小心区块链：比特币的陷阱与风险

最近一段时间，“比特币”投资频仍的泛起个各个媒体平台，跌涨犹如过山车一样平常，我们在分析了原理、理清了资源后，仔细分析实际使用的比特币就会发现，其通讯和数据治理的细微之处存在伟大的平安隐患。

一

比特币背后的区块链手艺使用加密科技，防止系统被窜改。不外，比特币作为一种加密货币，单单具备防窜改性显著是不够的。如何抵御攻击，制止双重支付，防止买卖纪录自相矛盾而导致服务失常，则需要从多种角度举行平安论证。

相较而言，比特币使用区块链手艺的时间最为久远。从2009年至今，除了程序破绽以外，比特币还没有发生过系统住手或数据回滚（rollback）的情形。然则一些论文指出，由于比特币的协议设计和运行问题，很有可能泛起欠妥支付、数据窜改、系统住手等问题。

比特币事实具有怎样的脆弱性，有没有方案可以修正，区块链的平安性又如何评价呢？下面我们就一起领会一下和区块链平安性相关的4项理论功效。

细小算力攻击重大区块链——“Selfishmining（自私挖矿）”

比特币接纳了共识算法——“事情证实”，一样平常来说，只要恶性节点的算力达不到全体的50%，就无法控制区块链。令人意外的是，纵然算力低于50%，恶性节点也可以“蚍蜉撼树”，控制区块链的天生，这种方式就是“Selfish mining（自私挖矿）”。

凭据正常方式挖矿，比特币的发生频率与节点的盘算气力存在比例关系。然而行使Selfish mining计谋，最终效果将远超拥有的盘算资源。理论上来说，只要拥有整体41%的算力，控制区块链发生的概率就高达50%以上。

Selfishmining的节点发现新的区块后，并不马上公然广播，而是隐藏区块的存在。这样在其他节点还在寻找原来区块的时刻，他们已经可以挖矿下一块了。若是运气好发现新区块，这时再广播前一个区块的存在。

在其他人起劲挖矿时，Selfishmining节点则不停找寻新区块，这样，他们拥有的链条也越来越长（图8-1）。

图8-1Selfish mining

攻击者接纳这一战略而且拥有整体33%以上的盘算气力，实质天生的区块就远超这一数字，也就是说，持有41%资源的节点能以50%以上的概率天生区块。

现在，我们还没有应对Selfishmining的良策。我们一定要认识到，控制区块链完全不需要拥有过半的算力，更低的数值完全可行。

“Fast payment（快速支付）”的比特币双重支付问题和对策

比特币的买卖信息（transaction）被纪录在区块中，比特币的支付需要获得比特币网络（区块链）的批准。凭据系统要求，从发送买卖纪录到获得允许平均需要10分钟。

此外，系统为了确认区块的正当性，批准买卖后，买卖者还需要至少守候5个区块毗邻。正常情形下，从买卖完成到确认完毕要花费约莫1小时。

正常消费时，别说1小时，主顾可能连10分钟也不愿意守候，以是在一样平常买卖时系统多接纳“Fast payment（快速支付）”的方式。店方确认买卖信息，验证数字签名后，并不会确认有无双重支付，直接默认支付已经完成。

针对Fast payment的缺陷，我们一起来领会一下详细攻击方式。

　支付方在Fastpayment的店肆使用比特币（UTXO）付款（汇款），同时向另一账户（同伴的账户或自己的其他账户）汇款一致金额，这样店方确认的买卖信息就失效了。既获得了物品或服务，又没有消耗比特币，这就是“双重支付攻击”的一种显示。由于该种攻击正好行使了比特币的买卖传输协议破绽，因此其乐成率异常高。

攻击建立需要两个条件。一是攻击者（支付方）可以直接向商铺发送买卖，二是由“辅助节点（helper node）”辅助攻击。

假设攻击者的买卖信息为“Tv”，同时向辅助节点发送“Ta”买卖请求。辅助节点清扫店肆周围节点群的范围，直接向其他节点发送信息，“Ta”青出于蓝，更早扩散。收到“Ta”信息的节点吸收买卖“Tv”后，将其视为欠妥买卖而作废，自然“Tv”也就不会被广播。

相比买卖“Tv”，后提议的“Ta”存储在区块中的概率更高，“Tv”买卖无效（图8-2）。

图8-2　辅助节点的双重支付供应

这种攻击的恐怖之处在于，其不仅使店家蒙受损失，对于其他节点来说，他们基本无法发现欠妥行为。

现行的比特币系统中，同时吸收“Ta”“Tv”的节点数目十分有限。先吸收“Ta”，则“Tv”失效；先吸收“Tv”，则“Ta”失效，不会扩散到其他节点，以是大部分节点无法获得双重支付的证据。

