XVG惡意挖礦事件透視——“算力優勢+時間劫持”攻擊案例分析

1 .XVG挖礦異常事件簡要回顧

       最近幾天，一個叫XVG的數字貨幣在普遍都不太好的幣市中大出風頭，短短几天之中，幣價翻了好幾倍，但前段時間，一起安全事件讓XVG的開發團隊和持有它的礦工出了一身冷汗。

      4月4日，bitcointalk論壇上ID為ocminer的使用者發帖反饋XVG遭到51%攻擊。據反饋自XVG區塊高度2007365之後，出塊時間變得很快，在某些塊高度上面，甚至是一秒出一個塊，並且這些區塊都是利用scrypt演算法挖到的，如圖一所示。

   在ocminer發帖之後的一段時間裡，起初XVG的開發團隊並不認為這是一次攻擊事件，並安撫大家不要太焦慮，但是隨著事件的發酵，很多礦池已經無法正常工作了，開始不斷挖到孤塊，正常情況下，礦池一天挖到的孤塊數量不會太多，連續挖到孤塊的情況更不太可能發生，如下圖所示，自從4月4號13點54開始，挖到的塊都是孤塊，因此礦池決定暫停XVG的挖礦服務。隨後XVG開發團隊開始響應這次事件，對於程式碼進行了兩次patch，這樣才讓這次安全事件漸漸平息下來。

2 XVG簡介和挖礦安全事件分析

2.1 加密貨幣XVG簡介

XVG又名verge，是基於比特幣技術的開源加密貨幣，主打匿名性，與門羅，達世類似。XVG最初是在2014年推出的，由於快速增長的社群，這個數字貨幣迅速流行，並不斷吸引世界各地的使用者前來投資。

        XVG的挖礦演算法有Scrypt/X17/lyra2rev2/MYRgroestl/blake2s這5種，並且出塊時間僅為30秒，大大小於比特幣的10分鐘。因為支援的演算法多，可以使更多礦工能夠挖到XVG幣，從而確保每個人都有平等的機會獲取XVG幣。

        在生成新塊的時間戳校驗方面，XVG是借鑑了舊版的比特幣的程式碼。在checkblock()和acceptblock()函式當中呼叫了時間戳校驗的演算法，與bitcoin0.8.2相同，分別是按照如圖四中的函式執行流程獲得呼叫。

圖四

2.2 XVG難度的調整

    XVG的難度調整演算法會向前回溯取相同演算法12個區塊的難度平均值做一個計算，如果實際出塊時間間隔小於理想出塊時間間隔（12*150）的三分之一則調整難度為均值的三倍，如果大於理想出塊時間間隔（12*150）的三倍則調整難度為均值的三分之一。這樣做的目的是通過對比實際出塊時間間隔和理想出塊時間間隔進行動態難度調整，如果出塊慢了，那麼就降低難度，如果出塊快了，就增加難度，但是調整的時候使用上下限進行限制，這是為了慢慢的調整難度值，防止難度過快的變化，相關程式碼如圖五所示。

2.3下面是我們對攻擊流程的分析

       首先攻擊者擁有很大的算力，攻擊者很快使得自己的挖到的區塊所在的鏈成為了主鏈。因為區塊鏈的一個特點就是最長的鏈就是主鏈。同時修改時間戳，讓其他礦工所挖的區塊通過不了時間戳範圍校驗，成為孤塊。這就造成了只有攻擊者可以挖到塊，而其他正常礦工不能在攻擊者控制的主鏈上挖到塊。

2.3.1初始階段

通過觀察發現，攻擊者最開始修改時間戳的塊是2007355，並不是ocminer所說的2007365，如圖六:

