為何針對DeFi的攻擊會在以太坊2.0合并后更難執行？_區塊鏈

最近有人在討論礦工是否可能采用一個還不存在的、修改過的以太坊客戶端，主要為了使礦工可以接受賄賂，對區塊鏈進行短程的重組(創造這種賄賂的主要用例是攻擊DeFi協議)。

在這篇文章里，我們將解釋這個攻擊向量為什么在以太坊2.0合并后更難執行。

什么是分叉選擇規則，為什么重要

分叉選擇規則是一個函數，由客戶端來求值，該函數把區塊集和見過的其他消息作為輸入，然后把「權威鏈」的內容輸出給客戶端。之所以需要分叉選擇規則，是因為可能有多條有效鏈可選(即如果同一個父區塊有兩個競爭子區塊同時發布)。

重組(reorg)?是這樣一種事件——本來屬于權威鏈的區塊變成不再是權威鏈的一部分了，因為有一個競爭區塊把它擊敗了。最終確定性是這樣一種情況——分叉選擇規則強有力地支持某個區塊，以至于該區塊在數學上不可能被重組(或至少是經濟行不通)。

在有些分叉選擇規則里(例如Tendermint)，重組是不可能發生的；分叉選擇規則只通過添加任何已經通過BFT(拜占庭容錯共識協議)共識、最終敲定的區塊來擴展現有的鏈。在其他分叉選擇規則里，重組是很常見的。

以太坊的現狀如何

在以太坊這樣的PoW區塊鏈里，我們通常看到的是「最長鏈規則」（或更準確來說，是「最高總挖礦難度規則」)。這意味著，當客戶端看到兩條區塊鏈時，它會選擇總難度(即該鏈里所有區塊的難度總和)最高的那條。

律師Jeremy Hogan：SEC過去曾稱XRP為數字貨幣，必須在法庭上解釋為何現在不予支持:4月6日消息，霍根律師事務所的合伙人杰里米·霍根（Jeremy Hogan）曾在Twitter上表示，2016年美國證券交易委員會（SEC）提到了Ripple以“數字貨幣公司”的身份進行文件研究。

現在，SEC將不得不向法官澄清其如何轉變為“數字安全”公司。（U.today）[2021/4/6 19:51:39]

為了方便舉例，假設區塊難度可以是100或110，想象以下這樣的場景：

1、我們從難度為100的區塊1開始同步。

2、區塊2a和3a都以難度100到達，我們把它們嵌入到我們的區塊鏈里，構成總難度為300的分叉。

3、區塊3b以難度110到達，并聲稱2a是它的父區塊，構成總難度為310的分叉。分叉選擇規則會發現目前「最重」的鏈是第二個分叉，然后轉為選它。這種情況屬于1個區塊的重組，因為只有區塊3a被改變了。請注意，區塊不是直接被丟棄的，因為新到達的區塊可能會導致分叉選擇轉為選擇第一個分叉。

4、區塊2b和3c都以難度110到達，構成總難度為320的新分叉。這意味著分叉選擇規則現在將使用2b而不是2a，3c而不是3b，區塊2a和3b都曾在上一條權威鏈里。這種屬于2個區塊的重組。

