V神和 Paradigm 研究合伙人:以太坊2.0合并后将有力抵御重组攻击_GASP:区块链币在中国合法吗

原文标题:《详解以太坊合并后的重组攻击》撰文:VitalikButerin与GeorgiosKonstantopoulos,前者为以太坊联合创始人,后者为Paradigm研究合伙人编译:ChenZou

最近,人们讨论了矿工采用假定被修改的以太坊客户端的可能性,该客户端允许他们接受贿赂,并在选定的区块中对交易进行排列。。

在这篇文章中,我们将解释为什么这种攻击模式在以太坊2.0合并后将更难执行。

分叉选择规则,为什么它很重要?

分叉选择规则是一个由客户端评估的函数,它把已经看到的区块和其他消息的集合作为输入,并向客户端输出「典型链」是什么。分叉选择规则是必要的,因为可能有多个有效的链可以选择。

重组是一个特殊事件,在这个事件中,曾经是经典链的一部分的区块不再是经典链的一部分,因为一个竞争区块击败了它。最终性是指分叉选择规则对某一区块非常有利,以至于该区块在数学上不可能被重合的情况。

在一些分叉选择规则中,重组是不可能发生的;分叉选择规则只是通过添加任何已经通过BFT共识并最终确定的区块来扩展现有的链。在其他分叉选择规则中,重组是非常频繁的。

PoW)区块链中,我们通常会看到「最长链规则」。这意味着,当客户端发现2条区块链时,它会选择总难度最高的一条。

V神提出“秘密地址”以加强隐私保护:金色财经报道,以太坊联合创始人Vitalik Buterin周末发布了一篇新博客,寻求通过“隐形地址系统”加强对区块链用户的隐私保护。在他的文章中,V神指出,确保隐私仍然是生态系统面临的一大挑战,“改善这种状况是一个重要的问题”。隐形地址是由钱包生成的,并混淆公钥地址,以便以私密的方式进行交易。要访问这些私人交易,必须使用一个称为“消费密钥”的特殊密钥。鉴于区块链上的交易是公开的,隐私一直是以太坊生态系统的一个大问题。尽管已有一些隐私机制,例如Tornado Cash,但它只能隐藏“主流可替代资产,如ETH或主要的ERC-20代币”。隐形地址将提供一种机制,为NFT和ENS域名添加隐私保护。(Coindesk)[2023/1/24 11:27:24]

举个例子,假设区块的难度可以是100或110,想象一下下面的场景。

我们从难度为100的区块1开始进行同步。

区块2a和3a分别以100的难度到达,我们将它们插入我们的链中,形成一个总难度为300的分叉。

难度为110的区块3b到达,宣布2a为其父方,形成总难度为310的分叉。分叉选择规则将注意到「最重」的链现在是第二个分叉,并将切换到它。这是1个块的重组,因为只有块3a被改变了。请注意,这些区块并没有被完全丢弃,因为可能会有一个新的区块到达,导致分叉选择切换回第一个分叉上。

V神:NFT需要经历多个寒冬才能理解它的长期价值:金色现场报道,10月26日消息,由万向区块链实验室主办的第七届区块链全球峰会在上海举行,以太坊创始人、万向区块链实验室首席科学家Vitalik Buterin分享称,DeFi和NFT发展的都非常不错,但他认为当前存在一个现象,人们很努力以至于使得DeFi很复杂,比如收益耕作使得智能合约出现合约风险,风险可能会大于收益。他认为最有用协议还是最简单的那种。他还认为,NFT非常具有价值,他给了创作者一个全新的商业模式,但他提醒公众,人们不应该假设说NFT按当前的形式在经济上是具有可持续性的,NFT需要经历多个寒冬。“我们看到这个领域的项目在6个月到1年里表现很不错,但1-2年时间里却会变得无名,我觉的必须要耐心等待,必须理解长期可持续的NFT会是怎么样的。[2021/10/26 20:58:19]

2b和3c区块到达,每个区块的难度都是110,创造了一个总难度为320的新分叉!这意味着分叉选择的难度是320。按照分叉选择规则现在将使用2b而不是2a,3c而不是3b,这些都是上一个经典链中的区块。这是一个2个区块的重新组合。

你可以看到这将会发生什么。如果一个新的区块4a到达,宣布3a为其父链,分叉选择规则将切换回第一个分叉,以此类推。

链重组的影响

由于延迟的原因,短暂的重组一直在发生。矿工A和矿工B可能同时找到一个有效的区块,但由于区块在p2p网络中的传播方式,网络的一部分区块会首先看到A的区块,另一部分会先看到B的区块。如果这两个区块的难度相同,就会出现平局,客户要么随机选择,要么选择较早看到的区块。通常情况下,当第三个矿工C在A的区块或B的区块上建造一个区块时,平局最终被打破,而另一个区块则被遗忘。偶尔,运气不好也会导致2-5个区块的重组。超过这个时间的重组几乎都是由于极端的网络故障,客户端错误,或恶意攻击造成的。

