BRC贝尔链

一文解析ETH合并后的重组攻击

资讯 2021-08-09 06:03179www.gaideyx.com未知

4.合并后的ETH与权益证明

在 Nakamoto PoW 中,区块在分叉选择中被 "串行 "固化。第一,一个区块被开采出来,这个时候,一个角逐区块大概会重组它。假如该区块作为经典链的一部分存活下来,在(平均)13秒后,其他一些矿工在上面打造了第二个区块。在这一点上,需要一个由两个角逐区块组成的链来重新组织它。伴随更多的区块被建在上面,重新 org 链的困难程度继续增加,但速度非常慢。

ETH的信标链达成了一个名为 Gasper 的 PoS 协议,有一个名为 LMD-GHOST 的分叉选择规则。与 Nakamoto PoW 相反,在区块生产过程中,有2个角色。

  • 建议者:一个验证者的任务是提出一个区块。

    参与者:一组验证者投票决定他们觉得什么区块是经典链的头。鉴别人的投票被叫做 "证明",他们为区块赋予 "网站权重"。控制鉴别人意味着控制分叉选择规则。

    每12秒有一个 "槽",它代表了一个提出区块的机会。对于每一个时段,一个洗牌算法伪随机地选择一个由所有验证者的 1/32 组成的委员会,其中每一个委员会中的一个验证者是建议者,其余的是赞成者。审定者对他们觉得是经典链的一部分的区块进行平行投票。因为委员会是伪随机抽样的,攻击者没方法将他们的验证者集中到一个单一的地方。

    今天,信标链有 19.6 万个验证器,这意味着每一个槽都有一个大小为 6125 的委员会。因此,即便是单一区块的重构也是很不简单的,由于一个只控制了少数验证者的攻击者没方法击败成千上万的诚实的大部分参与者。

    为了获得一些关于为何会如此的直觉,让大家看一个有 2 个插槽和 24 个验证者的例子,其中 9 个是恶意的。验证者被分成两个委员会,因为随机洗牌,对手不太可能控制他们被分配到的任何一个小组的 50 %以上,并致使重组。

    更正式地说,拥有 p %股权的恶意行为者控制 N 个验证人规模的委员会中超越 50 %的概率遵循二项分布(其中 k = N/2 )。

    计算不同状况下的概率,大家得到以下表格:

    大家目前了解,直接进行重组需要攻击者控制接近 50 %的验证者。

    假如攻击者拥有 25-49 %的验证者,还有更微妙的攻击是可能的。然而,这部分攻击有已知的修复办法,可以不引人注意地推行,增加安全性,接近无条件的 50 %。

    最后,长期的恢复是不可能的,由于所有深入到过去 2 个纪元的区块都被觉得是 "最后确定 "的,也就是说,不可能恢复过去。假如攻击者致使两个冲突的区块被最后确定(比如通过控制 67 %的股权),系统将需要回落到social intervention 来恢复。

    2.ETH的近况是什么?

    在ETH如此的工作量证明区块链中,大家一般会看到 "最长链规则"(或者更准确地说,"最高总困难程度链规则")。这意味着,当推广客户端发现 2 条区块链时,它会选择总困难程度最高的一条(即该链中所有区块的困难程度之和)。

    举例,假设区块的困难程度可以是 100 或 110 ,想象一下下面的场景。

    1.大家从困难程度为 100 的区块 1 开始进行同步。

    2.区块 2a 和 3a 分别以 100 的困难程度到达,大家将它们插入大家的链中,形成一个总困难程度为 300 的分叉。

    3.困难程度为 110 的区块 3b 到达,宣布 2a 为其父方,形成总困难程度为 310 的分叉。分叉选择规则将注意到 "最重 "的链目前是第二个分叉,并将切换到它。这是1个块的重组,由于只有块 3a 被改变了。请注意,这部分区块并没被完全丢弃,由于可能会有一个新的区块到达,致使分叉选择切换回第一个分叉上。

    4.2b 和 3c 区块到达,每一个区块的困难程度都是 110 ,创造了一个总困难程度为 320 的新分叉!这意味着分叉选择的困难程度是 320 。根据分叉选择规则目前将用 2b 而不是 2a , 3c 而不是 3b ,这部分都是上一个经典链中的区块。这是一个2个区块的重新组合。