讀者應該能看到邏輯是怎么發展下去的。如果一個新區塊4a到達并聲稱3a是它的父區塊，分叉選擇規則會轉為選第一個分叉，如此類推。

動態 | 馬紹爾官員David?Paul發解釋為何馬紹爾群島計劃發布自己的加密貨幣:馬紹爾群島總統助理兼環境部長David?Paul發文解釋為什么馬紹爾群島要發布自己的加密貨幣。 馬紹爾群島共和國自1979年成為獨立民主國家以來，一直使用美元作為貨幣。今天，馬紹爾正在推進使用區塊鏈技術以數字形式發行主權貨幣的計劃。馬紹爾去年通過了《主權貨幣法案》，宣布打算發行一種新貨幣Sovereign （SOV），將與美元一起使用。發行貨幣當然是任何主權國家的特權，但史無前例的是，馬紹爾選擇使用區塊鏈技術發行主權貨幣。 當馬紹爾選擇發行貨幣時，做了三個關鍵的決定。首先，貨幣將基于區塊鏈技術，這對于馬紹爾群島至關重要。第二，貨幣供應量的增長將是預先確定的和防篡改的。最后但同樣重要的是，這種合規性將被納入貨幣協議本身，同時保持個人隱私。 他表示，區塊鏈技術的出現為馬紹爾這樣的小國打開了一個充滿機遇的世界。借助基于區塊鏈的數字貨幣，馬紹爾可以自動化大部分合規負擔，并在國際舞臺上發揮積極作用。區塊鏈讓馬紹爾有機會以反映馬紹爾價值觀的方式最終獲得貨幣獨立。馬紹爾打算以創新和負責任的方式抓住這個機會。[2019/9/4]

鏈重組的影響

由于延遲，短程的重組經常發生。礦工A和礦工B可能同時找到一個有效區塊，但由于區塊是在p2p網絡里廣播的，部分網絡可能先看到礦工A的區塊，而另一部分先看到礦工B的區塊。如果兩個區塊的難度相同，就會出現平局，客戶端端要么隨機選擇，要么選先看到的那個區塊。通常，當第三個礦工C在礦工A或B構建的區塊上構建了一個區塊時，另一個區塊就會被遺忘。偶爾運氣不好還會導致2-5個區塊重組。比那更長的重組幾乎總是由于極端的網絡故障、客戶端漏洞、或惡意攻擊。

聲音 | Samson Mow：很難理解為何質疑Liquid網絡不是真正的側鏈:據Bitcoinist消息，Blockstream首席戰略官Samson Mow近日表示，很難理解為何會有人質疑Liquid網絡并不是真正的側鏈。Liquid網絡與兩種數字貨幣錨定，并且其數據可在其他鏈上被驗證。[2018/10/13]

短程重組并不致命，但對網絡的確仍會帶來一些嚴重的有害后果：

·節點開銷：當一起重組發生時，因為需要轉用新的分叉，可能需要重新執行交易或狀態編輯，節點會有一些內存和磁盤開銷。

·用戶體驗下降：可能重組意味著用戶需要等待更長的時間，才能安全處理需要「被確認」的交易。這方面的一個重要子用例是交易平臺等企業在接受存款前需要等待更長的時間。

·交易背景的不確定性：當一個用戶發送一筆交易時，他們會更不確定該筆交易會在什么背景下執行(例如，最新的N個區塊會被回滾嗎)。顯然，這會使DeFi交易更容易出現意外的失敗、比預期更糟的交易結果、或有害的MEV提取。

·更容易受到51%攻擊：在以最長鏈作為分叉選擇規則的系統里，如果區塊鏈從選擇B1轉為B2進行重組，那么B1的難度不再為鏈提供安全性。攻擊者不再需要擊敗所有誠實礦工，他們只需擊敗沒被重組的那部分誠實礦工。如果重組進行得頻繁，這會使得攻擊變容易很多。

可能出現的最壞情況

在最壞的情況里，頻繁的重組會使區塊鏈的結算保證完全失效，并阻止它繼續進行。正常來說，對于出塊者來說，「激勵相容」的策略應該是延長最長的鏈。但如果某個區塊執行后的狀態異常有利可圖呢(例如，交易費很高，或只有直接在該區塊后構建新區塊才能提取MEV)呢。這個問題在過去討論「沒有區塊獎勵的比特幣」和自私挖礦問題上探討過，而在今天「以太坊生態里DeFi相關的MEV"問題上也探討過。

調查顯示 超半數俄羅斯人知道比特幣為何物:最近由全俄公眾輿論研究中心（VCIOM）進行的一項調查結果顯示，超過56％的俄羅斯人表示他們知道比特幣，活躍網民中這一數字已經漲至66％。年輕的俄羅斯人（18-24歲）中知道比特幣的比率已經達到75％。而首都莫斯科和第二大城市圣彼得堡有74％的居民已經了解到了去中心化的虛擬貨幣。然而只有三分之一的人知道，任何人都可以購買比特幣，16％認為比特幣在俄羅斯實際上是被禁止的。不過，有四分之一以上的人知道虛擬貨幣不僅可以購買，還可以被開采。另有44％的人意識到，將虛擬貨幣兌現，目前在俄羅斯還沒有合法化。[2018/1/23]