V神添加ETH质押奖励率计算规则 预期获得比理论最高水平略低的奖励:以太坊创始人V神刚刚在推特表示:“一项重要的说明:ETH质押奖励乘以在线验证者的百分比(例如,如果90%的验证者在线,则每个人的奖励将乘以0.9倍)。添加此规则是为了阻止验证者参与针对其他验证者的审查,自私采矿和其他对抗性策略。因此,可以预期获得比理论最高水平低几个百分点的奖励,但也不能太低,因为所有利益相关者都有很大的动力在线。

此前消息,V神发布计算ETH质押奖励率的python代码,并称希望不要有节点离线。[2020/11/12 12:21:56]

短暂的重组不是致命的,但它们仍然对网络产生以下这些严重后果。

节点成本:当重组发生时,由于必须切换到新的分叉,可能会回滚交易或修改区块链状态,因此会有一些存储问题。

用户体验下降:重新分叉的可能性意味着用户需要等待更长时间才能安全地将涉及他们的交易视为「确认」。这方面的一个重要子案例是交易所等企业在接受存款之前需要等待更长时间。

交易背景的不确定性:当用户发送交易时,他们对该交易将在什么背景下执行的确认性较低(例如,最近的N个区块会不会被恢复?值得注意的是,这增加了DeFi交易对意外失败,比预期差的交易结果或有害的MEV提取的可能性。

增加了51%算力攻击的可能性:在一个最长链规则驱动的系统中,如果链上的矿工从B1到B2重新排序,那么B1的难度就不再有助于确保链的安全。攻击者不再需要击败所有诚实的矿工,他们仅仅需要击败没有被重组的那部分诚实矿工。如果频繁重组,这就使攻击者的工作大大简化。

V神:DeFi用户低估了智能合约的风险:在最近的播客节目中,以太坊创始人Vitalik Buterin称,“DeFi还不错,但不是一个应该倡导很多普通人把毕生积蓄投入其中的地方。我认为一个重要的问题是,很多人低估了智能合约的风险。它的利率比传统银行账户的利率要高很多,这意味着DeFi产品的风险也要大得多,“崩溃”的几率也要高得多。”(Cointelegraph)[2020/7/29]

可能发生的最坏情况

在最坏的情况下,频繁的重组可以使区块链的结算保证完全失效,并阻止其继续进行。通常情况下,区块生产者的「激励兼容」策略应该是延长最长的链。但是,如果某个区块的后置状态有利可图,会发生什么?这个问题过去在没有区块奖励的比特币和自私采矿的背景下被探讨过,今天在以太坊生态系统中与DeFi相关的MEV背景下也被探讨过。

在这些情况下,有很大的动机试图通过竞争而不是延长经典链的顶端来「偷取」费用或MEV。在下面的例子中,区块1的后置状态是有利可图的,区块2a已经被开采。然而,不是1个而是3个区块生产者选择在区块1而不是区块2a的基础上进行开采,这可以扩展到任意数量的一方。

出于显而易见的理由,这样的模式为恶意的51%算力攻击打开了一扇大门。我们把从事这种重组开采战术的矿工称为「近视理性」,因为这样做的决定在短期内可能是理性的。然而,他们在以太坊上有明确的或隐性的多头头寸,这意味着任何这种减少用户对以太坊信任的攻击都是违背他们的终极利益的,因此从长远来看是不理性的。

V神:我的家用笔记本电脑可以很好地处理以太坊L1:以太坊创始人V神今日在推特表示,我的家用笔记本电脑可以很好地处理以太坊L1。你可以设计一个rollup,它需要定期在链上发布状态树(state tree)中间的sqrt(N)哈希值,这样一来,一台家用笔记本电脑就足以成为超大容量的rollup。[2020/7/29]

合并后的以太坊与权益证明

在NakamotoPoW中,区块在分叉选择中被「串行」固化。首先,一个区块被开采出来,这时,一个竞争区块有可能会重组它。如果该区块作为经典链的一部分存活下来,在13秒后,其他一些矿工在上面建立了第二个区块。在这一点上,需要一个由两个竞争区块组成的链来重新组织它。随着更多的区块被建在上面,重新org链的难度继续增加,但速度很慢。

以太坊的信标链实现了一个名为Gasper的PoS协议,有一个名为LMD-GHOST的分叉选择规则。与NakamotoPoW相反,在区块生产过程中,有2个角色。

提议者:一个验证者的任务是提出一个区块。

参与者:一组验证者投票决定他们认为哪个区块是经典链的头。鉴定人的投票被称为「证明」,他们为区块赋予「权重」。控制鉴定人意味着控制分叉选择规则。

每12秒有一个「槽」,它代表了一个提出区块的机会。对于每个时段,一个洗牌算法伪随机地选择一个由所有验证者的1/32组成的委员会,其中每个委员会中的一个验证者是提议者,其余的是赞成者。审定者对他们认为是经典链的一部分的区块进行平行投票。由于委员会是伪随机抽样的,攻击者没有办法将他们的验证者集中到一个单一的位置。

