真相了,当年门头沟事件的始作俑者原来是Ta

2019-01-24 18:26:11 链豹财经

2014年2月25日,曾经最大的比特币交易所MT.GOX(又称门头沟)停盘了。原因是遭受到黑客的攻击,丢失了85万个比特币,按照当时的币价,总价值为4.54亿美金。在此事件中,黑客用的就是比特币交易的延展性攻击。

要说延展性攻击,我们先来说说什么是延展性

延展性,又称为可锻性,是指一个东西的形状改变了,但其本质与质量没有发生改变,其本质属性仍然可以获得大众的认可。就如同一条含金量7G的项链,被高温熔铸后打造为一枚戒指,其黄金含量仍为7G,其价值仍不变(不将生产成本纳入考虑)。

比特币交易的可锻性

先简单说下比特币交易,一笔交易里由交易标识、版本号、锁定时间、输入、输出组成,后四者经过哈希计算会生成一个哈希值,这个值就是交易标识,即TXID。每一个TXID就用来保证交易的唯一性。

每一笔交易的发起者都会用自己的私钥进行盖章,即常说的签名。签名也是一种算法计算,比特币用的是椭圆曲线数字签名算法(ECDSA)。矿工在验证一笔交易是否有效的时候经常就需要检查这个签名,检查的时候用的是openssl 库校验用户签名。

问题就在于openssl可以兼容多种编码格式,ECDSA的计算方式又不止一种,如用户用signature(r,s)和 signature(r,-s(mod N)) 生成的签名数据是不一样的,但矿工都可以验证通过。这就是签名的延展性,即使签名数据改变了,但仍具有效性。

交易存在延展性,具体说来就是指一笔交易的签名具有延展性。签名改变了,签名作为输入的组成成分之一,交易里“输入”的组成数据也会有所不一样,那么哈希计算生成的交易标识TXID也会改变。

延展性攻击怎么发生?

所谓的延展性攻击,就是通过对签名进行修改,但修改后的签名仍有效,攻击者可发起第二笔除了签名之外,其他数据信息均相同的交易。延展性攻击并不会阻止实际交易的进行,而是会引发二次转账交易。

具体说来,延展性攻击的受害者通常是交易所。攻击的主要流程是这样的:

1.黑客在交易所具有一个账户,其向交易所发出提款的请求,获得一个TXID(先简称TXID1)。

2.黑客根据交易信息,换另一种有效签名,伪造一笔交易,交易标识为TXID2,发送到网络。TXID2交易的交易信息和TXID1交易一样,均是交易所向黑客转账。但交易所并不知道TXID2交易的存在。

3.TXID1交易与TXID2交易在网络中竞相处理,若TXID2交易先被处理,交易所的比特币会转入黑客账户中,TXID1交易则失败。

4.黑客向平台表示TXID1交易失败,再次发起提款请求,交易所确认TXID1交易失败后就会再次发送交易。如此一来,黑客就获得两笔比特币。

关于第三点,黑客如何保证伪造的TXID2交易会先被处理的,这里涉及到比特币网络的特性。比特币网络是去中心化的,节点与节点之间是点对点相连的,所有的交易请求都以网状广播的形式处理。黑客先查清楚交易所与哪些节点直连,用DDOS攻击瘫痪这些节点,使之不能对外广播交易信息。再伪造节点与交易所相连,用于广播TXID2交易。这样一来,TXID1交易不会被广播到网络,网络中接收到的都是TXID2交易。

为了更形象的去理解,举个例子:

1.肖恩让首饰店打造一条含金量为7G的金项链,首饰店向生产商发布消息A----打造一条含金量为7G的金项链。

2.肖恩通过某种手段截获了消息A,将消息A改为消息B----打造一枚含金量为7G的金戒指,再将消息B发送给生产商。

3.生产商接受消息B后,打造出金戒指,并发货给肖恩。

4.肖恩向首饰门店发起投诉,表示并没有收到金项链。首饰店向生产商对接,发现生产商的确没发金项链产品给肖恩,首饰店就会让生产商打造金项链,并发货给肖恩。

这样一来,肖恩就获得了两件含金量7G的产品。

特别声明:本文为网易自媒体平台“网易号”作者上传并发布,仅代表该作者观点。网易仅提供信息发布平台。