欠妥买卖是证实账户非法的有力证据，希望可以广为见告，将其用于评价治理之中。“Bitcoin – XT（比特币焦点开发者加文·安德烈森开发，用于提高区块扩展性）”就公然双重支付的信息，修正评价治理方式，对账户所有者举行谈论。

若是所有信息都以接力的方式上传，网络负担大量信息，这就是“DoS（拒绝服务）”攻击，可能导致系统瘫痪。Bitcoin-XT限制单个UTXO只能买卖两次，就是为了规避这种风险。

由于矿工意见差别，Bitcoin-XT还无法扩大区块，也没有被纳入比特币系统之中。因此，Fastpayment店肆结算时，店方不得不负担这种双重支付风险。

二

比特币的DoS攻击和对策

有讲述称，恶意使用了比特币的买卖和区块协议，可以在特定节点延迟信息的流传，继而拖慢系统的信息通报，甚至可能导致系统住手，或者泛起双重支付等欠妥行为。

比特币通报买卖和区块信息时，首先通报的并不是数据信息，而是名为“清单信息（Inventory Message）”的哈希值。节点收到信息，若是哈希值未知，则会向原节点请求数据信息，继而完成信息流传（图8-3）。若是有人恶意使用清单新闻，很可能造成信息流传的延迟。

攻击方式存在于区块和买卖传输协议之间（图8-4）。

图8-3　节点间的信息通报

图8-4　信息通报延迟的原理

攻击节点向目的节点发送新闻，对于节点区块头、区块数据的要求，攻击节点只回复“ping”，在超时之前的20分钟内，攻击节点恣意占有目的节点的功效，延迟区块的流传。比特币毗邻的上限是126，而通常只使用20个左右，攻击节点依此占有目的节点的空闲资源，甚至延续抢夺资源。

攻击节点行使买卖节点的传输破绽，发送清单新闻后，同样只回复“ping”，直到超时（两分钟）为止，从而大大延迟买卖信息的传输。而且清单新闻由行列治理，只要占领行列，超时之后，攻击者还可以控制信息传送，甚至可以拒绝通报随便时间点的买卖信息。

若是与其他攻击并用，该种攻击的效果将成倍增强，这也是延迟通报的恐怖之处。

若是与自私挖矿并用，攻击者就可以用少少的算力控制整个区块链。有看法以为，只要拥有不少于34%的资源，就可以控制50%以上的区块，进而支配区块链。

另外，这种通报可以无限期滞后，攻击者还可能提议双重支付攻击。若是攻击者攻击所有节点，比特币的服务将陷入周全瘫痪。而攻击所需的盘算机能力并不严苛，只要每20分钟能发送600千字节即可。

针对以上问题，比特币开发者也在思量对策，以应对攻击，好比放弃清单信息，改向区块头发送信息，改变既有协议；用IP地址过滤信息发送者；通过随机选择的方式治理发送方……前项对策（BIP 130）已经写入Bitcoin 0.12.0版本。

区块链平安性评价功效备受期待

对许多加密协议来说，虽然协议平安理论上有保证，但受安装和运行环境的影响，照样有可能陷入危险。相比之下，比特币属于前一阶段，其知足何种条件才算是平安的，详细的尺度还在研究当中。下面我们就从事情量证实（Proof of work：POW）的区块链入手，先容分析协议的研究功效。

严酷来讲，论文中提及的哈希链与比特币哈希链的组成方式并不相同，评价区块链时，可以从“Common Prefix（共有前缀） property”和“Chain Quality（链质量） property”两方面入手，分析“POW的乐成概率”，意义深远。

POW 的区块链中，假设遵守协议的老实（honest） 矿工乐成概率为α，不遵守协议的矿工乐成概率为β，人们已经清晰α和β的数值各为若干。论文以为，人们可以详细评估在知足某种条件后区块链不举行分叉的概率（Common Prefix property）和老实矿工所天生区块进入区块链的概率（Chain Quality property）。也就是说，不遵守协议者乐成天生区块这类情形对区块链所发生的影响水平可以量化。

有趣的是，自私挖矿的情形下，不遵守协议矿工的乐成概率β可能高于1/3，而ChainQuality property也处于较低水平。这个效果看起来天经地义，实在这是数理模子证实的伟大突破。

我们在分析了原理、理清了资源后，仔细分析实际使用的比特币就会发现，其通讯和数据治理的细微之处存在伟大的平安隐患。笔者希望往后有更多的研究着眼于区块链的脆弱性和平安性，修建更为严密的协议系统。