 從區塊2007355到2007363可以看出，攻擊者修改出塊時間為每五分鐘一個(上圖紫色顏色的時間)，當然實際上攻擊者的出塊時間比顯示的時間戳快很多。由於偽造的時間戳間隔遠遠大於正常出塊時間的30秒，XVG會降低難度，通過這9個塊，XVG的挖礦難度已經下降了一半.正常情況下，9個塊的時間45分鐘左右相當於攻擊者將正常挖礦時間提前了40分鐘左右。在Checkblock()中，因為攻擊者偽造了時間戳，使得pindexPrev->GetMedianTimePast()的值增大，即前11個區塊的時間戳中值，使得正常時間戳出的塊無法滿足大於前11個塊時間戳中值的條件,從而正常時間戳出的塊無法新增到攻擊者挖掘的這條長鏈上。圖七是Checkblock()中校驗時間戳的程式碼。

   下面對程式碼做簡單解釋。

    圖七程式碼的意思為只要新塊的時間戳大於之前11個block的時間戳的中位數，且不超過當前網路時間2個小時，則這個塊都被認為有效。GetBlockTime()只是簡單返回位於class CBlockHeader 中的nTime成員，也即本塊生成的時間戳。

GetMedianTimePast()的實現如圖八:

圖八

       新塊的時間戳需要大於前11個block的時間戳的中位數這個容易理解，但是nMaxClockDrift為什麼要設定為2個小時，將nMaxClockDrift寬泛的設定成2個小時主要是考慮到blockheader上的時間戳並不像NTP伺服器那樣是一個嚴格準確的時間，新塊的開採也需要一定的時間，比方說對於比特幣可能是10分鐘左右才能建立成功一個新塊，極端情況下可能會遠遠超過10分鐘，一旦nMaxClockDrift時間設定的過小，後續合法產生的新塊的時間戳，由於時間戳過大，很可能沒辦法滿足時間戳校驗條件，造成區塊鏈沒有辦法再新增的區塊。

    2.3.2控制修改時間戳，使得難度不至於快速下降

    經過第一階段，攻擊者已經基本上可以獨佔挖礦了，難度也已經下降了很多，這一階段攻擊者已經不需要很大的算力了，因為這時候，正常礦工挖出的塊，已經不能通過時間校驗了，攻擊者可以不受干擾的挖礦，自己也完全可以控制挖礦難度。同時為了不至於難度下降過快，從而導致其他礦工發現和其他問題出現，攻擊者有意的控制了出塊的時間戳。

第一種方式:故意交替的改變時間戳，大約差值為一個半小時(從2007365塊高度開始)

當前一個塊減去後一個塊時間為正的一個半小時，這時候難度是下降的

當前一個塊減去後一個塊時間戳為負的一個半小時，這時候難度是增長的。

如下表所示

第二種方式:每隔9個塊，使得連續的三個塊時間間隔改為1秒(圖二紅色字型)

很顯然根據難度調整的函式，我們知道這裡出塊的速度非常的快。導致這裡難度極速回撥。

下表是紅色的塊的難度情況。

當然總體的趨勢是難度不停的下降，如圖九所示。

  綜上所述，攻擊者就可以獨佔自己的這條長鏈進行挖礦，根據最長鏈原則（把累計了最多難度的區塊鏈作為主鏈，在一般情況下，也是包含最多區塊的那個鏈），這條鏈就變成了主鏈，並使得自己挖礦難度不斷降低，從而保持最長鏈的優勢，某些區塊的難度被攻擊者降為接近於0。由於XVG每30秒就出塊一次，它的分叉會比特幣頻繁很多。同樣挖掘第2007433高度的塊，正常礦工和攻擊者挖礦難度不同，因此正常礦工所挖的分叉鏈遠遠沒有辦法同攻擊者的最長鏈做競爭，導致最後都成為了孤塊

