去中心化系统实验室(Decentralized Systems Lab)在最新的研究中发现,很多以权益证明为基础的加密数字货币都存在严重的安全漏洞。
去中心化系统实验室隶属伊利诺伊大学香槟分校,它在一项新研究中发现了多个针对基于权益证明的加密数字货币的攻击向量。根据报告显示,许多安全威胁源于以权益证明为基础的加密数字货币沿用了比特币的设计。
据悉,许多加密数字货币实际上都是比特币代码库的分叉,或者至少是它的衍生,它们以比特币代码库为主干嫁接了权益证明。然而,由于这些加密数字货币在参考设计理念时的操作不够安全,因此它们面临着比特币代码库中并不存在的新漏洞。
此次研究发现的漏洞会对第三个版本的权益证明产生影响,攻击者可以利用这些漏洞过度占用节点资源,进而造成节点崩溃。
报告将新发现的漏洞命名为Fake Stake。从本质上来说,这种类型的攻击之所以能生效是因为第三个版本的权益证明在调配磁盘或RAM等宝贵的资源前无法充分验证网络数据。结果,并没有拥有太多权益(甚或完全没有权益)的攻击者就可以利用虚假数据过度占用磁盘或RAM并造成攻击对象节点的崩溃。报告进一步指出,所有基于UTXO和最长链权益证明的加密数字货币都很容易沦为攻击目标。
目前,研究已经发现了两种版本的Fake Stake攻击,它们可以影响不同种类的加密数字货币。其中一种利用节点无法单独通过区块头确定有效权益的特性造成RAM或磁盘的过度占用;第二种则涉及加密数字货币的合法权益,具体来说,受到攻击的加密数字货币会被多次转移,但此前用于权益证明的数据仍然继续使用。