免責聲明:本文旨在傳遞更多市場信息,不構成任何投資建議。文章僅代表作者觀點,不代表火星財經官方立場。
小編:記得關注哦
來源:Cobo錢包
撰文 |Cobo金庫大掌柜
上周(2020年6月3日),海外比特幣社區爆出了一個波及所有硬體錢包的新型攻擊形式——費用超付攻擊(Fee Attacks),這種攻擊僅限於隔離見證(SegWit)地址。發現這個攻擊的是來自英國的一位少年黑客Saleem Rashid,他也是第一個找到 Ledger 的嚴重漏洞並攻擊成功的黑客。
大掌柜和Cobo金庫產品技術團隊在攻擊爆出的當天就及時作出了反應,並提出了我們的解決方案。該解決方案將會在6月17日發布的最新固件升級包V1.2.0中覆蓋。
這篇文章會詳細說明費用超付攻擊的原理,以及Cobo金庫的對應解決方案。國內其他硬體錢包廠商可以參考我們的解決方案,儘快修復漏洞。
闡述具體的攻擊原理之前,先強調兩個點:
這個攻擊會波及所有硬體錢包的原因,不是硬體錢包本身的設計缺陷,而是由隔離見證(SegWit)的天然特性所決定的。
這個攻擊在理論上是可行的,但是實操中黑客大概率不會實施這個攻擊手段(敲重點,只是大概率不會實施,不代表不會實施)。因為攻擊成功後的BTC,很難直接落進黑客的口袋。
大家知道,硬體錢包是一個脫網設備,它依賴配套App構建交易(比如Ledger的Ledger Live,以及Trezor的網頁App),並且把待籤名交易通過USB/藍牙/二維碼發送到硬體錢包,然後用硬體錢包脫網保存的私鑰進行籤名。所有硬體錢包的基本運作原理都是如此。
▲ 硬體錢包的基本運作原理
如果你使用的是一個隔離見證(SegWit)地址,當你把待籤名交易從配套App發往硬體錢包進行籤名時,會有兩個由隔離見證(SegWit)的天然特性所決定的特點:
待籤名交易包含的所有UTXO不會帶上其前一筆交易的完整信息。也就是說,所有UTXO的真實餘額數據,硬體錢包是沒有能力做檢查的。
籤名過程中,會對每一個UTXO分別進行籤名。
基於這兩個隔離見證(SegWit)的特點,費用超付攻擊的具體攻擊路徑如下:
1. 被攻擊者的某一隔離見證地址有兩個UTXO,UTXO A的餘額是15 BTC,UTXO B的餘額是20 BTC。
2. 被攻擊者要發送一筆20 BTC的交易,手續費是0.000001 BTC。正常情況下的交易信息如下所示:
3. 攻擊者篡改了配套App,發送了第一筆篡改交易給硬體錢包籤名。這筆交易中,input 1來自於UTXO A,15 BTC,input 2來自於UTXO B,但不是20 BTC而是5.000001 BTC。此時由於隔離見證(SegWit)的天然特性,硬體錢包無法識別input 2是不合法的input(因為沒有UTXO B的前一筆交易的所有信息,從而無法判斷UTXO B的真實餘額),並完成了對input 1和input 2的分別籤名,並傳到被篡改的配套App。交易信息如下:
4. 被篡改的配套App彈出一個消息——籤名有誤,請重新用硬體錢包進行籤名。此時,被篡改配套App向硬體錢包發送了第二筆篡改交易。這筆交易中,input 3來自於UTXO A,0.000001 BTC,input 4來自於UTXO B,20 BTC。此時,input 3是一筆不合法的input,但是硬體錢包依舊無法識別,並分別對input 3和input 4進行了籤名,並傳到被篡改的配套App。(為方便敘述和區分,這裡把第二筆篡改交易的input序號順位為3,4)交易信息如下:
5. 被篡改的配套App將input 1和input 4這兩個合法的籤名合併,作為一筆新的交易發送了出去。交易信息如下:
