[Sophos] 駭客利用一個重大錯誤從 Verge 挖走了高達 100 萬美元的虛擬貨幣


本週稍早,注重用戶隱私的加密貨幣 Verge (XVG) 的投資者收到了令人不安的消息。



根據一篇論壇貼文,一名惡意挖礦者似乎找到了一種方法來讓 Verage 受制於一個高度偽造的區塊鍊,稱之為 “51% 攻擊”。套句用外行人的話說,有人正在奪取區塊鏈大部分的採礦能力,以便會獲得產生貨幣的權力。從理論上講,一個礦工突然獲得大量計算能力時可以提高其雜湊率 (相當於貨幣產生能力),但這次問題出現的原因更簡單 – 只是因為攻擊者在 Verge 的軟體中發現了錯誤:

據自稱為 OCminer 者表示 :

由於 XVG 程式碼中存在著一些錯誤,因此您可以經由挖掘時間戳被偽造的區塊來利用這個錯誤。當您提交一個開採區塊時 (無論是作為一個惡意的礦工或礦池),只需將這個區塊的時間戳記設置一個小時前,然後 XVG 就會 “認為” 這個演算法開採出來的最後一塊是在一小時前。

你的下一個區塊和後續區塊,就能取得正確的時間。而且,因為它已經被視為是一個小時前的成果 (至少網路是這樣認為的),這個區塊就可以被加到主鏈中。

由於 Verge 對連續開採區塊使用了五種不同的算法,因此這應該是不可能發生的。然而,偽造時間戳記的這個錯誤允許攻擊者只用一個演算法 Scrypt 來挖礦,大幅加快了速度。

隨著眾人焦慮感不斷上升,Verge 的官方推特推文表示這並不是令人聞之色變的 51% 攻擊:

vergecurrency@vergecurrency

今天早上我們遭到一次小型的雜湊攻擊,狀況持續了大約 3 個小時,但現在已經被排除了。我們將在未來對這種類型的問題進行更多的冗餘檢查!

同時,其他人指出這種 “小型攻擊” 可以讓攻擊者每秒產生 1,560 個 Verge (每秒 80 美元),視攻擊持續了多長的時間而定,這代表著幾千美元到近乎百萬美元的獲利。麻煩的是,此時需要達成 Verge 的一個硬分叉 (hard fork) 才能解決這個問題。這是一次重大升級,要求所有礦工升級到新的協議和區塊鏈。

Verge 在 2016 年時才由原本的 DogeCoinDark 虛擬貨幣名稱蛻變為 Verge,其也是 Dogecoin 的一個早期硬分叉。Verge 社群一直爭論著這個分支的防禦機制,有些人認為效果不彰。

爭辯的一項分析

XVG 團隊錯誤地分叉整個網路以 ‘回復’ 被惡意攻擊的資料塊,但這導致整個網路無法同步。在此同時,攻擊者看似在攻擊期間繼續挖礦 Verge。

這已經不是第一次加密貨幣區塊鏈中的軟體錯誤憑空產生金錢利益,例如上個月就有一項比較不嚴重的問題導致 Coinbase 發生問題

對外界來說,看起來不同尋常的事情是在這次 Verge 遭受攻擊的事件中,就什麼事情發生和什麼事情沒有發生所引發的爭議,而不是已經發生的事實了。

對懷疑論者來說,這是另一個警告,亦即區塊鏈並不是如某些人聲稱般的無懈可擊。

英文原文:https://nakedsecurity.sophos.com/2018/04/09/hacker-mines-up-to-1-million-in-verge-after-exploiting-major-bug/