比特币RBF假冒风险分析。
前面的话。
加密钱包ZenGo在Ledger、BRD、UDEdge等主流加密货币钱包中发现了漏洞。该漏洞可能将未确认的交易计入用户的总馀额,此时攻击者可在交易确认前取消交易。攻击者利用比特币协议的费用代替了Replace-by-Fee功能。该功能可以通过支付更高的手续费来更换以前的交易。攻击者可以连续多次使用该功能进行BigSpender攻击。接下来,慢雾安全团队将根据此次事件分析比特币协议RBF的特性对交易所和钱包的影响。
比特币微信指数日环比下降18.76%:金色财经报道,微信指数显示,6月4日,区块链搜索指数为1928206,日环比上升4.30%;比特币搜索指数为604887,日环比下降18.76%;以太网搜索指数为103783,日环比上升34.09%。[2020/6/5]
RBF,全称Replace-by-fee,是比特币存储池的协议,允许其他交易更换未确认交易的方式,RBF的方案主要有以下几种
观点:从长远来看,比特币可能是当前经济放缓的受益者:DelphiDigital联合创始人Kevinkelly,宏观经济背景从未对比特币有利。Kelly指出,传统市场的起伏经常反映在比特币市场和其他加密货币上。最近的例子是3月中旬发生的恐慌性下跌。随着传统市场的复苏,加密市场也一起复苏。在最近的崩溃中,尽管所有资产类别都出现了下跌和复苏,但比特币和黄金的上涨更加一致。比特币只存在了约10年,但开始被视为安全的避难港资产。
鉴于BTC的特点,Kelly认为,从长远来看,BTC可以被视为非主权、数字始、硬上限供应,是安全的危险回避资产。但是,比特币与其他资产类别之间存在关联性,但是随着时间的推移,这种关联性可能会随着风险资产的增加而减弱。(AMBCrypto)[2020/5/7]
1、FullRBF:用更高的手续费更换前一笔交易。
动态|比特币全网未确认交易1418笔:btc.com数据显示,目前比特币全网未确认交易数为1418笔,24小时交易速度为3.66txs/s。目前,全网难度为13.13T,预计下一次难度将从1.96%提高到13.13T,距调整还有7天19小时。迄今为止,比特币的全球平均价格为7263.91美元,最近24小幅下跌幅度为0.24%。[2019/12/12]
2、First-seen-safeRBF:初见替换,即替换交易本身的输出金额必须大于替换交易。
声音|财经博客:Grin匿名捐赠者即使不是中本聪明也应该是比特币的早期开发者:财经博客比特币女博士发送微博,中本聪最后一次出现,2011年4月给比特币的早期开发者GavinAndresen简单的邮件说:我要做别的事,Gavin和别人做好比特项目最近捐赠给grin社区的50btc地址,上次有变动的是2010年12月,这个捐赠者即使不是中本聪,也应该是比特币的早期开发者。下图是这位神秘捐赠者留下的grin的祝福,字里行间合理,情商高的geek(极客)与很多后中本聪完全不同。[2019/11/14]
3、Opt-inRBF:选择交换交易,以追加手续费的形式交换旧交易,节点可以打开或关闭这个功能。
国家市场监督管理总局竞争执法局副局长:协助人民银行管理比特币交易风险:根据经济日报,国家市场监督管理总局竞争执法局副局长白京华在2018年防范和处理非法筹资法律政策宣传座谈会上发表讲话时,市场监督管理总局积极协助人民银行对网络微盘白拿、一元购买、比特币交易等金融活动的研究提出意见,协助有关职能部门完善监督措施,加强各种新型金融活动的监督。与人民银行合作控制比特币交易风险,与人民银行合作发布《关于防止轮流发行融资风险的公告》。与人民银行合作参加网络金融风险专业整备现场审计,派遣人员参加审计组等。[2018/4/23]
4、DelayedRBF:旧交易首次接受网络节点时,给定数量的块数后,旧交易仍未包装时,允许新交易无条件更换旧交易。
目前,BitcoinCore采用的是OPt-in-inRBF的方案,通过声明交易是可替换的形式,之后可以使用其他交易来替换这个交易。关于RBF的详细说明,请参考BitcoinCore。
https://bitcoincore.org/en/faq/optin_rbf/
RBF主要以0确认交易为对象,即更换存储池中的未确认交易,交易所在处理0确认交易时,如果没有正确处理交易相关状态,就会引起双花和假货的问题,具体的攻击手法如下
