發現以太坊漏洞

『壹』 你都知道哪些空手套白狼的事情

原來看過下面這個空手套白狼的思維，雖然不是真事兒吧，但是還是感覺空手套白狼的思維好牛批。。

爹對兒子說，我想給你找個媳婦。
兒子說，可我願意自己找！
爹說，但這個女孩子是比爾蓋茨的女兒！
兒子說，要是這樣，可以。
然後他爹找到比爾蓋茨，說:我給你女兒找了一個老公。
比爾蓋茨說:不行，我女兒還小！
爹說:可是這個小夥子是世界銀行的副總裁！
比爾蓋茨說:啊，這樣，行！
最後，爹找到了世界銀行的總裁，說:我給你推薦一個副總裁！
總裁說:可是我有太多副總裁了，多餘了！
爹說:可是這個小夥子是比爾蓋茨的女婿！
總裁說:這樣呀，行。

『貳』 幣圈史上最大盜竊案，6.11億美元加密幣被盜，黑客是如何作案的

雖然加密貨幣一直以來都以其安全性作為最大的宣傳點，但顯然這一次黑客的行為已經完完全全把這種所謂的安全變成了笑柄。之所以設有層層關卡的貨幣仍然會發生失竊，與黑客的作案方式有著很大的關系。具體如下：

1.不同的區塊鏈之間試圖進行合作時更容易被黑客攻破；

2.黑客同時對多個區塊鏈的攻擊讓它們無法承受；

3.在完成盜竊後黑客迅速把已有的加密貨幣進行了轉移。

在黑客的操作下相關的公司承受了巨額的損失，顯然他們還是低估了黑客對於加密貨幣的威脅。通過後續公司負責人嘗試與黑客進行溝通能夠知道，他們對於已經損失的貨幣已經無力追回。這個教訓也能夠讓人們更加看清加密貨幣的本質，接下來人們的投資行為也會更加謹慎。

雖然在設計“跨鏈協議”時他們就把安全性放在了首位，但依然不足以阻止黑客的為所欲為。這種攻擊事實上一直以來都存在，而且損失的貨幣金額也絕不在少數。如果無法解決這一系列的問題，那麼加密貨幣所謂的安全性就只是一紙空談。

你還知道哪些黑客攻擊加密貨幣的案例呢？

『叄』 以太坊區塊鏈ETH目前存在哪些問題

以太坊區塊鏈目前暴露出三大問題，長時間以來其創始人Vitalik Buterin一直無力解讀。第一是以太坊區塊鏈整體很低的性能和TPS；第二是資源不隔離，CryptoKitties虛擬貓咪的事件，一度占據了整個以太坊 20% 的流量，直接造成以太坊網路用戶無法展開及時的交易，就是資源不隔離最大的痛點；第三個問題在於以太坊治理結構的體現，區塊鏈作為去中心化的分布式賬本，以太坊過去以來，創始人團隊主導了其網路發展，過於中心化的治理模式，讓目前的以太坊出現了ETH、ETC、ETF等分叉，以太坊社區目前進入四分五裂的治理狀態。而以太坊網路目前出現的各種弊病，在「aelf」創始人與CEO馬昊伯看來，這是無法接受的。於是，「aelf」定位，就是為對標以太坊的下一代去中心化底層計算平台，重點解決目前以太坊存在的性能不足、資源不隔離、治理結構三方面的問題而誕生的。

