本文Hash(SHA1):5542a9a94b8ae0eddcf61db51614cc68070620c5

编号:链源Security Knowledge No.003

欧洲杯球迷的数字通行证——Chiliz安全解析

「在绿茵场上滚动的不是足球,而是黄金」,随着近期有「小世界杯」之称的欧洲杯赛事开展,加密世界的体育板块也备受关注,其中的chiliz一直在致力于成为架起体育世界和区块链世界的桥梁。链源安全团队深入调研了该项目的白皮书,分析出了chiliz在安全方面的优势和不足,希望能够帮助读者提高保护自身资产安全的能力。

优势

(1)透明性

欧洲杯球迷的数字通行证——Chiliz安全解析

首先chiliz仅用于Socios.com平台,而该平台使用了Ethereum的许可实例,确保了所有的交易都可以公开审计,从而保证了用户和合作伙伴之间的透明度。

(2)权威证明(PoA)共识算法

Socios.com平台由chiliz的侧链[1]chiliz chain提供支持,这条侧链使用的是权威证明(PoA)共识算法,该算法比起PoW[2]和PoS[3]来说可以减少交易成本并提高可扩展性,因为它是一种基于声誉(Authority)的共识算法,依赖于一组经过验证的节点来生成和验证新区块,也就是说它不需要大量的计算资源或者大量的代币持有量,而是依赖于节点的身份和声誉。

不足

(1)矿工攻击风险

欧洲杯球迷的数字通行证——Chiliz安全解析

chiliz容易受到矿工攻击,如双花攻击[4],51%攻击[5]和自私挖矿攻击[6],这些攻击会对chiliz的交易记录造成风险。

(2)流动性风险

欧洲杯球迷的数字通行证——Chiliz安全解析

chiliz代币仅用于Socios.com平台,这一限制可能会给chiliz持有者带来流动性风险。

(3)权威证明(PoA)共识算法

权威证明(PoA)共识算法是一把双刃剑,它的验证者依赖于节点的身份和声誉,这些验证者的身份是公开的,所以存在一定的中心化风险,另外验证者极有可能成为攻击目标,攻击者可能尝试通过社会工程或者其他手段来破坏验证者的声誉或控制验证者节点。

名词解读

[1]侧链:侧链是指与主区块链平行运行的区块链,它可以与主链之间进行资产和数据的转移。侧链可以提供不同的功能和特性,增强主链的灵活性和扩展性,其实ARB、OP都可以看作是ETH的侧链。

[2]PoW:Proof of Work,工作量证明,通过让矿工解决复杂的数学难题来确认交易和生成新区块,这时候竞争的就是矿工之间的算力差。

[3]PoS:Proof of Stake,权益证明,通过持有代币的数量和时间来决定谁有权生成新区块,这时候竞争的就是矿工之间的财力差。

[4]双花攻击:双花攻击指的是同一笔加密货币被多次花费的情况。攻击者利用网络延迟或其他漏洞,使同一笔交易同时在不同的节点上被接受,从而实现双花。双花攻击的产生本质上还是因为数字货币是一个文件,容易被复制。

[5]51%攻击:假设有矿池占据了(51%)半数以上的算力,能够发动下面这些攻击:分叉攻击 因为算力占了半数以上,并且矿工挖矿任务被分配开并行进行,分叉出来的链的增长速度快于上面那条链,最终势必成为最长合法链。Boycott(封锁境域),以比特币为例,假设攻击者不喜欢某个账户A,不允许和A有关的所有交易上链。这时如果有人发布了含有和A有关的交易的区块,它可以很快发布一个不包含这些交易的区块,然后不必等候6个确认区块,立即发布到比特币网络上竞争最长合法链(因为速度永远大于其他人)。

[6]自私挖矿攻击:自私挖矿其实是一种运营策略——矿工们彼此“协作”,策略性地扣留和释放区块,创建私有链,知道比公共链更长时再公开,虽然可以提升自己的收入但会影响网络共识。

结语

总的来说chiliz在安全性方面通过使用透明且可审计的以太坊区块链和PoA共识算法,增强了交易的透明性和安全性,但仍面临矿工攻击、黑客攻击及监管不确定性等风险。

链源科技是一家专注于区块链安全的公司。我们的核心工作包括区块链安全研究、链上数据分析,以及资产和合约漏洞救援,已成功为个人和机构追回多起被盗数字资产。同时,我们致力于为行业机构提供项目安全分析报告、链上溯源和技术咨询/支撑服务。

感谢各位的阅读,我们会持续专注和分享区块链安全内容。