1、攻击者发送RBF交易,输出地址指向交易所和钱包,支付低额手续费,防止交易过早包装
2、在交易所搜索这笔0确认的交易后,攻击者立即发送交换交易,将输出地址变更为攻击者可控制的其他地址,交换以前发送给交易所和钱包的交易
3、由于交易所或钱包在对象0,确认交易的处理存在问题,没有验证交易是否为RBF交易和交易确认状态,直接在未确认的情况下进行汇款RBFFFFFF交易,交易所或钱包被假充值、双花、欺诈攻击和钱包攻击
攻击流程图如下:
目前,慢雾安全团队测试了市场上几个中心化的钱包,在一些钱包中发现了这样的问题,并将问题与相应的项目同步协助修复。
1、交易所和钱包应禁止以0确认的方式进入比特币的充值
2.如果需要进行0确认交易,必须检查该交易不能进行RBF交易。具体来说,交易单元中的金属单元字段值必须是金属单元。任意未确认交易中包含非0xfffff值的金属单元字段值必须是金属单元。
3、检查交易状态,检查比特币交易是否包装,是否达到相应的确认数(例如3)
4、钱包应显示相应的交易确认状态,防止欺诈攻击
5、慢雾安全队已经支持这次攻击的检查,钱包和交易所不知道自己的收款方式是否有问题,可以联系慢雾安全队进行检查。
by:yudan@慢雾安全队。
by:yudan@慢雾安全队。
标签:
账户抽象的动机、历史和分析。 账户抽象[AccountAbstraction]是以太网广场需要实现的技术方案,现阶段设计,实现账户抽象后,智能合同账户也可以自主开始交易,不需要依赖元交易的机制。 以太网坊的账户有外部账户和合同账户两种。外部地址是用户的公钥在哈希运算后取的20个字节,形成的。 0x76D8302F7D。
2/1/2021 7:17:32 PM基于Schnoor算法的多签名方案和钱包结构。 硬核警报建议有技术基础的学生使用。 最近,比特币的核心客户发表了新的大版本,这次发表主要带来了Schnor签名Taproot技术。Schnorrr优雅简洁,可以提高交易隐私,节省空间,实现多签名的签名算法。与传统ESDSA签名技术不同,技术和实现方式具有明显特点,目前广泛应用于不同公共链路的不同环节。
2/1/2021 7:16:56 PM比特币算法进化为Schnorr签名算法是进步吗? 历史车轮不断前进,技术进步从未停止过,具有里程碑意义的特币协定开始了技术升级。其协议中的技术升级,Schnor,Signature(施诺尔签名)和Taproot(树itcoin,Core0.21.0版本。 比特币的未来似乎面临着前所未有的光明,现在不仅有其容量,还有机会通过其功能超越其他块链。
2/1/2021 7:16:37 PM比特币RBF假冒风险分析。 前面的话。 加密钱包ZenGo在Ledger、BRD、UDEdge等主流加密货币钱包中发现了漏洞。该漏洞可能将未确认的交易计入用户的总馀额,此时攻击者可在交易确认前取消交易。攻击者利用比特币协议的费用代替了Replace-by-Fee功能。该功能可以通过支付更高的手续费来更换以前的交易。
2/1/2021 7:15:50 PM了解最受欢迎的zkSNARK方案:Groth16方案。 原文标题:了解最受欢迎的zkSNARK方案:零知识证明引论(3) 在之前的文章中,我们介绍了零知识证书的基础概念和构建zkSNARK的基本思想和方法。从本文开始,我们将逐一介绍目前最受欢迎的zkSNARK方案。文章旨在让读者了解这些方案的基本原理。
2/1/2021 7:15:29 PM如何开发易于使用的轻量级客户? 大约5年前,我们开始建立Trinity-以太坊网上的新型轻量级客户端。那时,Geth刚刚发表了第一版LES协议,我们有着远大的梦想。 远大的梦想往往被现实打倒。近年来,我们得到了一些教训 EVM计算基本上是沉重。 LES就像广阔的沙漠一样,客户是沙漠中渴望数据的旅客。 同步维护状态的难度太大。
2/1/2021 7:14:27 PM金色观察|获利盘退出加密迎血洗时,市场会迎来困境吗? 1月11日,持续上涨的加密市场迎来了血洗时刻。 2021年开年比特币迎来高涨,曾创下最高纪录,但上升趋势在11天后迎来挑战。截至11日14:11,根据金色财经数据,BTC短线下跌,打破34000美元关口,白天下跌幅度达到14.31%。
2/1/2021 7:14:15 PM