区块链:注意防范重放攻击！PoC2+硬分叉升级的风险提示

什么是重放攻击？

重放攻击是计算机网络中常见而古老的攻击手段。在区块链中，重放攻击特指在硬分叉中，攻击者将一条链上的交易拿到另一条链上“重放”，从而获取不正当利益的攻击手段。这毕竟是一个技术概念，小白可能不容易理解，为了解释清楚，我们用一个真实案例来说明重放攻击具体是如何实施的。这个真实案例出自大名鼎鼎的以太坊TheDAO分叉事件。

TheDAO是以太坊上发起的一个众筹项目，它运行在智能合约上。由于智能合约存在某种漏洞，黑客转走了合约内管理的价值数千万美元的以太币。为了挽回损失，以Vitalik为首的大部分社区意见支持分叉以实现交易回滚，于是通过硬分叉形式发起了一条新链。然而另一部分社区意见则认为不应该回滚，仍旧维护原有的区块链。这导致以太坊分裂成新链和原链两条不同的区块链。

那么重放攻击又是怎样实施的呢？我们假设小明在分叉前持有500个ETH。分叉以后，小明的地址下就同时持有500个ETH和500个ETC，因为这个A地址在两条链上都是存在的。由于小明是坚定的分叉支持者，因此小明只看好ETH未来的发展，觉得ETC肯定要归零。此时小刚找到小明，提议以低价购买小明手中的ETC。小明便将手中的500个ETC全部转账到了小刚的地址。

MetisDAO：注意到持续的 RPC 问题，开发团队正在修复:8月6日消息，以太坊扩容解决方案 MetisDAO 发推称注意到持续的 RPC 问题，目前开发团队正在努力修复。此前有用户称，Metis网络已54分钟没有出块。[2022/8/6 12:06:25]

前面听起来没什么不对劲吧，然而小明没有想到的是，小刚反手就把这笔ETC的转账交易发到了ETH的网络上。由于ETH、ETC是分叉的产物，因此两者交易结构、密码学体系都是一致的，ETC链上的交易在ETH链上也一样可被识别，因此这笔交易就会被验证上链，最终的结果是ETH链上的A地址也转出了500个ETH到B地址去。小刚假意低价收购ETC，却成功取了小明所有的ETH，小明自然是亏大发了！

如何防范重放攻击？

我们可以看到，小刚问小明收购ETC这个行为，本身没有问题；小明将手中的ETC转账给小刚这个行为，也没有任何问题。真正出问题的地方在于，由于ETH和ETC两条链使用了完全一致的交易结构和密码学体系，导致在ETC上有效的交易在ETH上也同样有效。这就给了攻击者可乘之机。攻击者可以将ETC上的一笔有效的交易“重放”到ETH的链上，仍可形成一笔有效的交易，然而这笔被重放的交易并不是交易者本人的真实意愿，因此容易被攻击者利用而造成资产损失。

印度国家支付公司澄清：没有注意到统一支付接口使用任何加密交易平台:4月8日消息，印度国家支付公司（NPCI）最新发布声明，其中指出：我们注意到最近有媒体报道一些加密货币交易平台将使用统一支付接口（UPI）来购买加密货币，印度国家支付公司特此澄清，目前没有注意到统一支付接口使用任何加密货币交易平台。虽然印度国家支付公司在声明中没有明确提到 Coinbase，但 Coinbase 确实已经表示将在印度推出加密交易服务并且允许客户使用统一支付接口购买加密货币，印度国家支付公司本次做出澄清很可能意味着 Coinbase 在印度的业务将会受阻。

此外，印度储备银行一再警告不要使用加密货币，因此该国金融机构和银行对提供任何相关服务持谨慎态度。据悉，相关声明发布后，Coinbase在其官方支持页面上告知用户暂时无法提供基于印度统一支付接口的交易服务，但随后该通知被撤下。[2022/4/8 14:12:20]

大家可能会有一个疑问：那岂不是在分叉后的链之间，比如ETH和ETC之间、BTC和BCH之间，做的所有交易都是有可能被“重放”的？事实上，重放攻击的实施是需要一系列严苛条件的。只有在刚分叉完毕的一段时间内，两条链才能够保持共享几乎相同的链上数据的状态，最容易发生重放攻击；一旦运行一段时间，两条链上分别有了新的数据输入，将一条链的交易重放到另一条链的可行性就大大减弱了。

动态 | 日本加密交易所相继出现IDN攻击 提醒用户注意密码被盗:据Coinpost消息，近日以日本加密货币交易所为目标的钓鱼欺诈事件频出，一些诱导和非法广告伪装成日本国内的交易所进行IDN攻击。GMO Coin和remixpoint提醒用户，小心非法广告取用户交易所ID及密码等重要信息。[2019/3/11]