『肆』 通過漏洞買以太坊貨幣會坐牢嗎

通過系統漏洞去購買，如果牟利，可能會構成犯罪【摘要】
通過漏洞買以太坊貨幣會坐牢嗎【提問】
您好，您的問題我已經看到了，正在整理答案，請稍等一會兒哦~【回答】
請問漏洞買以太坊貨幣會怎麼樣【提問】
是以市場價購買的嗎？【回答】
我不清楚也不懂，朋友說的【提問】
通過漏洞買以太坊貨幣會坐牢嗎【提問】
整理好了嗎【提問】
通過系統漏洞去購買，如果牟利，可能會構成犯罪【回答】
沒有提現怎麼辦【提問】
這就需要看這個事兒會不會被有人報警，警察能夠查到你們【回答】
如果沒有提現，把贓款贓物還回去，有可能會不承擔刑事責任【回答】
這樣的情況對方會上報司法部門嗎，而且是在不知情的情況下，沒有提現，還倒貼錢了怎麼辦，怎麼可以退回，帳號登不上去了【提問】
至於你們怎麼弄出來的，我不太清楚，所以說我也沒辦法告訴你該怎麼弄回去。【回答】
計算機方面的犯罪主要看造成的損失大小【回答】
如果你能把這個損失降低，那麼承擔的刑事責任就會比較低或者免除【回答】

『伍』 以太坊存在的問題

1．擴展性不足：

以太坊社區的主要開發人員和研究人員始終認為區塊鏈技術要實現大規模採用，可擴展性是區塊鏈應用程序需要解決的唯一最重要的關鍵。

以太坊的底層設計，最大的問題是以太坊只有一條鏈，沒有側鏈，它把所有的程序對等的跑在全球所有節點的礦機上。這樣一個很耗資源的程序，會導致問題越來越嚴重。

2．合約程序漏洞，無法抵禦DDOS攻擊

據相關研究表明，在基於以太坊的近100萬個智能合約上，發現有34,200(約3%)個含有安全漏洞，將允許黑客竊取ETH、凍結資產或刪除合約。這幾年，以太坊面對合約程序漏洞和DDOS攻擊的問題，也一直無法找到很好的解決辦法。（更好用的數字貨幣交易平台「幣匯」）

3.對於ICO泡沫和項目方砸盤

目前的ETH下跌，很大程度上來自於項目方的砸盤套現，這個問題可以在ICO代幣融資上進行規則限制，不能像現在這樣毫無成本的就能發一個幣，而且還沒有任何監督懲罰機制。任何事情都需要有一套合理的演進規則，大家按規則辦事，所謂無規矩不成方圓。在規則的基礎上，各類ICO項目有效監督，有序進出，才是一個正常的市場，這樣才可能維系著代幣生態的持續、穩定發展。

4.智能合約費用過高

在以太坊上現在還是POW的挖礦模式，交易是有手續費的，用來激勵礦工來處理交易和保護網路，不同的是以太坊是以「gas」的形式來收費的。

在以太坊協議中規定，交易手續費=Gas 數量 x Gas 價格，其中 Gas 數量由智能合約的復雜程度決定，而 Gas 價格則由合約發起人決定。這對開發者和用戶意味著什麼呢？雖然讀取本地區塊鏈是免費的，但寫入和運算是花錢的，儲存更是尤其昂貴，因為任何寫入的信息都會被永久的儲存著。

5．社區對共識協議改變的分歧

以太坊計劃實現將 POW 機制改為 POW/POS 混合共識機制。但這個涉及到技術開發和礦工雙方能否達到利益共識的問題了。如果協議發生了變化，社區意見不合時，就會導致分叉，大家各自玩各自的。

『陸』 區塊鏈傳銷幣多久崩盤

區塊鏈傳銷幣到資金鏈斷裂的那一天就崩盤。作為比特幣的底層技術，「區塊鏈」就像分布式資料庫賬本。隨著「比特幣」等基於區塊鏈技術的虛擬貨幣價格大幅飆升，普通投資者對區塊鏈、數字貨幣的投資興趣也愈發旺盛。

騰訊安全反詐騙實驗室負責人李旭陽稱，利用區塊鏈概念搞的傳銷平台已超過3000家。記者盤點近期發生的案件發現，「區塊鏈+詐騙」主要有三大「套路」。

(6)發現以太坊漏洞擴展閱讀

隨著比特幣的大幅漲跌和「區塊鏈」概念的爆火，許多打著「區塊鏈」旗號的傳銷詐騙也頻頻出現。

老套路」穿上區塊鏈的「新馬甲」，立刻化身「中國大媽」們追求「財務自由」的又一個「新捷徑」和一個個價值上億的「大坑」。專家建議，相關部門建立聯合監管和聯動打擊機制，提升風險隱患排查能力，對「區塊鏈」過度炒作亂象進行及時降溫。

