EOS:隨機數在區塊鏈中的應用

近日，OG無涯社區聯合創始人紅軍大叔受邀在PlatON中文Telegram群參加快閃活動，向社區成員分享了關于隨機數的小知識，我們將其分享內容奉上以餮讀者。01什么是隨機數？

在參與抽獎或抽樣的過程中，我們經常聽到“隨機數”這個詞。隨機數在密碼學中有著非常基礎且重要的地位，常用于密鑰和安全參數生成。而在日常生活中，隨機數也是保障公平性的重要手段，廣泛應用于抽樣、抽簽、抽獎等場景當中。隨機數在區塊鏈中也應用廣泛，除了密鑰生成等傳統安全場景，在共識機制、零知識證明等熱門場景中也發揮著重要的作用，保護著區塊鏈的安全。首先我們來說隨機數是什么。隨機數并不是一個具體的數，而是在通過隨機數生成器產生的一個或一組數的序列。這個序列所能出現的元素來自確定的集合，每次選出的元素不可預期，但元素出現的概率恒定的。譬如說扔一枚六面均勻的骰子，結果不可預期，但每個面的概率都是相等的，每次擲出的結果就可以作為一個隨機數生成的方法。真隨機數一般來自物理世界的隨機行為，需要進行噪聲搜集，而在計算機科學中，一般使用確定性的算法來模擬隨機數的生成，也稱偽隨機數。對偽隨機數的檢測非常重要，全面、完備的檢測可以避免算法缺陷或人為后門造成的風險。目前常用的隨機數檢測標準有NISTSP800-20和GB/T32915-2016等。需要補充的是，在NIST這份標準提供的參考實現中，就曾被懷疑植入過后門。Dual_EC_DRBG，目前該推薦實現已經被刪除。而在密碼學重要會議Crypto2020中，也有一篇對NISTCTR-DRBG這個隨機數生成器的安全分析，指出了其缺陷并給出了修復方法。而在會議接受的論文里，研究隨機性相關問題的論文多達6篇。這都說明隨機數的問題并不簡單，也馬虎不得。02隨機數與區塊鏈應用

動態 | EOS DApp EOSPlay 遭遇新型隨機數攻擊:據慢霧區情報，EOS DApp EOSPlay 中的 DICE 游戲于昨晚遭受新型隨機數攻擊，損失數萬 EOS。目前項目方已經把游戲暫停。經過慢霧安全團隊的分析，發現攻擊者（賬號：muma******mm）可能使用下列方式達到攻擊目的。

1、攻擊者為自己和項目方租用了大量的 CPU

2、攻擊者發大量 defer 交易

3、由于以上兩點原因，導致 CPU 價格被拉高，從而導致其它用戶 CPU 不足

4、因為 CPU 不足的原因，其他用戶難以發送交易，攻擊者得以使用自己交易占滿區塊

5、根據提前構造的交易內容，攻擊者可以成功預測出區塊哈希

由于項目方采用的是使用未來區塊 id 的方式開獎，通過控制區塊內的交易內容，就能控制區塊信息，進而控制區塊 id，達到預測開獎結果的目的。慢霧安全團隊建議 DApp 開發者使用更為安全的隨機數生成方式，避免遭到隨機數攻擊。同時，特別感謝 WhaleEx 在此次分析過程中提供的幫助。[2019/9/14]

在區塊鏈中，由于較難從物理世界中獲取隨機噪聲，生成隨機數的難度更大。目前一般的思路是通過幾種不同策略組合使用：一是通過多方協同生成；二是通過哈希函數等隨機預言機引入隨機性；三是通過承諾-揭示協議降低參與方作弊可能；四是引入門限協議或經濟約束提高產生隨機數的成功率。其中，安全多方計算技術是產生高質量的鏈上隨機數的重要基礎技術。引入門限協議，通過秘密共享或門限簽名的方式，可以避免隨機數生成方案因為一個參與方沒有完整執行流程而失敗，具備一定的容錯性，提高隨機數產生的成功率。引入經濟約束，可以避免參與方通過拒絕揭示的方式影響隨機數結果，對惡意的參與方進行懲罰。PlatON基于安全多方計算技術，可以讓多方不可抵賴地協同生成隨機數，更好地為鏈上隨機數提供解決方案。

聲音 | PeckShield硅谷研發中心負責人Jeff: 競猜類DApp鏈上隨機數機制存在根本缺陷:在談到為何EOS競猜類游戲很難免疫“交易阻塞攻擊”(CVE-2019-6199)時，PeckShield硅谷研發中心負責人Jeff坦言：“所有競猜類游戲基本都包含隨機數的游戲機制，但本質上隨機數和區塊鏈網絡要求所有分布式節點運算結果保持一致存在內在矛盾。現有隨機數解決方案(鏈上開獎)都采用的是鏈上數據(可能加上了未來等時間因素)，一定程度上可以實現偽隨機，但黑客可以搶先算出結果進而實現攻擊。所以，建議所有采用鏈上開獎機制的競猜類DApp務必高度重視“交易阻塞攻擊”潛在的安全風險，在根本解決方案找到之前，應采用block.one官方推薦的隨機數生成方案(包含鏈下隨機種子)，做好安全布控或搭建風控系統，排查潛在被攻擊的風險。[2019/1/17]

金色財經現場報道 TASchain創始人吳軼群：比特幣的精髓是隨機數據力:金色財經現場報道，在2018區塊鏈產品技術峰會上，TASchain創始人吳軼群表示，比特幣的精髓是什么？就是一個隨機數據力。比特幣如果只考慮安全放棄去中心化，只會是幾個分散的云計算聯合體。而只有把去中心化放在最重要的位置，才是真正的創新。[2018/4/28]

Tags：EOS區塊鏈APPDAPP柚子幣eos最新真實消息區塊鏈工程專業學什么課程好速幣app下載dapp幣價格

酷幣交易所