Bitcoin chi tiêu gấp đôi một tính năng mạng bất khả xâm phạm, hợp pháp hay không

Chi tiêu gấp đôi là một vấn đề đã tồn tại kể từ khi Bitcoin (BTC) ra đời và theo một báo cáo gần đây từ ZenGo, nó vẫn tồn tại trên các ví tiền điện tử như BRD, Ledger Live và Edge.

Mặc dù các công ty này đã cập nhật các dịch vụ sản phẩm của họ kể từ khi ZenGo chỉ ra sự khác biệt này, nhưng có thể suy đoán rằng hàng triệu người dùng tiền điện tử có thể đã tiếp xúc với cách khai thác cụ thể này, được gọi là BigSpender. Ledger, một trong những công ty ví tiền điện tử bị ảnh hưởng, thậm chí còn tuyên bố rằng lỗ hổng này chỉ là một lỗ hổng trong trải nghiệm người dùng.

Chi tiêu gấp đôi là gì?

Chi tiêu kép là một lỗ hổng phát sinh trên các nền tảng tiền mặt kỹ thuật số, trong đó một mã thông báo kỹ thuật số duy nhất có thể được chi tiêu nhiều lần. Mặc dù đây không phải là điểm yếu của riêng blockchain và tiền điện tử, nhưng nó trở thành một vấn đề rất quan trọng đối với người dùng tiền điện tử. Với tiền tệ tập trung, vấn đề này được giải quyết bằng cách nhờ một bên thứ ba đáng tin cậy để xác minh xem mã thông báo đã được sử dụng chưa.

Với các loại tiền tệ phi tập trung như Bitcoin, điểm hấp dẫn duy nhất là họ cung cấp một hệ thống không liên kết với bất kỳ ngân hàng trung ương nào, với vấn đề chi tiêu gấp đôi đang cố gắng giải quyết bằng cách có nhiều máy chủ lưu trữ các bản sao cập nhật của công chúng. sổ cái giao dịch.

Rào cản mà cách tiếp cận này phải đối mặt là sau khi được phát sóng, các giao dịch sẽ đến từng máy chủ vào những thời điểm hơi khác nhau và nếu hai giao dịch cố gắng sử dụng cùng một mã thông báo, mỗi máy chủ sẽ coi giao dịch đầu tiên là hợp lệ và làm mất hiệu lực của giao dịch thứ hai. Nếu hai máy chủ này không đồng ý thì sẽ không có cách nào để điều chỉnh số dư thực, vì quan sát của mỗi máy chủ được coi là hợp lệ. Cointelegraph đã nói về vấn đề này với Bilal Hammoud, người sáng lập và Giám đốc điều hành của NDAX – một sàn giao dịch tiền điện tử có trụ sở tại Canada – người nói rằng mặc dù các vấn đề lặp lại, nhưng Bitcoin có một hệ thống phòng ngừa:

“Mạng bitcoin đã sử dụng nhiều biện pháp để ngăn chặn các cuộc tấn công như thời gian để tạo ra 1 khối trung bình khoảng 10 phút và đề xuất xác nhận 6 khiến gần như không thể đảo ngược giao dịch trừ khi kẻ tấn công sở hữu một sức mạnh băm mạng đáng kể.”

Cách thức hợp pháp và gian lận

Có vô số cách mà người dùng tiền điện tử hoặc một tổ chức có thể chi tiêu gấp đôi. Mặc dù một số phương pháp này là hợp pháp, nhưng không có gì ngạc nhiên khi hầu hết là lừa đảo. Một số kỹ thuật chi tiêu gấp đôi nổi tiếng là tấn công chủng tộc, tấn công Finney, tấn công Vector76, cuộc tấn công BigSpender nói trên và mối đe dọa chính đối với mạng Bitcoin, các cuộc tấn công 51%.

