一、明确概念：  p8 J; j; S6 M4 _$ ?4 S/ _, I
最常见的一种算力攻击方式是"51%算力攻击"，顾名思义，就是在控制的算力超过整个网络的50%的时候才能大概率完成的一种攻击。
6 p! S" D) \5 _0 n在发动51%算力攻击时，攻击者需要从主链的某一区块开始分出来一条私链，在私链的区块高度超过主链时将私链与主链合并，由于共识机制会选择最长且难度最高的链作为主链，所以攻击者可以用自己的私链覆盖主链，以完成某种目的。
) O( w. O! ~8 `3 _% n! d/ }这里需要明确的一点是：攻击者从主链中分出一条私链不等于分叉。- M6 e, p2 \1 A4 E
很多人将两者的概念混淆了，他们最大的区别是：前者的两条链是共识相同的两条链，是可以互相合并的，而分叉的两条链是共识不相同的两条链，不可以相互合并。
" k- P+ B& c" b* T; h9 U+ [51%攻击复现需要一条ETH私链，不会搭建的可以看上一篇ETH私链搭建的文章。; s5 W% ?( j* \' {4 I
场景：攻击者对某交易所利用51攻击发起双花交易。: Z! M! o6 o+ B% F1 A
二、攻击场景和大致流程：5 s5 T( Z3 v* F+ @- ^1 `; d
1.本地模拟一个主网环境，由一下节点组成; C! f6 Y) R, x- E5 Q
节点 A、节点 B 为诚实矿工，节点C 是受攻击者控制的高算力恶意矿工。0 h3 c; j5 ~; z7 ]: a- g- }7 r
2.节点A、节点B、节点C相连，形成一个主网。
% u! g7 {! y* m! t- h3.攻击者在主网上发起向交易所充值100 ETH的交易
1 G+ Y' K2 b1 r2 S4.攻击者控制节点C，脱离主网，形成一个私网（私网算力比主网算力高）。
: f$ n/ E, r3 U* `5 m5.攻击者在私网上发起向自己转账100 ETH的交易
# ], U* T0 I8 ^6.交易所在主网上查询余额确认是否收款成功，并给攻击者标记充值余额- Y. B  P" w1 p% k1 [& e
7.攻击者在交易所低价抛售100 ETH套现
4 J9 i7 D8 \3 A6 L8.攻击者抛售完ETH后将其所控制的恶意矿工并入主网，向交易所充值的交易被攻击者向自己转账的交易覆盖1 s5 E% F) {4 y8 d6 c% H
9.攻击者重新获得之前所充值的100 ETH
% {% V' b) i  R0 R10.攻击者完成双花交易+ {& f8 g# h9 a& x7 [! t) M5 ?
11.攻击者钱包余额为100ETH和大量套现现金，交易所损失100ETH
# e* R0 V: X6 ~. B+ [' ~9 K# M/ v  w
( e! g1 l6 n+ T- P1 p$ B三、环境模拟% u5 ]) B  V& ~
首先建立三个节点模拟主网环境
9 g& v6 K4 }- `: Q* j4 _节点相连: 节点C（四核CPU）  —> 节点B(双核CPU) —> 节点A（单核CPU） 形成主网，节点C的算力大于节点A、节点B的总和，掌控整个网络50%以上的算力。/ m) f, [- C) r! C; Z7 ~; b9 s; b
+ j+ H* q8 f+ P$ s* U# Z
节点B中生成两个账号，账号1为矿工账户，账户2为模拟交易所账户# h3 P7 U3 c1 A" u

% }' [0 G3 n7 |* c5 \B节点上的两个账号余额都为0
# Q  U0 I  k9 q1 c
2 K1 M( [8 Z7 {" m" P; v+ I我们通过在节点B和节点C中挖矿然后转到模拟账户
; Y* u, _9 [6 V( G节点B的B2账户已经有了450个ETH，此为模拟的交易所账户) ^2 U# H5 u* L5 {1 g
  H' Y0 L  G: P$ }7 x
节点C的C2账户已经有了100个ETH，此为模拟的攻击者账户* i; y, }: V- @$ A* h$ Z! v9 f) _
0 r( r; c5 u) A2 k
四、攻击模拟
