Bitcoin Forum
December 13, 2017, 11:24:34 PM *
News: Latest stable version of Bitcoin Core: 0.15.1  [Torrent].
 
   Home   Help Search Donate Login Register  
Pages: [1]
  Print  
Author Topic: 拒绝付款套利攻击覧比特币场外交易的一种攻击手法及防范  (Read 239 times)
btc_sunny
Full Member
***
Offline Offline

Activity: 210



View Profile
May 12, 2017, 02:44:40 AM
#1

第0章 引言
 

比特币场外什么坏人都有,而且坏人还很勤奋,想的办法很多。

本文介绍一种攻击场外交易员的办法。

 

第1章 场外交易平台的交易流程
 

讲行骗方法之前,还是用最简单的话说下场外交易流程。

一个标准的场外交易平台上的交易流程是这样的:

卖家在平台挂卖单;
买家下单,然后平台会锁定卖家的币;
买家用银行转账和支付宝等向卖家付款,然后通知平台,已经付款;
卖家确认收到款后,选择放行锁定的币,平台将币转账到买家账户上。
交易完成。
这个过程的第3个环节,买家一般会有90分钟的付款时间。如果90分钟内买家不付钱,交易就自动取消。如果买家点击了已付款,那交易才不会被取消。

好,这种拒绝付款攻击,就是利用这个90分钟的时间来完成攻击。

 

第2章 拒绝付款套利攻击
 

因为比特币价格波动性大,在90分钟内,价格有可能涨,也有可能跌,当然还能横盘。

买家本身就是一个攻击者。

现在买家在场外交易平台上下单,购买一笔比特币。比如按价格12500/BTC,购买10BTC。

这时间买家有90分钟的付款时间。

同时买家在一个比特币交易所盯盘,等价格上涨,一旦90分钟内价格上涨了,买家就在交易所卖出10BTC。

然后买家通过支付宝或银行转账等向卖家付款,将场外交易的订单确认,购买。

如果在这90分钟内,价格没有上涨,那买家就取消掉在场外交易的这笔订单。

这种方式,买家可以无风险套利。

因为交易所买币要手续费,比特币转账也要手续费,考虑到各种成本,只要在90分钟比特币价格上涨幅度超过了各种手续费等交易摩擦的总和,那买家就可以完成套利。否则买家就放弃,进行下一轮攻击。

这种攻击手法,对卖家的伤害是他的币被锁定时,就无法交易了。这样资金的利用效率会大大降低。这类似于淘宝店遇到竞争对手将店里所有的库存全部拍下来,但拒绝付款,等24小时后自动取消交易。这样这个店24小时内就无法运营了。

对卖家的另外一个风险是对冲失败。一般场外交易的卖家会采用对冲的办法来保证自己的货源充足。比如在场外交易平台卖一个币,他会通过其他渠道购买一个币。这样保证币的总量不会减少。一般这种对冲,卖家会在锁定币的时间里快速完成对冲,不会等买家付完款后才去购买币。否则价格波动的风险太大。

但买家对卖家发起拒绝付款攻击后,如果90分钟内价格横盘或下跌,买家取消交易。那卖家的对冲就失败了。卖家白白多买了几个币。

 

第3章 如何防范拒绝付款攻击
 

这种攻击完全是在规则允许范围内做的,要做好防范,那只能由平台来判断并对攻击者实施惩罚。

第一类办法就是平台对有嫌疑的买家做限制和惩罚。

平台可限制买家一天内可取消交易的次数。比如一个买家一天最多取消三笔交易。这种办法就和我们买火车票,在12306平台,一天只能取消三次订票一样。

平台可以对取消更多的交易进行收费之类。比如一个买家一天有5次取消交易的机会,多了就要付费。

平台可以对频繁取消交易的买家进行付款时间降低的惩罚,让你没有时间完成攻击。

第二类就是卖家主动举报这样的买家。或者让卖家可以主动建立黑名单,拒绝这样的买家。

 

第4章 结束语
 

长期来看,做好人其实更划算的。
作者:tan90d

1513207474
Hero Member
*
Offline Offline

Posts: 1513207474

View Profile Personal Message (Offline)

Ignore
1513207474
Reply with quote  #2

1513207474
Report to moderator
1513207474
Hero Member
*
Offline Offline

Posts: 1513207474

View Profile Personal Message (Offline)

Ignore
1513207474
Reply with quote  #2

1513207474
Report to moderator
The Bitcoin software, network, and concept is called "Bitcoin" with a capitalized "B". Bitcoin currency units are called "bitcoins" with a lowercase "b" -- this is often abbreviated BTC.
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1513207474
Hero Member
*
Offline Offline

Posts: 1513207474

View Profile Personal Message (Offline)

Ignore
1513207474
Reply with quote  #2

1513207474
Report to moderator
lkwatj
Full Member
***
Offline Offline

Activity: 196



View Profile
May 12, 2017, 03:27:35 PM
#2

我也遇过
feier
Sr. Member
****
Offline Offline

Activity: 278


View Profile
May 12, 2017, 05:41:19 PM
#3

原来还可以这么玩,学习了,谢谢。祝好人一生平安。

lzqjvh
Full Member
***
Offline Offline

Activity: 154



View Profile
May 14, 2017, 02:55:35 AM
#4

原来还可以这样啊 Huh,手段真高明
lyhdoh
Member
**
Offline Offline

Activity: 84


View Profile
May 14, 2017, 04:58:34 AM
#5

充分打压竞争对手啊
Pages: [1]
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!