CFA:發動51%攻擊，可能觸犯哪些法律？_CFT

來源：Medium

作者：JoshLawler

編譯：頭等倉

51％的攻擊相當于區塊鏈世界的恐怖襲擊。攻擊者不僅會帶來一些直接威脅，而且還將帶來一些間接危害，比如嚴重破壞公眾對被攻擊的區塊鏈的信心，甚至影響圈外人士對區塊鏈技術的看法。此外，攻擊者可能會在宣布成功攻擊之前，在交易所上做空一種加密貨幣，這比直接通過攻擊賺取更多的錢。這種不義之財也更難追蹤。盡管51%可能帶來這么多破壞，但法律法規可能尚未準備就緒，無法適用于51％攻擊的預防和索賠。

它并不經常發生，但可以發生

大約一個月前，Vertcoin鏈“成功”遭受了51％的攻擊。這條基于工作量證明的加密貨幣的由603個“真實”區塊構成的創世區塊鏈被由553個人工區塊構成的鏈所取代。這是過去一年里第二樁成功的51%攻擊。Vertcoin聲稱是一種比特幣替代方案，旨在通過用戶友好的挖礦協議實現礦工力量的去中心化。不過在此我們應當撇開Vertcoin本身的優缺點，向黑客拋出一個問題，即當單個實體控制了51%算力并惡意利用，到底觸犯了那些法律？下文將把美國現有的法律拿出來做參考。

扎哈羅娃：Meta和其他美國互聯網平臺公開參與美對俄發動的信息戰爭:當地時間15日，俄羅斯外交部發言人扎哈羅娃在其個人社交主頁表示，Meta公司和其他美國互聯網平臺公開參與美國對俄羅斯發動的信息戰爭。俄烏沖突爆發后，Meta允許部分國家用戶在“一定語境下”發帖呼吁對俄羅斯人和俄羅斯軍人施以暴力。當地時間3月21日，俄羅斯莫斯科維特爾地方法院裁定Meta為極端組織。（央視）[2022/4/16 14:27:50]

有人會說，在一些更成熟的區塊鏈上很難發生51%攻擊。不，不經常發生不代表不能發生。以下是一些近期統計數據，概括了對一些PoW區塊鏈進行一小時51％攻擊所需的資金。

BCH：72,000美元LTC：64,000美元DASH：15,000美元ETC：10,000美元

至少有兩個因素可促成51％的攻擊：

1）專為特定的PoW挖掘算法而構建的專用ASIC礦機，可集中存儲哈希算力；2）利用諸如NiceHash之類的服務從ASIC礦工那里廉價租用哈希算力。

其實甚至比特幣和以太坊也可能遭受51％攻擊，一些國家的政府或非常有錢的人具有發動攻擊的雄厚財力。

神魚：USDM項目方發動Rug Pull卷走3500萬美元，USDM已接近歸零:11月11日晚間，魚池F2Pool創始人神魚在微博上表示，USDM礦工一共被項目方割走了3500萬美元。此前他發出風險提醒稱，在挖USDM CRV池的撤退下，CRV已經取消獎勵，項目方可以操控mochi無成本增發USDM砸盤。隨后，他又表示，USDM已經差不多歸零了。[2021/11/11 6:47:03]

持有51%算力是否合法？

沒有關于“51％攻擊”的法律定義。但從軟件工程的角度來看，獲得對協議哈希能力的51％控制是不好的。也就是說，目前僅從法律的角度來看，這本身并不是非法的。

一旦單個實體擁有51%控制權，他就可以：

1）刪除或修改鏈上交易；2）進行反向交易；3）阻止網絡發生任何交易；4）阻止其他礦工打包和確認區塊；

不過他不能：

1）更改協議的元素，例如區塊獎勵數額，創建新幣或直接從其他用戶地址中竊取幣；2）讓其他用戶也進行雙花。

胡塞武裝：對沙特阿美在吉達和朱拜勒的石油精煉廠發動了襲擊:也門胡塞武裝方面表示，用十架無人機對沙特阿美在吉達和朱拜勒的石油精煉廠發動了襲擊。[2021/4/12 20:10:33]