* j# `5 Q# i8 B. E' K; ^攻击者在主网上发起向交易所充值100 ETH的交易0 {. ^# @& N/ g3 `( E4 f3 H
交易所地址：B节点的B2账户，余额450ETH
6 @/ q8 z: ~! G  V9 y) f4 A) K“0x1f516e2f519a6f31653486ab16450cff2ea836ce”
9 r! M/ |# \) `; S7 f- {2 T2 P' B攻击者地址：C节点的C2账户，余额100ETH
; g8 J0 ?" i- X9 E& ]4 M( E“0xbcfa293865c39b95711429c6a9b6b182c5b22466”
, P# U" }# G) w攻击者生成一个攻击者向交易所转账100ETH的交易签名
/ q7 Y" T" q+ C; S# J$ X
) F: `/ p# k6 w, I攻击者脱离主网，形成自己的私网（可以删除所有节点也可以拔网线断网，不与主网相连即可）
+ L7 J) e* {5 |/ e/ K, g
. H) y6 Q. W3 I然后在主网上广播交易
4 ?* }1 Q3 N4 y& b' R' X1 X& b7 c3 N5 }+ [$ N3 ]+ S
攻击者在私网中生成一个攻击者向自己钱包转账100ETH的交易签名% E7 t  a  u8 y* ^5 L7 w
然后在自己的私网上进行广播' q/ @' O: `3 j+ e

* H$ ?* w2 W/ n* |9 T1 f' g* G8 C由于主网上是有矿工在挖矿的，所以我们刚刚在主网上广播的交易，会很快被确认。9 X+ \! f1 [! H- P( r, _
交易所查询自己钱包余额是否增加了100个ETH: Q2 Y$ c1 e7 X# v8 m
可以看到，交易所的钱包里面已经增加了100个eth，而攻击者的账号减少了100个ETH# j: q3 ~9 D0 H6 e9 W
，所以攻击者的这笔交易是有效被承认的。2 y  {9 a' G8 e: R* u7 K
交易所在其交易平台网站上标记充值成功
+ I! ]+ \" a5 C# H! e. D
- E9 N: D; o9 u% A) Z攻击者在交易所上面抛售刚刚所充值的100个ETH假如当前价格为1000 人民币一枚攻击者抛售100个ETH后获得10万人民币。
$ ^3 ]6 q4 J" k  J& C( f抛售完毕后攻击者便可以将自己的控制的大算力恶意节点并入主网了$ e7 s. y! Q& ]% @" u
# [( S5 a  J! d9 ]$ l4 W7 Q6 e
此时攻击者的私网的区块高度已经达到了661块
' g) q( X  I: ?3 J3 I, x' u4 K, o. L* g; F" s7 \9 L" M0 B) z# ?2 @
而主网的区块高度才635块* Y' j9 ^8 I+ u  f
3 C! R0 d+ M1 G3 d2 \+ i% I& ^
攻击者并入主网
. s6 X3 e- |, U, E2 V; h. S! a
, g5 Q  H* `: q) B由于区块链共识机制：谁的链长且难度高就承认谁是有效的，并同步最长的链。可以看到，当攻击者控制的高算力节点并入主网后，主网上的节点都自动同步了攻击者的恶意节点的区块高度( u% ]) y: Q6 a3 r* t6 }$ j6 C
同时，攻击者向交易所转账的交易也被攻击者向自己转账的交易给覆盖了。
. @! I( H$ b' T# {0 t0 I4 e( r# D+ n4 [3 X4 k/ t/ e. ?2 i' S, _' `
此时在主网上查询攻击者的钱包余额和交易所的钱包余额会发现攻击者的ETH没有减少且交易所的ETH也没有增加，一切都和原来一样。但是黑客在交易所上确确实实抛售了100个ETH，成功套现了10万人民币，而黑客的ETH却没有减少，也就是说黑客的ETH被他花了两次，形成了双花攻击。
2 I0 {$ f1 c) ?- ]/ c
, O* G* M6 b, J0 u4 q' M! T在这次模拟攻击事件中，被黑客的攻击的交易所，损失了100ETH，而黑客在交易所中套现了自己所充值的100ETH获得10万人民币，并且自己的钱包的ETH余额没有减少。