今天,信标链有19.6万个验证器,这意味着每个槽都有一个大小为6125的委员会。因此,即使是单一区块的重构也是非常困难的,因为一个只控制了少数验证者的攻击者没有办法击败成千上万的诚实的大多数参与者。

为了获得一些关于为什么会这样的直觉,让我们看一个有2个插槽和24个验证者的例子,其中9个是恶意的。验证者被分成两个委员会,由于随机洗牌,对手不太可能控制他们被分配到的任何一个小组的50%以上,并导致重组。

更正式地说,拥有p%股权的恶意行为者控制N个验证人规模的委员会中超过50%的概率遵循二项分布。

计算不同情况下的概率,我们得到以下表格:

我们现在明白,直接进行重组需要攻击者控制接近50%的验证者。

如果攻击者拥有25-49%的验证者,还有更微妙的攻击是可能的。然而,这些攻击有已知的修复方法,可以不引人注意地实施,增加安全性,接近无条件的50%。

最后,长时间的恢复是不可能的,因为所有深入到过去2个纪元的区块都被认为是「最终确定」的,也就是说,不可能恢复过去。如果攻击者导致两个冲突的区块被最终确定,系统将需要回落到socialintervention来恢复。

重组战略采用的博弈论

既然我们已经看到了重组策略在不同的分叉选择规则中是如何运作的,那么就值得通过一个简单的博弈论例子来了解矿工或验证者何时使用执行重组策略的软件来获利才是合理的。

我们可以用一个回报矩阵来通俗地描述每种情况,其中「缺陷」意味着「下载并使用执行反欺诈的软件」。报酬是「短视」的,没有考虑到长期后果。

中本聪工作证明

在最长链PoW中,短距离重组可以用验证器集的哪怕一小部分进行概率性的重组。偶尔总会有一些区块具有有利可图的后置状态,以至于即使是1-10%的成功率也值得尝试与该区块的现有子块竞争。

矿工可以是一个中等规模的矿池,依靠他们连续找到下一个2-3个区块的可能性,或者他们可以将他们收入的一部分送入一个任何人都可以索取的合同中,以贿赂其他运行相同软件的人在他们的链上建立并帮助它对抗现有的经典链。

因此,一些矿工可能会被诱惑去运行reorg客户端。

Gasper

在Gasper中,1-64个槽位的重组是可能的,但需要攻击者控制整个验证器集的很大一部分。除非有非常多的其他验证者也同时采用,否则采用重组挖矿软件是没有用的。

因此,如果51%的验证者有哪怕是最轻微的利他主义,那么没有一个人运行重组软件是一个稳定的均衡状态。

Tendermint

在Tendermint中,情况甚至更干净:重组是不可能的,任何违反单槽最终性的行为都需要1/3以上的验证者被砍掉。与Gasper的情况类似,这也意味着没有人运行重组软件才是一个稳定的均衡。

从上面我们可以看出,虽然采用「reorggeth」在所有情况下都是可能的,但基于平行证明概念的分叉选择规则有诚实的均衡状态,且它将比Nakamoto分叉选择中的均衡更稳定。

经验之谈

在以太坊的背景下,最有效的预防措施是进一步加快合并的工作,特别是迅速实现可信的能力,进行「紧急合并」,将链过渡到PoS。急于合并会有很高的风险,可能会破坏基础设施,但如果许多矿工开始重新攻击链,一个可信的承诺将对这种行为起到抵制作用。

接近合并的时期风险最大,因为矿工仍然是系统的负责人,但他们的时间跨度缩短了。然而,有两个因素缓解了这种风险。

以太坊矿工往往同时是其他区块链的矿工,和/或以太坊社区其他身份的成员,所以他们仍然会有良好行为的动机。

随着合并的临近,进行紧急合并的难度、成本和风险也在降低。在合并的预定日期前几个月,紧急合并将是具有高度破坏性的。在合并预定日期的两周前,对客户来说,这将是一个参数设置,验证操作器已经完成了下载。

合并后,重组验证将成为一个更小的问题,因为单个验证者或一小群验证者不能独自重组。重组攻击想要成功必须解决极其困难的协调问题,即让大多数验证者同时下线。然而,一些小的风险仍然存在。如果希望进一步提高安全性,那么以太坊可以进一步调整分叉选择规则,将重组攻击的要求提高到50%的理论最大值,或者找到一种方法,直接转向单槽inality的共识。

本文转自比推BitpushNews,星球日报经授权转载

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:0ms0-4:188ms