Cuộc tấn công chủng tộc – còn được gọi là cuộc tấn công thay thế theo phí, hoặc RBF, – xảy ra khi người bán hoặc bên nhận chấp nhận một giao dịch mà không có xác nhận nào. Đây là cách chi tiêu gấp đôi phổ biến nhất, trong đó người dùng gửi giao dịch đến người bán và khi giao dịch đã được chấp nhận và hàng hóa được giao, kẻ tấn công sẽ gửi giao dịch xung đột đến một địa chỉ khác với phí giao dịch cao hơn, buộc nó phải xác thực trước giao dịch ban đầu. Về kiểu tấn công này, Hammoud nhận xét:

“Những loại giao dịch này không phải lúc nào cũng lừa đảo. Các sàn giao dịch như NDAX thường thực hiện các giao dịch này khi họ kiểm soát nút Bitcoin bằng một phương pháp được gọi là RBF (thay thế bằng phí) để đảo ngược một giao dịch, theo đó phí giao dịch thấp và họ cần giao dịch diễn ra nhanh hơn hoặc nếu người dùng trao đổi được gửi đến sai địa chỉ và trao đổi cố gắng đảo ngược giao dịch. ”

Tuy nhiên, một cuộc tấn công Finney là một cuộc chi tiêu gấp đôi gian lận chủ yếu dựa vào tỷ lệ băm của mạng và yêu cầu sự tham gia của người khai thác. Loại tấn công này cực kỳ hiếm trong kịch bản hiện tại, vì nó yêu cầu tỷ lệ băm của Bitcoin phải cực kỳ thấp. Một cuộc tấn công Vector76 cũng là một cuộc tấn công hiếm hoi là sự kết hợp của các cuộc tấn công Finney và chủng tộc.

Mối đe dọa chính đối với mạng Bitcoin là cuộc tấn công 51%, có thể xảy ra nếu một nhóm thợ đào kiểm soát hơn 51% sức mạnh băm của mạng đồng ý tổ chức lại giao dịch. Điều này cho phép những kẻ tấn công ngăn chặn các giao dịch mới được xác nhận bằng cách làm gián đoạn thanh toán giữa một số hoặc thậm chí tất cả người dùng trên mạng đó. Cuộc tấn công này cũng làm cho nó có thể đảo ngược các giao dịch đã được hoàn thành, do đó góp phần vào vấn đề chi tiêu gấp đôi.

Một trong những nhánh của Bitcoin, Bitcoin Gold (BTG), đã bị tấn công như vậy hai lần, vào năm 2018 và 2020. Về kiểu tấn công và những kẻ tấn công cụ thể này, Hammoud tuyên bố rằng Bitcoin khó có thể bị ảnh hưởng bởi nó: “Kiểu tấn công này rất khó xảy ra vì nó đe dọa đến tính toàn vẹn của toàn bộ mạng, một cuộc tấn công như vậy chỉ có thể được phối hợp nếu các thợ đào quyết định phá hủy toàn bộ giá trị bitcoin khiến nó trở nên vô dụng ”.

Các giải pháp trong tiền điện tử

Cách mà các công ty / ví tiền điện tử phát hiện nỗ lực chi tiêu gấp đôi là thông qua việc sử dụng các hàm băm. Hàm băm được tạo ra bằng cách sử dụng một thuật toán và rất cần thiết để quản lý blockchain trong tiền điện tử, vì những chuỗi số dài này đóng vai trò là bằng chứng công việc. Khi một tập dữ liệu nhất định được chạy thông qua một hàm băm, chỉ có thể có một hàm băm duy nhất được tạo. Bất kỳ thay đổi nhỏ nào đối với dữ liệu sẽ tạo ra một hàm băm hoàn toàn không thể nhận biết được khi so sánh với hàm được tạo ban đầu. Các thuật toán được sử dụng để tạo các hàm băm như vậy được gọi là thuật toán đồng thuận.

Bất chấp việc sử dụng các thuật toán đồng thuận này trên các mạng blockchain, đã có một số trường hợp chi tiêu gấp đôi đã được phát hiện trong đó người dùng hoặc bản thân các công ty bị ảnh hưởng. Gregory Klumov, người sáng lập và Giám đốc điều hành của Stasis – một nhà phát hành đồng tiền ổn định được hỗ trợ bởi đồng euro – đã nói chuyện với Cointelegraph về lý do tại sao vấn đề vẫn đang tiếp diễn:

“Có những rủi ro tập trung và phi tập trung. Trong trường hợp đầu tiên, có một số điểm không thành công khi hack vào đó bạn có thể chiếm quyền sở hữu hoặc lấy tài sản hoặc bất cứ thứ gì khác. Trong trường hợp của một mạng phi tập trung, hầu hết nó phải được kiểm soát để thực hiện các cuộc tấn công. Không có giải pháp thay thế, vì vậy các cuộc tranh luận đang diễn ra, mô hình nào sẽ bền vững về lâu dài ”.