這些情況都存在很強的動機試圖通過與其他區塊競爭」竊取「費用，而不是延長權威鏈。在下面的例子里，區塊1的執行后狀態非常有利可圖，且區塊2a已經被挖了。然而，不是一個，而是三個出塊者已經選了在區塊1上繼續挖，而不是區塊2a(以獲得區塊1后顯露出的MEV)，這可以擴展到任意數量的出塊者。

很明顯，這樣的模式為惡意51%攻擊打開了一扇大門。我們把礦工參與這種重組挖礦策略的情況稱為」短視理性「，因為決定這樣做在短期內可能是理性的。但是，他們都或顯式地(質押者)、或隱式地(礦工)看漲ETH(因為交易費和區塊獎勵都是以ETH計價的)，這意味著這種減少用戶對以太坊信任的攻擊是與他們的最佳利益有沖突的，因此在長期來說是不理性的。

合并后的PoS以太坊

在NakamotoPoW共識算法里，區塊在分叉選擇里是被」連續「敲定的。首先，當一個區塊被挖，此時一個競爭區塊有可能可以對其進行重組。如果一個區塊成功被打包進權威鏈，(平均)13秒后會有其他礦工在該區塊上構建第二個區塊。此時，一條鏈要重組的話需要有兩個競爭區塊。隨著構建了越來越多的區塊，對鏈進行重組的難度會持續上升，但速度很慢。

為何非洲比特幣交易Golix溢價高達40%:全球比特幣價格飆升，已經超出人們的預期，可是早在全球比特幣價格創新高之前，非洲交易所Golix的交易價已經高出40%。如此高的溢價是因為非洲市場缺乏流動性，賣家很少，而且電力基礎設施落后挖礦幾乎不可能進行，使得比特幣供應量更少。而且非洲國家面臨嚴重的惡性通貨膨脹，這里的人們不得不轉向目前火熱的比特幣。[2017/12/18]

以太坊信標鏈實現的是一個名為Gasper的權益證明協議，其分叉選擇規則稱為LMD-GHOST。不同于NakamotoPoW，在Gasper里，參與出塊的有兩個角色：

·提議者：負責提議區塊的一名驗證者

·證明者：由一組驗證者構成，他們對應該成為權威鏈鏈頭的區塊進行投票。證明者的投票被稱為」證明(attestation)"，這是他們給區塊的「權重」。控制了證明者意味著控制了分叉選擇規則。

每12秒就有一個slot，這代表著提議一個區塊的一次機會。在每個slot里會有一個混洗算法偽隨機地選出一個委員會，這個委員會由所有驗證者數的大約1/32組成，其中每個委員會里的一名驗證者會作為提議者，其余的驗證者作為證明者。證明者同時對他們認為應該被打包到權威鏈的區塊進行投票。因為委員會是通過偽隨機采樣組成的，攻擊者是沒有辦法把他們的驗證者都集中到一個單一slot里的。

當前，信標鏈有大約19.6萬名驗證者，意味著每個slot里的委員會人數大約是6125。因此，即使是一個區塊的重組也是極其困難的，因為一個只控制了一些驗證者的攻擊者是無法擊敗數千名誠實的多數驗證者的。

為了更好理解為什么是這樣，讓我們看看以下這個例子：有2個slot和24名驗證者，其中9名是惡意的。驗證者被分成2個委員會，經過隨機混洗，對手不太可能可以控制他們被分配到的委員會人數的50%，更不能實現重組。

更正式地說，擁有p%質押量的惡意行為者控制N名驗證者大小委員會的50%以上的概率遵循二項式分布(其中k=N/2)：

算出多個質押值的概率后，我們得出下表：

現在我們了解到，攻擊者如果想直接進行重組的話需要控制總驗證者數的50%。

如果控制證明者的25-49%(參閱此論文、或這里的概要)，控制者還是可能發起一些更小型的攻擊的。但是，對這些攻擊已經有修復方法了，它們可以被悄悄執行，從而達到接近50%的無條件安全性。