從法律上講，持有51%的哈希算力，并不違反任何法律。你可以把它想象成在捕魚季節外的湖邊拿著漁具，使用漁具開始捕魚，你就觸犯了法律。坐在那里渴望地凝視著湖水，你仍然是一個守法的公民。相比之下，涉及直接盜竊的行為比較容易。幾乎所有的州都會對故意重復支出的行為進行處罰。

什么情況下擁有51％算力構成了犯罪行為？

如果攻擊者阻止網絡上的交易，那該如何處理？或者如果攻擊者阻止其他礦工確認區塊呢？如果攻擊者只公開表明自己可以做些更邪惡的事情，那又該如何處理？

在美國，除非法律規定，否則任何行為都不構成犯罪。盡管立法者已將注意力轉移到數字資產及其交易上，但有效法律并未具體描述擁有51％算力的人的什么行為會觸犯刑法。不過聯邦確實出臺了一些針對法規。

分析：匿名實體已壟斷DigiByte兩種算法的礦池算力 或可對其發動51%攻擊:據Reddit上發布的詳細分析，一個匿名實體正在使用高級挖礦硬件并開始壟斷Digibyte其中兩種算法Skein和Qubit的礦池算力。該實體挖礦的速度大約是其他礦工的三倍。該分析考慮了萊特幣創始人Charlie Lee對DigiByte的“5種算法系統”的評論，即這并不比萊特幣更安全。總而言之，分析稱“這個實體在NiceHash上租幾百美元的算力就可對該網絡發動51%攻擊。具有諷刺意味的是，就在幾天前，DigiByte聯合創始人Jared Tate還重申了基金會對權力下放的承諾。據了解，DigiByte是一個基于PoW共識算法的網絡，于2013年推出。與許多其他加密貨幣不同，它使用五種不同的挖礦算法，包括Scrypt、SHA256、Qubit、Skein和Groestl，旨在增加網絡的去中心化程度。（CryptoPotato）[2020/4/27]

51％攻擊與計算機詐騙和濫用法

與該問題最相關的法規是《計算機詐騙和濫用法》。據CFAA規定，“故意造成程序、信息、代碼或命令的傳輸，并且在未經授權情況下對受保護的計算機造成損害”是一種犯罪行為。合謀實施或“企圖實施”這些行為同樣是犯罪行為。

NEM遷移委員會發布最新開發動態，繼續進行Symbol開發:3月24日，NEM遷移委員會發布公告稱，將繼續進行Symbol開發。目前正在討論NIS1（當前版本的NEM）上的超級節點的未來、更廣泛的節點保證計劃、代幣學評論以及社區和開發人員支持等四個主題。[2020/3/25]

據CFAA規定，如果符合以下所有條件，即構成犯罪：

1）存在“程序、信息、代碼或命令的傳輸”；2）據CFAA規定，“損害”指的是對數據、程序、系統或信息的完整性或可用性造成任何損害；3）造成損害的原因是“未經授權”4）損害是對“受保護計算機”的損害，其中包括“用于或影響各州或外國商業或通訊的計算機，包括位于美國境外的計算機……”

看完這些條件，人們不禁想知道CFAA能夠提供多少保護。該法律明確將重點放在特定計算機的活動上。

如果擁有51％算力的攻擊者有權創建已驗證交易的新區塊，但不將這些新區塊傳輸給驗證節點，使其添加到區塊鏈中，那這是否存在“傳輸”？攻擊者是否還可以關閉其控制的節點以降低區塊鏈的處理速度？據CFAA規定，缺乏傳輸可以免責嗎？

區塊鏈作為分布式系統如何符合CFAA的“受保護計算機”定義？由于對區塊鏈的損害可能不涉及對物理“受保護計算機”的“未經授權”損害，因此CFAA可能不適用。此外，如果攻擊僅僅是公開表明可以進行攻擊，那么CFAA可能也不適用。

在公鏈領域中，CFAA缺乏授權要求也十分模糊。擁有51％算力的攻擊者有權控制節點。即便將“受保護計算機”概念擴展為包括區塊鏈，也需要授權。區塊鏈協議已經考慮到了惡意行為者，并采取了相應的保護措施。這些處罰是否證明了所有行為均已得到授權，并遵循協議中的處罰。明目張膽的詐騙或盜竊行為并不意味著礦工有權以自己喜歡的方式確認交易。如果挖礦費用可以用于激勵交易確認速度，那為什么礦工的其他議程不能在他們的挖礦決策中發揮作用？