『柒』 2miners礦池怎麼樣

2Miners是最受歡迎的山寨幣礦池之一。 該礦池具有18種加密貨幣，兩種挖礦模式：礦池和單人模式，18種語言以及直觀的界面。 礦池中有超過18000個用戶，最近24小時內向用戶支付的獎勵總額為一百萬美元。
礦池中最受歡迎的加密貨幣是以太坊。 超過11000個用戶正在挖礦ETH。2Miners數據中心位於歐洲，美國和亞洲，從而最大程度地提高了每個地區用戶的加密貨幣挖礦效率。 獎勵每兩個小時支付一次。因此，從2月開始，如果要免費使用RaveOS，應切換到2Miners礦池。山寨幣礦池 2Miners 近期發現了一個影響以太坊「epoch switch」的網路漏洞，且該漏洞影響 ETC 網路。2Miners 表示，ETC 的 Thanos （ECIP-1099）的網路硬分叉升級引發了一些問題，因為 ECIP-1099 提議減少網路中的算力，當轉換到 epoch 時礦池並沒有驗證數據（盡管它是合法的）。2Miners 隨後發現該漏洞位於用於維護以太坊和 ETC 的核心庫中。2Miners 表示，「經過深入研究，我們發現許多基於 Ethash 的加密貨幣所使用的核心庫之一的數學值有偏差。」該問題可能導致某些節點接受較新的數據到區塊鏈，而另一些節點則不接受，從而造成了可能導致鏈分裂的潛在嚴重情況（類似於此前的以太坊網路故障）。
拓展資料：
一、由於比特幣全網的運算水準在不斷的呈指數級別上漲，單個設備或少量的算力都無法在比特幣網路上獲取到比特幣網路提供的區塊獎勵。在全網算力提升到了一定程度後，過低的獲取獎勵的概率，促使一些「bitcointalk」上的極客開發出一種可以將少量算力合並聯合運作的方法，使用這種方式建立的網站便被稱作「礦池」(Mining Pool)。在此機制中，不論個人礦工所能使用的運算力多寡，只要是透過加入礦池來參與挖礦活動，無論是否有成功挖掘出有效資料塊，皆可經由對礦池的貢獻來獲得少量比特幣獎勵，亦即多人合作挖礦，獲得的比特幣獎勵也由多人依照貢獻度分享。
二、礦池是一個全自動的開采平台，即礦機接入礦池，提供算力——獲得收益。礦池的分配方式主要有：「PPLNS、PPS、PROP」三種。礦池的存在降低了比特幣等虛擬數字貨幣開採的難度，降低了開采門檻，真正實現了人人皆可參與的比特幣挖礦理念。但其弊端也非常明顯，因為算力接入礦池，作為礦池來說，將掌握極其龐大的算力資源，在比特幣世界中，算力代表著記賬權，算力即是一切，如果單家礦池算力達到50%以上，將可以輕易對比特幣等類似的虛擬數字貨幣發動51%攻擊，其後果是非常可怕的：壟斷開采權，壟斷記賬權壟斷分配權。