最后，長程重組是不可能了，因為所有比過去兩個epoch更深的區塊都會被認為「最終確定了」，也就是說，對它們進行回滾是不可能的了。如果一個攻擊者造成兩個沖突區塊被最終確定了(例如，控制了67%的質押量)，系統需要倒回去，通過社會性干預來恢復。

采用重組策略的博弈論

現在我們了解了在不同的分叉選擇規則下重組是如何發生的，不妨通過一個簡單的博弈論例子來了解，對于礦工或驗證者來說，什么時候運行軟件來執行重組以獲利是有意義的。

我們可以用收益矩陣非正式地描述每個場景，其中「叛變」意味著「下載并使用執行重組的軟件」。收益是「短視的」，沒有考慮長期后果。

NakamotoPoW

在最長鏈PoW里，即使是驗證者集里的一小部分人，也有可能實現短程重組。執行后狀態是異常有利可圖的區塊總會偶爾出現，即使是1-10%的成功幾率也值得嘗試，與該區塊現有的子區塊進行競爭。

礦工可以形成一個中型礦池，等待找到未來連續2-3個區塊的機會，或把部分他們的收入發送到一個任何人都可以認領的合約，以賄賂其他礦工也運行相同的軟件，以構建他們的區塊鏈，幫助它擊敗現有的權威鏈。

因此，有些礦工可能會嘗試運行重組客戶端。

Gasper

在Gasper里，重組1-64個slot是可能的，但需要攻擊者控制整個驗證者集的大部分(由于他們不能把他們的押金集中在某個特定的slot，所以他們的質押量需要足夠大才能在他們想要攻擊的slot里被隨機選中)。采用重組挖礦軟件用處不大，除非有非常大量其他驗證者也同時采用。

因此，如果51%的驗證者都稍微有點利他主義精神或懶惰，那么沒有人會運行重組挖礦軟件這件事基本可以確定。

Tendermint

在Tendermint里，事情會更加簡單：重組是完全不可能的，任何違反單個slot最終敲定規則的實現都需要超過三分之一的驗證者被罰沒。與Gasper的情況相似，這也意味著沒有人會運行重組挖礦軟件這件事基本可以確定。

從上面我們可以看出，盡管在三種情況里采用"reorggeth"都是可能的，基于并行證明這個理念的分叉選擇規則比Nakamoto分叉選擇規則帶來更穩定的誠實平衡。

總結

在以太坊的語境里，最有效的預防措施是進一步加快合并的工作，特別是趕快發展出能實現可接受的「緊急合并」的能力，以把以太坊轉化為PoS機制。倉促合并會帶來很高風險，還會毀壞基礎設施，但如果很多礦工開始對鏈進行重組攻擊的話，還是需要一個可信的承諾來抵御這樣的行為。

接近合并的時候就是風險最大的時候，因為礦工仍然主導著這個系統，但他們的時間不多了。然而，有兩個因素會緩解這個風險：

·以太坊礦工經常同時是(i)其他區塊鏈的礦工，和/或(ii)以太坊社區具有其他能力的成員，因此作出良好行為的動機會繼續存在。

·隨著合并臨近，實現緊急合并的成本和風險都在降低。在預計合并日期的前幾個月進行緊急合并是非常具有破壞性的。在預計合并日期的前兩周進行緊急合并則能為驗證者操作員已經下載好的客戶端提供參數設置。

合并后，重組驗證將成為一個更小的問題，因為單個驗證者或小群體證明者無法獨自重組一個區塊。成功的重組攻擊需要解決讓大部分驗證者都同時參與進來的協作難題。但是，還是存在一些小風險的。如果想要進一步提高安全性，那么以太坊可以要么進一步調整分叉選擇規則，將重組攻擊的要求提到到50%的理論最大值；要么轉為直接單個slot實現最終敲定的共識。

Tags：區塊鏈以太坊比特幣SLOT區塊鏈dapp游戲以太坊交易是什么比特幣中國官網登錄入口SLOT幣

幣安app官網下載