Tuy nhiên, một số người tin rằng đây là một lỗ hổng cố hữu trong hệ thống. Trong khi nói chuyện với Cointelegraph, Evgen Verzun, người sáng lập nền tảng đám mây phi tập trung Hypersphere, tiết lộ: “Đây là một trong những sai sót cơ bản, vì vậy những người tạo hệ thống phải luôn nhớ về nó và thiết kế thuật toán đồng thuận của họ theo cách để tránh nó.” Tuy nhiên, Hammoud có quan điểm tự do hơn về bản chất của việc chi tiêu gấp đôi, khiến những kẻ tấn công phải chịu trách nhiệm cao hơn chính hệ thống:

“Việc chi tiêu gấp đôi không nhất thiết là một vấn đề hoặc một sai sót trong thiết kế. Phần lớn người dùng sử dụng chi tiêu gấp đôi vì những lý do chính đáng. […] Thật không may, một số tác nhân xấu lợi dụng điều đó và chỉ cần tuân theo các quy tắc ở trên như chờ các xác nhận cần thiết và vô hiệu hóa các kết nối đến một nút người bán có thể đơn giản ngăn chặn 95% các cuộc tấn công này. “

Các công ty ví tiền điện tử có thể làm gì?

Vì ví tiền điện tử có thể chỉ được coi là một cánh cửa dẫn đến chuỗi khối hoặc một giao diện truy cập, nên chỉ có những nỗ lực hạn chế có thể được thực hiện để loại bỏ rủi ro chi tiêu gấp đôi, theo Hammoud, người nói rằng ví có thể thực hiện các quy tắc cấm đặt mức thấp phí giao dịch hoặc thiết lập hệ thống sổ cái để giữ tiền. Anh ấy nói thêm: “Nhưng thật không may, không có ví nào có thể chống lại được vì kẻ tấn công có thể chỉ cần chạy nút của riêng họ hoặc trích xuất hạt giống của họ từ các nhà cung cấp ví và sử dụng bên thứ ba để thực hiện cuộc tấn công”.

Vì cuộc thảo luận hiện tại của thị trấn là cuộc tấn công RBF gần đây nhằm vào các công ty ví tiền điện tử khác nhau được đặt tên là “BigSpender”, nên có những hành động mà người bán, người dùng và công ty có thể thực hiện để giảm nguy cơ xảy ra các cuộc tấn công này trong tương lai. Hammoud lặp lại các đề xuất được đưa ra bởi Verzun, lưu ý: “Một biện pháp khác cũng sẽ là thực hiện một giai đoạn hạ nhiệt trong đó nhà cung cấp ví ngăn người dùng xuất hạt giống riêng của họ trong vòng 20 phút kể từ khi gửi giao dịch hoặc thanh toán,” nói thêm rằng:

“Người bán và người dùng có thể ngăn chặn các cuộc tấn công này bằng cách chờ 6 xác nhận trên blockchain. Một số thương nhân và công ty cũng có thể chấp nhận ít hơn 6 xác nhận, bằng cách tắt kết nối mạng đến và đảm bảo rằng chúng được kết nối với một nút được thiết lập tốt ”.

Mặc dù các giải pháp này là đơn giản về mặt khái niệm, nhưng chúng thường cực kỳ khó thực hiện. Giờ đây, các quy trình đổi mới bảo mật của các công ty ví, người bán và người dùng như nhau để xác định khả năng xảy ra những thất bại chi tiêu gấp đôi này trong tương lai. Những đổi mới này nên được ưu tiên cho tất cả các bên liên quan, xét về tiền tệ và quan trọng hơn là rủi ro danh tiếng ảnh hưởng đến các thương gia và cuối cùng là toàn bộ ngành công nghiệp blockchain.