比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

DAPP:為什么 DApp 經常會遭遇隨機數攻擊?_DAP

Author:

Time:1900/1/1 0:00:00

9 月 14 日,一款名為“EOSPlay”的 DApp 游戲遭遇了新型隨機數攻擊,一共損失了數萬個 EOS。

或許很多人對「隨機數攻擊」這個詞已經司空見慣了,因為在 DApp 遭遇黑客攻擊的事件中,隨機數攻擊占了很大一部分,很多 DApp 的隨機數被黑客破解了。

你或許會問,隨機數不是隨機的嗎?隨機意味著不可預測,為什么還會被黑客破解呢?

這還得從隨機數說起。

隨機數可以分為真隨機數和偽隨機數。真隨機數需要同時滿足隨機性、不可預測性、不可重現性,而偽隨機數只需要滿足隨機性,或者是隨機性和不可預測性即可。

Coinbase周一收盤價跌破60美元,跌幅逾9%:金色財經報道,美國證券交易委員會起訴加密貨幣交易所幣安后引發加密貨幣市場波動,Coinbase股票也受到影響。據美股數據顯示,Coinbase周一收盤價跌至58.7美元,跌幅達到9.05%,創下6月內新低,當前市值也已降至137.7億美元。[2023/6/6 21:17:53]

真隨機數只存在于物理世界中,一般需要通過物理手段(包括量子過程)獲得,比如我們日常見到的拋硬幣、擲骰子,生成的隨機數就是真隨機數。但是,拋硬幣、擲骰子這種隨機數生成方法的缺點非常明顯,那就是耗時、耗力,而且也無法滿足現代的計算機世界對隨機數的需求。

Balanced新提案提議將BUSD加入Stability Fund,投票已開啟:1月14日消息,DeFi平臺Balanced在推特上表示,一項面向bBALN持有者的投票已經開啟。如果獲得批準,該提案將從BNB Chain中增加BUSD到Stability Fund,并降低IUSDC的最高限額。投票將在3天9小時后結束。[2023/1/14 11:12:15]

因為效率的緣故,現代的計算機軟件主要依賴偽隨機數。最早的偽隨機數生成器由 20 世紀最重要的數學家之一馮·諾依曼創造,通過一個確定的隨機數種子,由確定的算法生成偽隨機數序列。現在的主流計算機編程語言,默認的是將 1997 年發明的梅森旋轉算法作為生成偽隨機數的方法。

Watcher.Guru:幣安CEO趙長鵬推特粉絲突破700萬:金色財經報道,Watcher.Guru發推表示,幣安CEO趙長鵬推特粉絲突破700萬。[2022/10/3 18:37:55]

偽隨機數最大的缺陷是,只要種子不變,生成的偽隨機數序列也不會變。換句話說,只要你能拿到種子,你就可以破解隨機數。

計算機生成偽隨機數的過程,或多或少與這臺計算機的物理狀態或運算狀態有關。也就是說,同一套隨機數算法,不同的計算機,或是同一臺計算機在不同的時刻,生成的隨機數是不一樣的。

然而,這種傳統的計算機偽隨機數生成方法雖然足夠安全,卻并不適用于區塊鏈。區塊鏈是一個分布式的系統,同一個 DApp 在不同的節點上運行,采用的隨機數必須要一致,這樣才能讓各個節點進行驗證。所以,DApp 的隨機數來源,不能是運行這個 DApp 的計算機自動生成的,因為這樣的話,不同的節點計算機運行的結果就不一樣了。

Cellframe Network與穩定幣跨鏈橋Symbiosis達成合作:6月18日消息,Layer 1網絡Cellframe Network宣布與穩定幣跨鏈橋Symbiosis達成合作。通過此次合作,Cellframe Network將可橋接至以太坊、Polygon和其他區塊鏈,從而實現快速、無摩擦的跨鏈轉賬和兌換。[2022/6/18 4:36:05]

那么,區塊鏈上的 DApp 隨機數從哪里來呢?主要有以下三種方法:

第一種方法是通過可信第三方提供隨機數。比如說專門提供隨機數的網站 random.org,我們可以通過獨立于區塊鏈之外的 Oraclize 預言機為以太坊區塊鏈上的 DApp 獲取隨機數。當然,這種依賴可信第三方的方法有違區塊鏈去中心化的精神。