簡而言之，CFAA可以阻止明目張膽的盜竊和詐騙，但不能為可能遭受間接損失的公眾提供理想的保護。

51%攻擊與商品交易法

《商品交易法》確立了商品期貨交易委員會的權力和職責。據CEA定義，“商品”一詞極為寬泛，一般適用于幾乎所有的數字資產）。特別值得注意的是第6條，該條規定，“任何人在州際貿易中直接或間接使用或企圖使用與商品銷售有關的任何操縱性或詐騙手段，均違反了CFTC法規。”只要有一個51%攻擊成功案例被披露，就會產生一個市場環境，攻擊方通過交易數字資產獲利，那么CEA第6條似乎就會涵蓋到這一點。

不過，法院可能不會同意。雖然51%攻擊看起來是“操縱性”的，而且可能具有詐騙性，但合法獲得區塊鏈協議的51%算力可能不會真正觸發責任。CEA第6條規定的責任取決于以下四個要素：

1）涉嫌操縱者意圖以一種歪曲合法供求力量的方式操縱市場價格；2）涉嫌操縱商品市場價格；3）存在人為價格；4）涉嫌操縱者的行為造成了人為價格。

要證明攻擊者有操縱意圖是最為困難的。CFTC過去稱，“為了證明具有操縱或意圖操縱的意圖，必須證明被告行為是出于目的或有意識影響市場上不反映合法供求力量的價格。”僅僅具有影響價格的意圖是不夠的；CFTC必須證明，被告有意造成人為價格。

在CFTC訴威爾遜一案中，紐約南區法院大幅縮小了CFTC處罰市場操縱行為的范圍。針對CFTC的調查結果表明，“在掉期交易中，比交易對手更聰明并不違法，比發明金融產品的人更了解金融產品也不違法。”

威爾遜案中的被告已達成協議，根據該協議，某特定掉期市場價格確定了被告向交易對手支付的利息。然后，被告在當日的該段時間內出高價，指望市場缺乏流動性，以至于沒有交易對手接受高出價。如此一來，支付的利息就可得到減少。

在發生51％攻擊的背景下，威爾遜的決定似乎為攻擊者提供了方便之門，使攻擊者能夠通過公開聲明造成市場價格下跌。沒錯，系統的確被攻擊者玩弄在股掌之間。這本身可能也并沒有違反CEA規定。

51％攻擊與1934年證券交易法

如果1934年《證券交易法》及其頒布的規則和法規適用，則可以提供更多的保護。當然，某特定代幣是否被視為“證券”仍然是個問題。首先，合規的證券交易所或代幣可交易的替代交易系統寥寥無幾。也就是說，在市場操縱方面，證券法比CEA要完善得多。總而言之，第10條和第10-5條規定，與購買或出售證券有關的人士滿足以下條件均屬違法：

“出于公共利益或保護投資者的目的，違反SEC可能規定的必要或適當規則和條例的操縱性或詐騙手段或措施。”

換句話說，在CFTC必須依賴CEA的情況下，SEC可以開發一些靈活性來應對新的市場操縱行為。那么問題就來了，僅披露具有51％攻擊能力是否具有足夠的操縱力？

簡單案例應包括在內。使用51％攻擊來破壞區塊鏈或雙花代幣，這可能就相當于犯罪。為避免違反CFAA和CEA，具有創造力的交易員可能會找到合法的途徑來利用市場反應。

結語

總而言之，公共去中心化區塊鏈協議的優勢必須來自協議本身。依靠政府保護實際就是受政府監管，這既具有諷刺意味，又盲目樂觀。別忘了，即使法律趕上了技術前沿案例，美國的法律體系也需花費數年的時間，而且涵蓋的地理范圍也很有限。說到底，鏈上治理才是唯一真正的保護來源。

Tags：區塊鏈CFAFTCCFT區塊鏈專業方向好就業嗎CFA幣NFTC價格CFT幣

DYDX