『捌』 區塊鏈安全問題應該怎麼解決

區塊鏈項目（尤其是公有鏈）的一個特點是開源。通過開放源代碼，來提高項目的可信性，也使更多的人可以參與進來。但源代碼的開放也使得攻擊者對於區塊鏈系統的攻擊變得更加容易。近兩年就發生多起黑客攻擊事件，近日就有匿名幣Verge（XVG）再次遭到攻擊，攻擊者鎖定了XVG代碼中的某個漏洞，該漏洞允許惡意礦工在區塊上添加虛假的時間戳，隨後快速挖出新塊，短短的幾個小時內謀取了近價值175萬美元的數字貨幣。雖然隨後攻擊就被成功制止，然而沒人能夠保證未來攻擊者是否會再次出擊。
當然，區塊鏈開發者們也可以採取一些措施
一是使用專業的代碼審計服務，
二是了解安全編碼規范，防患於未然。
密碼演算法的安全性
隨著量子計算機的發展將會給現在使用的密碼體系帶來重大的安全威脅。區塊鏈主要依賴橢圓曲線公鑰加密演算法生成數字簽名來安全地交易，目前最常用的ECDSA、RSA、DSA 等在理論上都不能承受量子攻擊，將會存在較大的風險，越來越多的研究人員開始關注能夠抵抗量子攻擊的密碼演算法。
當然，除了改變演算法，還有一個方法可以提升一定的安全性：
參考比特幣對於公鑰地址的處理方式，降低公鑰泄露所帶來的潛在的風險。作為用戶，尤其是比特幣用戶，每次交易後的余額都採用新的地址進行存儲，確保有比特幣資金存儲的地址的公鑰不外泄。
共識機制的安全性
當前的共識機制有工作量證明（Proof of Work，PoW）、權益證明（Proof of Stake，PoS）、授權權益證明（Delegated Proof of Stake，DPoS）、實用拜占庭容錯（Practical Byzantine Fault Tolerance，PBFT）等。
PoW 面臨51%攻擊問題。由於PoW 依賴於算力，當攻擊者具備算力優勢時，找到新的區塊的概率將會大於其他節點，這時其具備了撤銷已經發生的交易的能力。需要說明的是，即便在這種情況下，攻擊者也只能修改自己的交易而不能修改其他用戶的交易（攻擊者沒有其他用戶的私鑰）。
在PoS 中，攻擊者在持有超過51%的Token 量時才能夠攻擊成功，這相對於PoW 中的51%算力來說，更加困難。
在PBFT 中，惡意節點小於總節點的1/3 時系統是安全的。總的來說，任何共識機制都有其成立的條件，作為攻擊者，還需要考慮的是，一旦攻擊成功，將會造成該系統的價值歸零，這時攻擊者除了破壞之外，並沒有得到其他有價值的回報。
對於區塊鏈項目的設計者而言，應該了解清楚各個共識機制的優劣，從而選擇出合適的共識機制或者根據場景需要，設計新的共識機制。
智能合約的安全性
智能合約具備運行成本低、人為干預風險小等優勢，但如果智能合約的設計存在問題，將有可能帶來較大的損失。2016 年6 月，以太坊最大眾籌項目The DAO 被攻擊，黑客獲得超過350 萬個以太幣，後來導致以太坊分叉為ETH 和ETC。
對此提出的措施有兩個方面：
一是對智能合約進行安全審計，
二是遵循智能合約安全開發原則。
智能合約的安全開發原則有：對可能的錯誤有所准備，確保代碼能夠正確的處理出現的bug 和漏洞；謹慎發布智能合約，做好功能測試與安全測試，充分考慮邊界；保持智能合約的簡潔；關注區塊鏈威脅情報，並及時檢查更新；清楚區塊鏈的特性，如謹慎調用外部合約等。
數字錢包的安全性
數字錢包主要存在三方面的安全隱患：第一，設計缺陷。2014 年底，某簽報因一個嚴重的隨機數問題（R 值重復）造成用戶丟失數百枚數字資產。第二，數字錢包中包含惡意代碼。第三，電腦、手機丟失或損壞導致的丟失資產。
應對措施主要有四個方面：
一是確保私鑰的隨機性；
二是在軟體安裝前進行散列值校驗，確保數字錢包軟體沒有被篡改過；
三是使用冷錢包；
四是對私鑰進行備份。

『玖』 以太坊帶來了那些爭議和質疑呢

以太坊和比特幣是有著本質區別的，區別在哪裡呢？比特幣定義的是一套貨幣體系，而以太坊側重的是打造一條主鏈（可以理解為一條公路），可以讓大量的區塊鏈應用跑在這條公路上。

