Что такое Finney Attack?
Finney Attack это ситуация, когда майнер тихо подготавливает блок, в котором отправляет монеты себе, затем оплачивает покупку у продавца теми же монетами через неподтверждённую транзакцию. Если продавец отдаёт товар до появления подтверждения, майнер публикует подготовленный блок и платёж отменяется. Представьте, что на кассе показывают ожидающий перевод, а потом банк его откатывает.
Часто думают, что Finney Attack требует контроля большинства в сети. Это не так. Это уже атака 51%, совсем другая ситуация. Для Finney Attack достаточно одного майнера, который найдёт блок в секрете и успеет совершить покупку до публикации блока.
Как работает Finney Attack
Вот как это происходит. Майнер включает платёж себе в блок, держит его приватным, затем тратит те же монеты у продавца, принимающего неподтверждённые платежи. Ушёл с товаром, после чего майнер публикует приватный блок и продажа отменяется.
- Подготовка: Атакующий участвует в майнинге, поэтому он может находить блоки и выбирать, что в них включать.
- Приватно: Он добывает блок в секрете, который отправляет монеты обратно себе. Шанс найти такой блок зависит от сетевого хешрейта и удачи.
- Трата: Он оплачивает продавцу теми же монетами через неподтверждённую транзакцию на кассе.
- Принятие: Если продавец отдаёт товар до появления подтверждения, атакующий рассылает свой приватный блок.
- Реорганизация: Сеть принимает приватный блок, подтверждает платёж себе, и платёж продавца исчезает. Атакующий остаётся и с монетами, и с товаром.
Быстро, незаметно, и работает только при принятии нулевых подтверждений.
Почему Finney Attack важен
Что стоит запомнить?
- Польза: Знание о такой атаке помогает не допустить обмана и потери средств.
- Перспектива: Это целевая форма двойной траты, она использует нетерпение при оплате на месте.
- Актуальность: Об этом говорят в контексте розничных криптоплатежей, личных сделок и площадок, принимающих неподтверждённые транзакции.
Для вещей, потеря которых будет ощутима, дождитесь хотя бы одного подтверждения или используйте эскроу либо платёж через Lightning. Нулевые подтверждения приемлемы для мелких покупок, но установите лимиты и обучите персонал не торопиться с нажатием кнопки подтверждения.
Основные черты Finney Attack
Эти признаки становятся очевидны, как только вы о них узнаете:
- Предвари́тельный платёж: В приватном блоке заранее включён платёж себе до покупки в магазине.
- Майнер: Работает только если атакующий может майнить блок, а не просто иметь кошелёк.
- Тайминг: Окно короткое, между продажей и публикацией приватного блока.
- Цель: Продавцы или участники, принимающие неподтверждённые транзакции.
- Масштаб: Не требует контроля большинства, это точный приём.
Варианты
Похожие приёмы и частая путаница:
- Гонка: Атакующий транслирует две конфликтующие транзакции и надеется, что у продавца первая «выиграет», а затем подтвердится другая.
- Vector76: Смешанный приём, который сочетает приватную сборку блока с сетевой гонкой, чаще направлен против бирж или крупных продавцов.
- Premine: Не то же самое, что предварительная добыча монет, это про выделение предложенных монет до запуска.
- Инструменты: Некоторые атакующие автоматизируют это как эксплойт, программируя мгновенный выпуск блока в момент завершения продажи.
Подтверждения существуют не просто так. Если вы принимаете неподтверждённый платёж от совершенно незнакомого человека, Finney Attack возможен, особенно если он слишком настойчив, чтобы вы сейчас нажали подтверждение.
Пример
Небольшой магазин электроники принимает платёж без подтверждений за ноутбук, покупатель уходит, затем появляется приватно добытый блок, который отменяет продажу, классический пример Finney Attack.
Интересный факт
Название связано с Хэлом Финни, одним из ранних участников Биткойна и получателем первой транзакции от Сатоши. Он описывал этот приём, чтобы показать, зачем важно ждать подтверждений.
Вывод
Если вы запомните одну вещь, то помните: Finney Attack представляет опасность только тогда, когда вы доверяете неподтверждённому платёжу.