第二種方法是不同的參與者一起合作生成隨機數。比如以太坊區塊鏈上的 RANDAO,任何人都可以提交一個數字,RANDAO 將所有提交的數字集合作為種子,生成隨機數,其他 DApp 可以付費調取 RANDAO 生成的隨機數,這些費用會獎勵給那些提交了數字的用戶。因為以太坊的去中心化,你不知道別人提交了什么數字,所以要破解 RANDAO 的隨機數種子難度很大。

第三種方法是采集區塊鏈上的信息作為種子。這也是目前大部分 DApp 所采用的隨機數生成方法,缺陷是隨機數的種子“幾乎是”透明的。以本文開頭提到的 EOSPlay 為例子,這款游戲的隨機數采用的是未來某個區塊的 ID(哈希值)作為隨機數的種子。

那么,黑客是如何實現攻擊的呢?根據區塊鏈安全公司慢霧科技的分析,可能使用了以下的方法:

1、黑客為自己和項目方租用了大量的 CPU;2、黑客發起大量的延遲交易;3、由于以上兩點原因,導致 CPU 價格被拉高,從而導致其它用戶 CPU 不足;4、因為 CPU 不足的原因,其他用戶難以發送交易,黑客得以使用自己的交易占滿區塊;5、根據提前構造的交易內容,黑客可以成功預測出區塊哈希。

也就是說,雖然哈希算法不可逆,但是黑客可以通過控制輸入實現輸出的控制:控制區塊內的交易內容,從而控制區塊信息,進而控制區塊哈希值,最終達到預測開獎結果的目的。

最后,我們總結一下:

隨機數可以分為真隨機數和偽隨機數,真隨機數只存在于物理世界中,一般需要通過物理手段獲取。為了效率,計算機主要采用偽隨機數,然而由于區塊鏈的分布式特性,足夠安全的傳統計算機偽隨機數生成方法并不適用。大部分 DApp 采用的是收集區塊鏈上的信息作為偽隨機數的種子,而要想設計足夠安全的偽隨機數,難度非常大,這就是為什么很多 DApp 經常遭受隨機數攻擊的原因。

Tags:DAPPAPP區塊鏈DAPdapp幣怎么從錢包提到交易所dAppstore區塊鏈技術通俗講解舉例DAPEPE價格

比特幣行情
WEB:錯過傳統社交媒體投資機會?一文了解正在崛起的 Web3 社交版圖_Encointer Network

Web3 社交領域開始崛起,正在吸引主要的風險投資,并可能成為加密貨幣在全球達到 10 億用戶的催化劑!撰寫:Corbin Page編譯:TechFlow internWeb3 社交領域開始崛起.

1900/1/1 0:00:00
區塊鏈:向父母介紹區塊鏈的正確打開方式_Panda Girl

自從畢業開始工作,父母和朋友已經問了N次:你究竟是找了什么工作?區塊鏈是什么東西?有什么用?我怎么沒聽過,問別人也沒幾個聽過的,可千萬別搞這些有的沒的.

1900/1/1 0:00:00
NFT:根據游戲中玩家的互動模式 探究12種Web3游戲玩家類型_區塊鏈

原文來源:Medium原文作者:Vader ResearchWeb3 游戲允許在免許可的去中心化市場上交易游戲內置物品并賺取收益,這為參與者創造了投資機會.

1900/1/1 0:00:00
比特幣:貝萊德攜手 Coinbase 為機構提供加密貨幣服務_OIN

來源:智通財經網 智通財經APP獲悉,貝萊德(BLK.US)正與Coinbase(COIN.US)合作,以便為機構投資者管理和交易比特幣提供便利.

1900/1/1 0:00:00
ETH:金色觀察丨Bankless:以太坊合并 你需知道的10個問題_POW

文/David Hoffman Bankless聯合創始人 合并太讓人困惑! 讓我們從頭開始,一點點講述將要到來的加密貨幣歷史上最重要的事件之一.

1900/1/1 0:00:00
ETH:金色觀察|礦工分叉PowETH 業內作何評價?_Superpower Squad

經幾次延遲后,以太坊似乎終于將在2022年9月開啟合并進程。然而,伴隨著合并的到來,PoWETH的呼聲與爭議聲也越來越大.

1900/1/1 0:00:00
ads