    你可以看到这将会发生什么。假如一个新的区块 4a 到达,宣布 3a 为其父链,分叉选择规则将切换回第一个分叉,以此类推。

    Gash3er

    在 Gasper 中, 1-64 个槽位的重组是可能的,但需要攻击者控制整个验证器集的非常大一部分(由于他们不可以把赌注集中在某个特定的槽位上,所以他们需要有足够大的筹码在他们想攻击的槽位范围内随机选择)。除非有很多的其他验证者也同时使用,不然使用重组挖矿软件是没用的。

    因此,假如 51 %的验证者有就算是最轻微的利他主义,那样没一个人运行重组软件是一个稳定的均衡状况。

    中本聪工作证明

    在最长链 PoW 中,短距离重组可以用验证器集的就算一小部分进行概率性的重组。偶尔总会有一些区块具备有利可图的后置状况,以至于即便是 1-10 %的成功率也值得尝试与该区块的现有子块角逐。

    矿工可以是一个中等规模的矿池,依赖他们连续找到下一个 2-3 个区块的可能性,或者他们可以将他们收入的一部分送入一个其他人都可以索取的合同中,以贿赂其他运行相同软件的人在他们的链上打造并帮它对抗现有些经典链。

    因此,一些矿工可能会被魅惑去运行 reorg 推广客户端。

    近期,大家讨论了矿工使用假定被修改的ETH推广客户端的可能性,该推广客户端允许他们同意贿赂,并在选定的区块中对买卖进行排列。(进行这种贿赂的主要用例是攻击 去中心化的金融 协议)。

    在这篇文章中,大家将讲解为何这种攻击模式在ETH 2.0 合并后将更难实行。

    1.啥是分叉选择规则,为何它非常重要?

    分叉选择规则是一个由推广客户端评估的函数,它把已经看到的区块和其他消息的集合作为输入,并向推广客户端输出 "典型链 "是什么。分叉选择规则是必要的,由于可能有多个有效的链可以选择(比如,假如两个具备相同母本的角逐区块同时被发布)。

    重组是一个特殊事件,在这个事件中,过去是经典链的一部分的区块不再是经典链的一部分,由于一个角逐区块击败了它。最后性是指分叉选择规则对某一区块很有利,以至于该区块在数学上不可能被重合(或至少在经济上不可行)的状况。

    在一些分叉选择规则中(比如 Tendermint ),重组是不可能发生的;分叉选择规则只不过通过添加任何已经通过 BFT(Byzantine Fault Tolerance :拜占庭容错) 共识并最后确定的区块来扩展示有些链。在其他分叉选择规则中,重组是很频繁的。

    Tendermint

    在 Tendermint 中,状况甚至更干净:重组是不可能的,任何违反单槽最后性的行为都需要1/3以上的验证者被砍掉。与 Gasper 的状况类似,这也意味着无人运行重组软件才是一个稳定的均衡。

    从上面大家可以看出,虽然使用 "reorg geth "在所有状况下都是可能的,但基于平行证明定义的分叉选择规则有诚实的均衡状况,且它将比 Nakamoto 分叉选择中的均衡更稳定。

    可能发生的最坏状况

    在最坏的状况下,频繁的重组可以使区块链的结算保证完全失效,并阻止其继续进行。一般情况下,区块生产者的 "勉励兼容 "方案应该是延长最长的链。但,假如某个区块的后置状况有利可图(比如,有特别高的成本或 MEV ,只有通过在该区块之后直接打造一个区块才能提取),会发生什么?这个问题过去在没区块奖励的BTC和自私采矿的背景下被探讨过,今天在ETH生态系统中与 去中心化的金融 有关的 MEV 背景下也被探讨过。

    在这部分状况下,有非常大的动机试图通过角逐而不是延长经典链的顶端来 "偷取"成本或 MEV 。在下面的例子中,区块 1 的后置状况是有利可图的,区块 2a 已经被开采。然而,不是 1 个而是 3 个区块生产者选择在区块 1 而不是区块 2a 的基础上进行开采(以需要在区块 1 之后暴露的任何 MEV ),这可以扩展到任意数目的一方。

