Bitcoin Membelanjakan Dua Kali Ciri Rangkaian yang Tidak Dapat Dielakkan, Sah atau Tidak

Perbelanjaan berganda adalah masalah yang wujud sejak Bitcoin (BTC) dimulakan, dan menurut laporan baru-baru ini dari ZenGo, ia masih berlaku di dompet cryptocurrency seperti BRD, Ledger Live dan Edge.

Walaupun syarikat-syarikat ini telah mengemas kini penawaran produk mereka sejak ZenGo menunjukkan perbezaan ini, ada spekulasi bahawa berjuta-juta pengguna crypto mungkin terdedah kepada eksploitasi khusus ini, yang dijuluki BigSpender. Ledger, salah satu firma dompet crypto yang terkena dampak, malah mendakwa bahawa kerentanan ini hanya kekurangan pengalaman pengguna.

Apa itu perbelanjaan berganda?

Perbelanjaan berganda adalah kelemahan yang timbul di platform tunai digital di mana satu token digital dapat dibelanjakan lebih dari sekali. Walaupun ini bukan kelemahan yang unik untuk blockchain dan cryptocurrency, ia menjadi masalah yang sangat penting bagi pengguna crypto. Dengan mata wang terpusat, masalah ini diselesaikan dengan adanya pihak ketiga yang dipercayai yang mengesahkan apakah token telah habis digunakan.

Dengan mata wang yang terdesentralisasi seperti Bitcoin, titik penjualan yang unik ialah mereka menawarkan sistem yang tidak dihubungkan dengan bank pusat mana pun, dengan masalah perbelanjaan berganda yang cuba diselesaikan dengan meminta banyak pelayan menyimpan salinan terkini orang ramai lejar transaksi.

Rintangan yang dihadapi oleh pendekatan ini adalah bahawa setelah disiarkan, transaksi akan menjangkau setiap pelayan pada waktu yang sedikit berbeza, dan jika dua transaksi berupaya menghabiskan token yang sama, setiap pelayan akan menganggap yang pertama adalah sah dan membatalkan transaksi kedua. Sekiranya kedua-dua pelayan ini tidak setuju maka tidak akan ada cara untuk menyatukan keseimbangan yang sebenarnya, kerana setiap pemerhatian pelayan dianggap sah. Cointelegraph bercakap mengenai perkara itu dengan Bilal Hammoud, pengasas dan Ketua Pegawai Eksekutif NDAX – pertukaran cryptocurrency yang berpusat di Kanada – yang mengatakan bahawa walaupun terdapat masalah yang berulang, Bitcoin memang mempunyai sistem pencegahan:

“Rangkaian Bitcoin menggunakan beberapa langkah untuk mencegah serangan seperti waktu untuk menghasilkan 1 blok yang rata-rata sekitar 10 minit dan cadangan pengesahan 6 yang menjadikannya mustahil untuk membalikkan transaksi kecuali penyerang memiliki kekuatan hash rangkaian yang signifikan.”

Cara yang sah dan curang

Terdapat pelbagai cara yang boleh digunakan oleh pengguna kripto atau entiti untuk menghabiskan dua kali ganda. Walaupun beberapa kaedah ini adalah sah, kebanyakannya, tidak mengejutkan, penipuan. Beberapa teknik perbelanjaan berganda yang terkenal adalah serangan perlumbaan, serangan Finney, serangan Vector76, serangan BigSpender yang disebutkan di atas dan ancaman utama kepada rangkaian Bitcoin, serangan 51%.

Serangan perlumbaan – juga dikenal sebagai serangan pengganti-dengan-biaya, atau RBF – terjadi apabila pedagang atau pihak penerima menerima transaksi tanpa pengesahan. Ini adalah pembelanjaan dua kali yang paling umum, di mana pengguna mengirim transaksi kepada pedagang, dan setelah transaksi diterima dan barang dikirimkan, penyerang mengirim transaksi yang bertentangan ke alamat lain dengan biaya transaksi yang lebih tinggi, memaksanya disahkan sebelum transaksi asal. Mengenai serangan seperti ini, Hammoud memberi komen:

“Urus niaga seperti ini tidak selalu berlaku penipuan. Pertukaran seperti NDAX biasanya melakukan transaksi ini kerana mereka mengawal simpul Bitcoin dengan kaedah yang disebut RBF (ganti dengan bayaran) untuk membalikkan transaksi di mana yuran transaksi rendah dan mereka memerlukan transaksi untuk berjalan lebih cepat atau jika pengguna pertukaran dihantar ke alamat yang salah dan pertukaran pertukaran untuk membalikkan transaksi. “

Walau bagaimanapun, serangan Finney adalah perbelanjaan berganda palsu yang sangat bergantung pada kadar hash rangkaian dan memerlukan penyertaan dari pelombong. Jenis serangan ini sangat jarang berlaku dalam senario semasa, kerana ia memerlukan kadar hash Bitcoin menjadi sangat rendah. Serangan Vector76 juga merupakan serangan langka yang merupakan gabungan serangan Finney dan race.

Ancaman utama terhadap rangkaian Bitcoin adalah serangan 51%, yang dapat terjadi jika sekumpulan penambang yang mengendalikan lebih dari 51% kekuatan hash rangkaian setuju untuk mengatur semula transaksi. Ini memungkinkan penyerang untuk mengelakkan transaksi baru daripada disahkan dengan mengganggu pembayaran antara beberapa atau bahkan semua pengguna di rangkaian tersebut. Serangan ini juga memungkinkan untuk membalikkan urus niaga yang sudah selesai, sehingga menyumbang kepada masalah pengeluaran berganda.

