加密數(shù)字貨幣存在嚴(yán)重的安全漏洞將面臨潛在的Fake Stake攻擊

去中心化系統(tǒng)實(shí)驗(yàn)室（Decentralized Systems Lab）在最新的研究中發(fā)現(xiàn)，很多以權(quán)益證明為基礎(chǔ)的加密數(shù)字貨幣都存在嚴(yán)重的安全漏洞。

去中心化系統(tǒng)實(shí)驗(yàn)室隸屬伊利諾伊大學(xué)香檳分校，它在一項(xiàng)新研究中發(fā)現(xiàn)了多個(gè)針對(duì)基于權(quán)益證明的加密數(shù)字貨幣的攻擊向量。根據(jù)報(bào)告顯示，許多安全威脅源于以權(quán)益證明為基礎(chǔ)的加密數(shù)字貨幣沿用了比特幣的設(shè)計(jì)。

據(jù)悉，許多加密數(shù)字貨幣實(shí)際上都是比特幣代碼庫(kù)的分叉，或者至少是它的衍生，它們以比特幣代碼庫(kù)為主干嫁接了權(quán)益證明。然而，由于這些加密數(shù)字貨幣在參考設(shè)計(jì)理念時(shí)的操作不夠安全，因此它們面臨著比特幣代碼庫(kù)中并不存在的新漏洞。

此次研究發(fā)現(xiàn)的漏洞會(huì)對(duì)第三個(gè)版本的權(quán)益證明產(chǎn)生影響，攻擊者可以利用這些漏洞過(guò)度占用節(jié)點(diǎn)資源，進(jìn)而造成節(jié)點(diǎn)崩潰。

報(bào)告將新發(fā)現(xiàn)的漏洞命名為Fake Stake。從本質(zhì)上來(lái)說(shuō)，這種類(lèi)型的攻擊之所以能生效是因?yàn)榈谌齻€(gè)版本的權(quán)益證明在調(diào)配磁盤(pán)或RAM等寶貴的資源前無(wú)法充分驗(yàn)證網(wǎng)絡(luò)數(shù)據(jù)。結(jié)果，并沒(méi)有擁有太多權(quán)益（甚或完全沒(méi)有權(quán)益）的攻擊者就可以利用虛假數(shù)據(jù)過(guò)度占用磁盤(pán)或RAM并造成攻擊對(duì)象節(jié)點(diǎn)的崩潰。報(bào)告進(jìn)一步指出，所有基于UTXO和最長(zhǎng)鏈權(quán)益證明的加密數(shù)字貨幣都很容易淪為攻擊目標(biāo)。

目前，研究已經(jīng)發(fā)現(xiàn)了兩種版本的Fake Stake攻擊，它們可以影響不同種類(lèi)的加密數(shù)字貨幣。其中一種利用節(jié)點(diǎn)無(wú)法單獨(dú)通過(guò)區(qū)塊頭確定有效權(quán)益的特性造成RAM或磁盤(pán)的過(guò)度占用；第二種則涉及加密數(shù)字貨幣的合法權(quán)益，具體來(lái)說(shuō)，受到攻擊的加密數(shù)字貨幣會(huì)被多次轉(zhuǎn)移，但此前用于權(quán)益證明的數(shù)據(jù)仍然繼續(xù)使用。