    出于显而易见的原因,如此的模式为恶意的 51% 算力攻击打开了一扇大门。大家把从事这种重组开采战术的矿工称为 "近视理性",由于如此做的决定在短期内可能是理性的。然而,他们在ETH上有明确的(造币商)或隐性的(矿工)多头头寸(由于成本和区块奖励是以ETH计价的),这意味着任何这种降低用户对ETH信赖的攻击都是违背他们的终极利益的,因此从长远来看是不理性的。

    重组策略使用的博弈论

    既然大家已经看到了重组方案在不一样的分叉选择规则中是怎么样运作的,那样就值得通过一个容易的博弈论例子来认识矿工或验证者何时用实行重组方案的软件来获利才是适当的。

    大家可以用一个回报矩阵来通俗地描述每种状况,其中 "缺点 "意味着 "下载并用实行反欺诈的软件"。报酬是 "短视 "的,没考虑到长期后果。

    3.链重组的影响

    因为延迟是什么原因,短暂的重组一直在发生。矿工 A 和矿工 B 可能同时找到一个有效的区块,但因为区块在 p2p 互联网中的传播方法,互联网的一部分区块会第一看到 A 的区块,另一部分会先看到 B 的区块。假如这两个区块的困难程度相同,就会出现平局,顾客要么随机选择,要么选择较早看到的区块。一般情况下,当第三个矿工 C 在 A 的区块或 B 的区块上建造一个区块时,平局最后被打破,而另一个区块则被遗忘。偶尔,运气不好也会致使 2-5 个区块的重组。超越这个时间的重组几乎都是因为极端的互联网问题,推广客户端错误,或恶意攻击导致的。

    短暂的重组不是致命的,但它们仍然对互联网产生以下这部分紧急后果。

    • 节点本钱:当重组发生时,因为需要切换到新的分叉,可能会回滚买卖或修改区块链状况,因此会有一些存储问题。

      客户体验降低:重新分叉的可能性意味着用户需要等待更长期才能安全地将涉及他们的买卖视为 "确认"。这方面的一个要紧子案例是交易平台等企业在同意存款之前需要等待更长期。

      买卖背景的不确定性:当用户发送买卖时,他们对该买卖将在什么背景下实行的确认性较低(比如,近期的 N 个区块是否会被恢复?值得注意的是,这增加了 去中心化的金融 买卖对意料之外失败,比预期差的买卖结果或有害的 MEV 提取的可能性。

      增加了 51 % 算力攻击的可能性:在一个最长链规则驱动的系统中,假如链上的矿工从 B1 到 B2 重新排序,那样 B1 的困难程度就不再能够帮助确保链的安全。攻击者不再需要击败所有诚实的矿工,他们仅只需要要击败没被重组的那部分诚实矿工。假如频繁重组,这就使攻击者的工作大大简化。

      5.切身体会

      在ETH的背景下,效果最好的预防手段是进一步加快合并的工作,尤其是飞速达成可信的能力,进行 "紧急合并",将链过渡到 PoS 。急于合并会有非常高的风险,可能会破坏基础设施,但假如很多矿工开始重新攻击链,一个可信的承诺将对这种行为起到抵制用途。

      接近合并的时期风险最大,由于矿工仍然是系统的负责人,但他们的时间跨度缩短了。然而,有两个原因缓解了这种风险。

      • ETH矿工总是同时是(i)其他区块链的矿工,和/或(ii)ETH社区其他身份的成员,所以他们仍然会有好行为的动机。

        伴随合并的临近,进行紧急合并的困难程度、本钱和风险也在减少。在合并的预定日期前几个月,紧急合并将是具备高度破坏性的。在合并预定日期的两周前,对顾客来讲,这将是一个参数设置,验证操作器已经完成了下载。

        合并后,重组验证将成为一个更小的问题,由于单个验证者或一小群验证者不可以一个人重组。重组攻击想要成功需要解决极其困难的协调问题,即让大部分验证者同时下线。然而,一些小的风险仍然存在。假如期望进一步提升安全性,那样ETH可以进一步调整分叉选择规则,将重组攻击的需要提升到 50 %的理论最大值,或者找到一种办法,直接转向单槽 inality 的共识。

上一篇:即将来临的ETH2.0意味着什么?为何要紧? 下一篇:没有了

贝尔链行情_BRC最新价格_贝尔链历史行情价格走势图-BRC贝尔链 Copyright © 2002-2021 BRC贝尔链 (http://www.hongkongfsdl.com) 网站地图 TAG标签 备案号