6. 此時,用戶花費了UTXO A的15 BTC和UTXO B的20 BTC,向目標地址發送了20 BTC,消耗了15 BTC的手續費。
我們從攻擊路徑中可總結出,攻擊者實施費用超付攻擊的必要條件:兩筆篡改交易的output必須與攻擊者最終廣播交易的output保持一致,合法的兩筆input才能被合併成一筆合法交易,以此來實現費用超付攻擊。
但是,黑客要從這個攻擊中獲利,就變得非常困難。因為正常情況下,這多出來的15 BTC的手續費,會通過礦池分發到礦工的手裡。如果黑客要通過成功挖出一個塊來獨吞這15 BTC,需要進行以下操作:
黑客拿到籤完名的交易,不發送給mempool,自己掌握這個交易並嘗試挖出一個區塊。
假設黑客使用的是螞蟻 S19 Pro礦機,每臺礦機的算力是 110 TH/s,當前全網算力是105 EH/s。
由於受害者可能會察覺問題,所以假定黑客要在24小時內挖出這個區塊並將手續費15 BTC的這個交易打包進去。那麼,黑客需要購買約6600臺螞蟻 S19 Pro礦機(官方售價是20770元/臺)。
大家可以自行計算這裡的攻擊成本。
如果考慮黑客和大礦工甚至礦池合謀,攻擊成本會有所降低,但依舊非常高。何況24小時是個非常非常保守的估計,可能大部分用戶幾個小時甚至一個小時內就會發現問題。
海外大神級的硬體黑客LazyNinja(也是Cobo金庫的內測用戶之一),提出了另一種攻擊路徑。簡單來說就是黑客握著高手續費的交易不進mempool,然後向受害者勒索(轉為Ransom Attack)。同時,黑客會監控mempool,一旦發現受害者自己用同樣的UTXO再發一筆交易的話,就立即把自己手裡的交易發到mempool,礦工會優先選擇巨額手續費的交易,從而讓用戶遭受損失。這樣的攻擊路徑會降低一定的成本,但依舊會比較難以實施。
針對這個攻擊,Trezor在三個月前就已開始調研,直至最近發布了新固件,其解決方案是:所有隔離見證(SegWit)地址的交易,全部附帶上對應UTXO的前一筆交易的所有信息。但這樣的方案又引出兩個問題:
隔離見證(SegWit)的優勢被削弱了。
Trezor硬體錢包現在幾乎與所有第三方錢包的適配都出了問題(這也是Trezor在這次事件中廣受詬病的一點)。
針對這個攻擊的特性,Cobo金庫使用了另一種解決方案:
前面提到,黑客的攻擊路徑中,必須要向硬體錢包發送兩筆output完全相同的交易。在Cobo金庫硬體錢包端,可以記錄用戶的籤名記錄,然後直接禁止用戶籤第二筆output完全相同的交易並給出相關提醒。如果用戶由於種種原因,的確是想重新籤名一筆交易,這種情況下,input和output和前一筆交易應是完全一致的,說明未發生手續費攻擊,Cobo金庫則會放行這筆籤名。
這個解決方案最大的優勢在於,各個第三方錢包的兼容性不會有任何問題。當然,如果第三方錢包(比如Electrum)未來採用Trezor的解決方案,Cobo金庫也會採用完全一樣的方案。
從一個更高的維度來看這個解決方案,一定程度上,Cobo金庫扮演了一個交易籤名風控的角色,這也可能是硬體錢包未來的一個重要發展方向。
參考連結:
[1]https://medium.com/cobo-vault/a-potential-solution-to-fee-attacks-cfb90defe1ce
[2]https://blog.trezor.io/details-of-firmware-updates-for-trezor-one-version-1-9-1-and-trezor-model-t-version-2-3-1-1eba8f60f2dd
[3]https://twitter.com/FreedomIsntSafe/status/1268572922911887360