Salah satu garpu Bitcoin, Bitcoin Gold (BTG), telah diserang oleh serangan tersebut sebanyak dua kali, pada tahun 2023 dan 2023. Pada jenis serangan dan penyerang ini, Hammoud menyatakan bahawa Bitcoin tidak mungkin terpengaruh olehnya: “Jenis serangan ini sangat tidak mungkin kerana mengancam integriti keseluruhan rangkaian, serangan seperti itu hanya dapat diselaraskan jika pelombong memutuskan untuk memusnahkan keseluruhan nilai bitcoin yang menjadikannya tidak berguna. ”

Penyelesaian dalam crypto

Cara firma / dompet crypto mengesan percubaan untuk membelanjakan dua kali ganda adalah dengan menggunakan hash. Hash dicipta menggunakan algoritma dan penting untuk pengurusan blockchain dalam cryptocurrency, kerana rentetan nombor yang panjang ini berfungsi sebagai bukti kerja. Apabila sekumpulan data tertentu dijalankan melalui fungsi hash, hanya ada satu hash unik yang dihasilkan. Sebarang perubahan kecil pada data akan menghasilkan hash yang sama sekali tidak dapat dikenali jika dibandingkan dengan yang dihasilkan pada asalnya. Algoritma yang digunakan untuk membuat hash tersebut disebut algoritma konsensus.

Walaupun penggunaan algoritma konsensus ini pada rangkaian blockchain, terdapat beberapa contoh perbelanjaan berganda yang telah dikesan di mana pengguna atau syarikat itu sendiri telah terkena dampak. Gregory Klumov, pengasas dan Ketua Pegawai Eksekutif Stasis – penerbit stablecoin yang disokong oleh euro – bercakap dengan Cointelegraph mengenai mengapa masalah ini masih berlanjutan:

“Terdapat risiko terpusat dan terdesentralisasi. Dalam kes pertama, terdapat beberapa titik kegagalan penggodaman di mana anda boleh mengambil hak milik atau mengambil aset atau apa sahaja. Sekiranya rangkaian terdesentralisasi, sebahagian besarnya mesti dikendalikan untuk melakukan serangan. Tidak ada alternatif, jadi perdebatan sedang dilakukan yang mana model yang akan berkelanjutan dalam jangka masa panjang. “

Walau bagaimanapun, ada yang percaya bahawa ini adalah kelemahan sistem. Semasa bercakap dengan Cointelegraph, Evgen Verzun, pengasas platform awan terdesentralisasi Hypersphere, mengungkapkan: “Ini adalah salah satu kelemahan asas, jadi pencipta sistem harus selalu mengingatnya dan merancang algoritma konsensus mereka dengan cara untuk mengelakkannya.” Hammoud, bagaimanapun, berpandangan lebih liberal mengenai sifat perbelanjaan dua kali, menjadikan penyerang lebih bertanggungjawab daripada sistem itu sendiri:

“Perbelanjaan berganda tidak semestinya menjadi masalah atau cacat reka bentuk. Majoriti pengguna menggunakan perbelanjaan berganda untuk alasan yang sah. […] Sayangnya, beberapa pelaku buruk memanfaatkannya dan dengan hanya mengikuti peraturan di atas seperti menunggu pengesahan yang diperlukan dan mematikan sambungan masuk ke nod pedagang dapat menghentikan 95% serangan ini. “

Apa yang boleh dilakukan oleh firma dompet crypto?

Oleh kerana dompet crypto dapat dianggap hanya sebagai pintu ke blockchain atau antara muka akses, hanya ada usaha terbatas yang dapat diambil untuk meniadakan risiko pengeluaran ganda, menurut Hammoud, yang mengatakan bahawa dompet dapat menerapkan peraturan yang melarang menetapkan rendah yuran urus niaga atau menubuhkan sistem lejar yang membuat dana ditangguhkan. Dia menambahkan: “Tetapi sayangnya, tidak ada dompet yang dapat menjadi sangat mudah kerana penyerang hanya dapat menjalankan simpul mereka sendiri atau mengekstrak benih mereka dari penyedia dompet dan menggunakan pihak ketiga untuk melakukan serangan itu.”

Oleh kerana perbincangan mengenai bandar ini adalah serangan RBF baru-baru ini terhadap pelbagai firma dompet crypto yang dijuluki “BigSpender”, ada tindakan yang dapat dilakukan oleh pedagang, pengguna dan firma untuk mengurangkan kemungkinan serangan ini di masa depan. Hammoud mengulangi saranan yang dibuat oleh Verzun, dengan mencatat: “Langkah lain adalah juga untuk menerapkan jangka waktu pendinginan di mana penyedia dompet menghalang pengguna mengeksport benih persendirian mereka dalam waktu 20 minit setelah mengirim transaksi atau pembayaran,” sambil menambahkan bahawa:

“Pedagang dan pengguna dapat menghentikan serangan ini dengan menunggu 6 pengesahan di blockchain. Beberapa peniaga dan syarikat juga dapat menerima kurang dari 6 pengesahan, dengan mematikan sambungan rangkaian masuk dan memastikan mereka disambungkan ke simpul yang mapan. “

Walaupun penyelesaiannya konsepnya sederhana, ia sering sukar dilaksanakan. Sekarang bergantung kepada proses inovasi keselamatan firma, peniaga dan pengguna dompet untuk menentukan kemungkinan kegagalan ini berlipat ganda pada masa akan datang. Inovasi ini harus menjadi keutamaan bagi semua pihak yang terlibat, memandangkan risiko kewangan dan, yang lebih penting, reputasi yang mempengaruhi peniaga dan akhirnya seluruh industri blockchain.