从防范重放攻击的角度，我们可以总结一些规律。首先，大家要意识到，重放交易本身不是一种Bug，并不能直接窃取您的资产，重放攻击一定是配合或结合其他恶意行为进行的。就好像我们刚才提到的小明卖ETC案例中，一定是有小刚这样的角色实施了“假意低价收购ETC、实则图谋ETH”的欺诈行为。如果您在分叉之后的一段时间内保持警惕，时刻意识到您在新链上的交易有可能被重放到原链，就可以杜绝绝大多数与之相关的欺诈行为。

我们介绍两种具体的防范手段。第一种是在分叉后购买极少量“新鲜的币”到您的地址内。所谓“新鲜的币”是指那些在分叉高度以后挖矿产出的币，这些币在另一条链上并不存在，因而当交易的input引用到它们时，这笔交易就不可能被另一条链所验证。第二种是在分叉后将您所有地址内的币归结到一个新生成的地址。这也就是所谓的“腾笼换鸟”，可以减少攻击者在另一条链重放交易的可行性；如果您按顺序结合使用两种方法，基本可以免除遭受重放攻击的可能性。

动态 | 电报群出现假冒BM的用户 社区成员需注意:据 EOS Cannon 的 Bean 透露，今日电报群中出现一个假冒 BM 的用户，提出要捐赠给 EOS 社区项目以及支持推广。BM 本人的电报用户名为 @daniellarimer，请社区成员注意甄别。[2018/12/19]

Lava团队关于分叉期间的风险提示和相关建议

首先，我们特别提醒，本次PoC2+升级使用硬分叉方式，有可能形成两条链，即一条升级协议后的“新链”、一条仍运行旧协议的“原链”。这是区块链的特性所致，只要原有的协议有算力维护，那么原链也可以保留下来。Lava技术团队声明，升级完成后我们不会对运行旧协议的原链进行任何维护和开发工作。

因此，我们首先建议社区用户务必在分叉前更新您手中的所有全节点或钱包软件版本。您可以前往官网下载最新版本的软件，并在升级指南页面检查您的软件版本是否为最新。如果您没有及时更新，仍在使用旧版本的钱包，可能会造成混淆和误操作。

邓迪：新入局区块链的企业应注意商业模式可行性与合规性:近日，太一云集团创始人兼董事长邓迪表示，新进入的区块链企业应该注意商业模式的可行性和合规性。真正的区块链企业应该是综合运用区块链思想和区块链技术来推动传统产业的变革。区块链3.0，交易速度将成为重要指标，分片，侧链、闪电网络等技术将普遍作为标配，还有就是跨链技术，和去中心化交易所技术，其落地最大的难点，还是商业模式设计和社会认知。在国内更看好不涉及发币的领域和与实体经济结合的领域先发展起来，因为这符合我们国家的政策。[2018/4/9]

其次，我们建议您在没有把握的情况下，分叉后短期内谨慎与第三方进行转账活动。分叉后可能有人提出收购您在原链的LV资产，您需要特别意识到交易存在被重放的风险。

Lava技术团队可能计划在分叉完成后，向所有持有LV余额较大的地址转账少量金额的“新鲜LV”，以减少攻击者实施重放攻击的可行性。我们建议所有持有大额LV资产的用户，在接收“新鲜LV”转账后，将持有的LV归集到一个新的地址。

教学：如何做归集交易

归集交易就是将您钱包内分散在各个地址下的资金统一发送到一个地址下的交易。该地址应当是一个由您的钱包控制的、最好是没有使用过的地址。在分叉后进行一次资金归集，能够减小被重放攻击的可能性。

如果您使用带有界面的钱包，例如轻钱包、GUI钱包：

此处以GUI钱包为例，其他带有界面的钱包的操作方法类似。在“接收”界面点击“请求付款”，钱包会自动展示一个收款地址，如下图所示。

复制该地址，前往“发送”界面，将钱包内所有资金发送至该地址即可。您可以预先浏览您的钱包余额并填写需要发送的资金数额，或者在发送交易时直接勾选“发送全部余额”以保证所有余额都得到归集。

如果您使用全节点钱包：·使用getbalance查看钱包内的总余额；·使用getnewaddress生成一个新地址；·使用sendtoaddress将钱包内的所有余额转账到新地址内。注意：要考虑留出交易手续费，因此可以在转账之前先设置settxfee0.001，然后将剩余余额通过sendtoaddress转入归集地址。

Lava官网链接：www.lavatech.orgGithub：https://www.github.com/lavaio

标签：ETCETH区块链OIN以太经典币etc局吗安全吗ethereum和erc20的地址一样吗币换天下区块链Pipa Coin

欧易okex官网热门资讯