 圖十是礦池挖到的孤塊，圖十一是攻擊者挖到的區塊，兩圖對比可以看到高度2007433上的一個孤塊在挖掘的時候同攻擊者獨佔挖掘的最長鏈不是同一個鏈，並且難度也不同。

3. XVG團隊的對程式碼的修改

3.1XVG團隊的第一次patch

XVG團隊第一次的patch可以在這裡看到。

https://github.com/vergecurrency/VERGE/commit/a3dd53f40aaedd28bd4d0fc720f034492f7ded81 

patch改動如下三圖。

   Patch的程式碼是以區塊高度2040000為限，小於等於2040000高度的區塊時間戳檢查依然採用之前的邏輯，即新塊的時間戳要大於之前11個block的時間戳的中位數、且不超過當前網路時間2個小時。而大於2040000高度的區塊時間戳檢查變更為，新塊的時間戳要大於前一個區塊的時間戳，並且不可以超過當前網路時間20分鐘。很明顯第一次patch的第一個條件

if (GetBlockTime() <pindexPrev->GetBlockTime())

   return error(“AcceptBlock() : block’s timestamp is tooearly”);

會大量誤傷礦工合法產出區塊。因為即使是正常出塊，下一個區塊的時間戳也不能總是保證比上一個塊的時間戳大。由於XVG是30秒左右出一個塊，不同於比特幣10分鐘的出塊時間，後一個條件設定將nMaxClockDrift由2小時縮短到20分鐘也不會造成XVG區塊鏈無法接續的情況。XVG團隊的第一次patch主要是想通過縮短nMaxClockDrift的值加強時間戳校驗，阻止例如2007385和2007386，2007387和2007388這樣的間隔超過20分鐘的區塊產生。縮短nMaxClockDrift的值以及校驗前後區塊時間戳順序從表面上看似可以阻止攻擊，但是如果使用大算力的scrypt繼續挖礦，攻擊者依然可以按照相應的時間戳判定邏輯偽造時間戳，並繞過程式碼檢測。

3.2xvg團隊的第二次patch

由於XVG支援5種演算法競爭挖礦，正常挖礦的情況下，取10個區塊如下截圖。

 由於競爭關係，可以看到10個區塊不全都是一種演算法產生的。而在被惡意挖礦的區塊，截圖情況如圖十六，scrypt演算法在這段時間壟斷了出新塊的挖礦。

第二次patch的在如下連結

https://github.com/vergecurrency/VERGE/commit/80c81aef63272231fc39c2af4b8db9f3f2e9d328

 如圖十七和十八，程式碼主要的改動是將上次改動的判斷時間戳校驗的程式碼進行恢復，nMaxClockDrift由20分鐘調整回2小時。修復了程式碼

if(GetBlockTime() < pindexPrev->GetBlockTime())

    return error(“AcceptBlock() : block’s timestamp is tooearly”);

可能誤傷正常產出的區塊的問題。

 為了阻止單一演算法獨佔挖礦，新加入CheckPreAlgo()函式，如圖十九和圖二十所示，從塊高度2042000開始，在執行checkblock()函式的時候開始呼叫新加入的檢查邏輯。自當前區塊共向前回溯10個區塊，檢查單一演算法挖出的區塊數，當每10個區塊有6個或者6個以上的區塊是由單一演算法挖出的時候，新出的這個區塊不會被連結受，從而緩解單一演算法獨佔挖礦引發的安全問題

4. XVG “算力優勢+時間劫持”攻擊事件總結

   根據ocminer的論壇反饋和我們的區塊高度統計，攻擊者的兩次獨佔挖礦造成其他礦工的損失統計如圖二十一，有15000左右個區塊被攻擊者惡意挖礦。

    兩次攻擊可疑的收幣地址如下圖所示，更詳盡的資訊可見https://pastebin.com/K7L1G5FE。

 就這次攻擊分析來看，攻擊者主要利用自己算力的優勢偽造時間戳，使得自己挖礦難度不斷降低，從而保持自己最長鏈的優勢，讓正常的礦池挖到的都是孤塊，通過“作弊”挖礦的方式去獲利。

    根據XVG黑皮書的描述多種加密演算法可以預防51%算力攻擊，通過這次安全事件我們知道世事無絕對，攻擊者根據程式碼邏輯構造的一系列組合攻擊利用還是可以進行成功攻擊的，目前而言，51%攻擊對於pow機制的加密貨幣來說還是一個逃不開的話題。

    最後希望我們的聲音能讓更多人去關注區塊鏈安全！