。然后贝利的小组可以轻易地挖到虚拟币。
这种攻击在一些知名的密码货币(像是比特币或狗狗币)中是几乎不可能的。但在其他替代货币系统中是非常简单就能做到,贝利没有点名哪些密码货币,因为他担心会引来恶意的攻击。
在某些情况,贝利与他的小组(贝利希望他们保持匿名)成功地威胁了某些虚拟货币网络并获得了51%以上的计算能力。如果他们有恶意,这会让他们有能力去阻止交易或者花掉不属于他们的虚拟币,因为挖矿者会投票验证交易的合法性。这很有可能会杀死一个虚拟币。但是他们因为道德的原因没去做。“你能对今天绝大多数的虚拟货币发起51%攻击”,贝利做他的演讲中说道。
3月份的时候,他的团队观察到一个用户试图去后门窃取虚拟币,这个用户通过修改Github上的更新程序,加入了一个“非常巧妙”的缓冲溢出错误。这么做的目的是要黑掉IRC(Internet Relay Chat protocol),IRC在许多虚拟币钱包中用于更新软件。“因为这些虚拟币默认使用IRC,攻击者能加入IRC网络,他能一次性占有与攻击上千个客户端,他们知道当他们侵入客户端的时候会有虚拟币,可能有的还有许多虚拟币可以偷”,对于虚拟币的拥有者来说,这次黑客没有成功,所以避免了他们的后门噩梦。
今年早些时候,贝利的团队意识到比特币与其他虚拟货币有些异常情况,有某些挖矿者的算力被从矿池转移了。他们的流量被转移到某些其他的地址。戴尔安全公司SecureWorks随后的分析表明攻击者成功地入侵一个加拿大ISP的路由器并滥用了一个BGP协议去引导流量到攻击者自己的矿池。在这一过程,他们成功地获取了84000美元。贝利觉得一个更聪明的攻击者可能会通过更巧妙的方法获得大量利润。
比特币交易所也是特别令人担忧的。“在交易所,结构是更大的问题,你总能找到网络应用的问题,但是令人崩溃的是,某些网络应用能直接导致虚拟币被入侵,因为网站管理员没有分流虚拟币到冷钱包”,贝利后来在Email中告诉我。他说黑客判断交易所使用热钱包还是冷钱包以及钱包是否直接植入在网络应用中是一件非常简单的事情。他们能根据不同情况使用不同的攻击手段。“Coinbase是我唯一信赖的交易所,但甚至是它也有点问题”,贝利说。
在5月份项目的尾期,他已经知道了不是所有密码货币都是生来平等的。“有些密码币,比特币、狗狗币、莱特币以及些许密码币,在积极地解决安全问题,但是市场上还有几百种密码币,绝大多数只是试验和赚一笔快钱,而没有关心去改进和确保它们的技术的安全……我们没有在比特币的协议中发现严重问题”
贝利也正在和狗狗币开发群体一起合作,去制定狗狗币安全标准。他们鼓励所有社区的活动都按照狗狗币安全标准的指导进行。
也许这个基于网络文化的狗狗币会成为比特币的真正挑战者,它正在不断地获得世界各地政府与大银行的支持。“狗狗币非常棒,不要忽视它们”,贝利补充。
翻译者:秋田文竹 原文链接:
forbes.com 转自:
比特时代