從這一點來看，以太坊的應用場景更廣泛，這也是為什麼我們說以太坊標志著區塊鏈

1.0時代一個單純的貨幣體系，向區塊鏈2.0時代實現其他行業以及應用場景的轉變。

但是，世界上沒有十全十美的事物，以太坊雖然拓展了區塊鏈在各行各業的應用范圍，還提升了處理交易的速度，但是它也存在著一定的爭議與質疑。

一、以太坊的擴展性不足的解決之道：分片技術和雷電網路

以太坊的底層設計，最大的問題是以太坊只有一條鏈，沒有側鏈，這就意味著，所有程序都要對等地跑在這條鏈上，消耗資源的同時，還會引發系統擁堵。正如去年非常火爆的以太坊游戲「加密貓」，這個游戲火爆的時候，一度引發以太坊網路癱瘓。

對於提升處理能力這個問題，以太坊提出兩種方式：一個是分片技術（shard），一個是雷電網路，下面我們分別介紹一下這兩種技術。

（一）分片技術

以太坊創始人 V 神（Vitalik Buterin）認為，諸如比特幣這種主流的區塊鏈網路，之所以處理交易的速度很慢，是因為每一個礦工要處理全網的每一筆交易，這樣的效率其實是非常低下的。分片技術的構想是：一筆交易不必發動全網所有節點都去處理，只要讓網路中的一部分節點（礦工）處理就好了。於是，以太坊網路被劃分成很多片，同一時間，每一分片都可以處理不同的交易，這樣一來，會大大提升網路性能。

但是，分片技術也是有一定爭議的。我們知道，區塊鏈技術的重要思想是去中心化，全網都去見證（處理）同一交易，這才具有最高的權威性。而以太坊分片技術，並不是所有節點共同見證，而是類似於分小組見證，這樣一來，它便失去了絕對的「去中心化」屬性，只能通過犧牲掉一定的去中心化特性來達到高性能的目的。

（二）雷電網路

雷電網路使用的是鏈下交易的方式。這是什麼意思呢？它的意思是：使用雷電網路的參與者在互相轉賬時，不需要通過以太坊主鏈交易確認，而是通過參與者之間創建支付通道，在鏈下完成。

不過，雷電網路並不是脫離主鏈的，在建立支付通道之前，需要先用主鏈上的資產做抵押，生成余額證明（Balance Proof），擁有餘額證明才能表明你能做出相應余額的轉賬。在交易雙方都持有餘額證明的情況下，雙方可通過支付通道在鏈下進行無限制次數的轉賬。

只有在完成鏈下交易，需要將資產轉回鏈上時，才會在以太坊主鏈上登記主鏈賬戶的余額變化信息，而這期間不管發生多少次交易在主鏈上是不會有記錄的。

雷電網路還有一個實實在在的好處，就是可以為你省下礦工費用。目前我們在以太坊主鏈上進行交易，需要消耗 Gas，需要支付礦工費用，那麼一旦將交易搬到鏈下，就可以節省這一部分的成本。

當然，雷電網路並不是十全十美的。在使用雷電網路時需要用主鏈上的資產作抵押；而這部分資產作為抵押物，在使用者完成鏈下交易之前是不能使用的。這也就決定了，雷電交易只適合小額交易。

上面就是以太坊擴展性不足的問題，以及目前提出的兩個主要解決方案：分片技術和雷電網路。

二、以太坊的智能合約存在漏洞與臭名昭著的 The Dao 事件

以太坊的智能合約很強大，但是，凡是代碼都會存在漏洞的，以太坊智能合約最大的爭議就在於所謂的漏洞，也就是安全性問題。據相關研究表明，在基於以太坊的近100萬個智能合約上，發現有34200(約3%)個含有安全漏洞，將允許黑客竊取ETH、凍結資產或刪除合約，比如說，臭名昭著的The Dao 事件。

