曉說區(qū)塊鏈 | 黑客是如何通過修改數(shù)字簽名就把錢騙走的？

網(wǎng)友：比特幣中數(shù)字簽名本身不具有完整性，容易導(dǎo)致可伸縮性攻擊，是什么意思啊？

大體的是知道區(qū)塊中的簽名被修改之后，可以被編碼成和以前一樣的，然后仍然能被以前簽名對(duì)應(yīng)的公鑰驗(yàn)證，但是想不通，就只是修改下簽名，又沒有修改交易內(nèi)容，攻擊者可以從中獲取什么利益呢？

陳曉東：為什么交易發(fā)出后，可能被篡改呢，不是有簽名嗎？

?

其中一個(gè)原因就是多數(shù)挖礦程序是用openssl庫校驗(yàn)用戶簽名，然而openssl兼容多種編碼格式。

?

還有，就是橢圓曲線數(shù)字簽名算法(ECDSA)本身,簽名(r,s) 和 簽名（r,-s(mod n))都是有效的。所以，對(duì)簽名字符串本身的表現(xiàn)方式做些調(diào)整，依舊是有效簽名。

?

我們知道，每個(gè)交易都有一個(gè)對(duì)應(yīng)的Transaction ID，也就是對(duì)整個(gè)交易計(jì)算出來的一個(gè)Hash，也是該Transaction的唯一標(biāo)識(shí)。現(xiàn)在你對(duì)簽名做了微調(diào)，簽名還是有效簽名，但是Transaction ID卻因此改變了?。?！

?

而黑客就是利用了這個(gè)特性，對(duì)交易所實(shí)施了攻擊，下面就來看一下這個(gè)攻擊過程是怎樣的：

Step1>?黑客自己有1個(gè)賬號(hào)，在交易所開了1個(gè)賬號(hào)，并把自己的bitcoin轉(zhuǎn)進(jìn)去；

?

Step2>?黑客申請(qǐng)?zhí)岈F(xiàn)（withdraw）,交易所發(fā)起1筆轉(zhuǎn)賬交易Transaction；

?

Step3>?這筆交易被廣播到網(wǎng)絡(luò)上。但是在還未打包進(jìn)區(qū)塊鏈之前，黑客收到這筆Transaction，并且稍微更改了scriptSig的格式，生成1筆新的交易廣播出去，此時(shí)TxID已經(jīng)變了；

?

Step4>?黑客的這筆新交易被區(qū)塊鏈接收了, 然后向交易所投訴，說它沒收到錢。交易所根據(jù)自己生成的Transaction ID查詢?cè)摴P交易，發(fā)現(xiàn)在網(wǎng)絡(luò)上查詢不到， 會(huì)再次轉(zhuǎn)賬給黑客，也就是double withdraw! 同1筆錢，被黑客提現(xiàn)了2次，甚至多次！ 導(dǎo)致交易所蒙受巨大損失。

?

Mt. Gox（門頭溝交易所）在2014年因這種欺詐交易攻擊導(dǎo)致了公司倒閉的悲慘結(jié)局！??！不過大部分的交易所因此也學(xué)到了教訓(xùn)，不會(huì)輕易根據(jù)用戶提供的TxID來判斷是否交易已經(jīng)失敗或者成功，而是需要根據(jù)交易的發(fā)送地址和接收地址的余額變化來判斷交易是否真實(shí)發(fā)生。

總結(jié)：

交易延展性攻擊之所以會(huì)發(fā)生，是因?yàn)門xID會(huì)變（而這是1個(gè)Transaction的唯一標(biāo)識(shí)）。而TxID之所以會(huì)變，是因?yàn)槔锩娴膕criptSig可以被調(diào)整。

如果有辦法保證TxID在整個(gè)交易過程中，都不可能被改變，那也就解決了這個(gè)問題，而這就是后來的"隔離見證" (SegWit)技術(shù)解決了這個(gè)問題。