（一）Dao是什麼意思？

介紹 The Dao 事件之前， 我們先見到介紹一下 DAO 是什麼。DAO 是 Decentralized

Autonomous Organization 的簡稱，可以理解為：去中心化自治組織。從以太坊的角度來理解，DAO 是區塊鏈上的某一類合約，或者一個合約組合，用來代替政府的審查以及復雜等中間程序，從而實現高效的、去中心化的信任的系統。所以，DAO 不是特定的某個組織，也就說呢，可以有很多的DAO，各種各樣的DAO。

（二）臭名昭著的The Dao事件

但是，我們現在提到DAO，基本上所指的都是The DAO事件，也就是我們剛剛說的那個臭名昭著的黑客攻擊事件。我們知道，英文中的 The是特指的意思，The DAO事件呢就

是特指的那個DAO事件，因為我們剛剛說了DAO不是特定的某個組織，可以有很多的DAO，各種各樣的DAO。

2016 年的時候，德國一家專注「智能鎖」的公司 Slock.it，為了實現去中心化的實物交換（比如說：公寓啊，船隻啊），在以太坊上發布了 DAO項目。並且於2016年4月

30日開始，融資窗口開放了28天。

沒想到，這個DAO項目的人氣非常高，短短半個月就籌得了超過一億美元，而到整個融資期結束，一共籌集到1.5億美元，由此呢，它成為歷史上最大的眾籌項目。然而好景不長，到了6月份，黑客利用智能合約裡面的漏洞，成功轉移了超過360萬個以太幣，並投入到一個DAO子組織中，這個組織和The DAO有著同樣的結構。以至於當時以太幣價格從20多美元直接跌破13美元。

這個事件說明智能合約的確是有漏洞的，而且一旦漏洞被黑客利用，那麼後果是非常嚴重的。這就是現在很多人批評以太坊，說它的智能合約不智能。

對於這個問題，目前國外有很多公司為了解決智能合約的漏洞問題 ，開始提供代碼審計服務。而從技術的角度來說，目前一些團隊正在對智能合約進行檢驗，這些團隊多數由哈佛、斯坦福和耶魯的教授帶隊，部分團隊已經獲得了頭部機構的投資。

除了目前以太坊存在的擴展性不足、智能合約漏洞問題，對於以太坊的爭議還在於它所追求的POS共識機制，也就是權益證明機制，在權益證明機制下，如果說誰持幣的數量越大、持幣時間越久，獲得的「權益」（利息）就越多，還有機會得到記賬權力，記賬又可以獲得獎勵，那麼這樣一來，容易造成「強者越強」的寡頭優勢。

還有一個問題就是ICO亂象的問題。ICO是區塊鏈項目籌措資金的常用方式，咱們可以理解為預售。以太坊上ICO項目的爆發，滋生了打著ICO旗號進行資金盤、詐騙圈錢等不法行為，對社會和金融穩定造成安全隱患。

『拾』 以太經典和以太坊有什麼關系

以太經典（ETC）是以太坊（ETH）的原鏈，ETH是從ETC硬分叉出來的。分叉起源於一場意外的盜幣事件。The DAO計劃基於以太坊智能合約建立一個眾籌平台，於2016年5月正式發布，截止當年6月，募集資金超過1.6億美元。

此後，The DAO被黑客利用智能合約的漏洞，轉移了市值五千萬美元的以太幣，為了挽回投資者資產，以太坊社區投票決定將更改以太坊代碼， 並在以太坊第#1920000區塊進行硬分叉，回滾所有以太幣（包括被黑客佔有的），挽回損失。

但是，有一部分人認為以太坊這種做法違背了區塊鏈的去中心化和不可篡改精神，堅持在原鏈上挖礦，從而形成兩條鏈。一條為不承認回滾交易的原鏈-以太經典（ETC），一條為承認回滾交易的新鏈即以太坊（ETH），各自代表不同的社區共識以及價值觀，分叉時持有以太幣的人在分叉後會同時持有ETH和ETC。