干货 | 减轻 LMD GHOST 的 balancing attack 风险的提案

来源|?notes.ethereum.org

作者|VitalikButerin

译者注：Balanceattack指的是攻击者快速干扰有相近算力子组的沟通。在此期间，攻击者在一个子组发布交易(称为交易子组)，在另一个子组挖区块(称为区块子组)，直到区块子组的树以高概率胜过交易子组的树。Balanceattack的新颖之处在于利用GHOST协议把兄弟块或叔块算入选择区块得分的特性。这个策略使得攻击者可以在与网络隔离的情况下挖一个分支，在将它的分支并入竞争区块链之前影响分支选择过程。

eth2的分叉选择区别于eth1和“基于链(chain-based)"的PoS算法(例如像Peercoin和NXT这些旧算法，但也有像Tezos、Ouroboros等的较新的算法)的一个关键是，在eth2，有非常多影响区块”得分(score)“的信息是并行到达的。

基于链的PoS算法：

Upbit运营商Dunamu旗下区块链部门推出区块链节点服务Luniverse NOVA:金色财经报道，Upbit运营商Dunamu旗下区块链部门Lambda256宣布推出区块链节点服务Luniverse NOVA，该平台提供的高度可互操作应用程序接口（API）能帮助开发人员在以太坊和 Polygon 网络等公共链上构建去中心化应用程序 (dApp)，并且提供基于节点数量和数据请求调用量的定价选项。（prnewswire）[2023/4/17 14:07:15]

(像在eth2里)每个slot上的委员会：

基于链的算法更容易证明其活性(事实上，在某些情况里活性已经被证明了)，因为通常一次有一个单个行动者，使得它们充当"协作瓶颈(coordinatingbottleneck)"，让每个人都对同一个分数达成共识。

BendDAO平台存款和借入TVL突破14万枚ETH，创历史新高:2月12日，据官方数据显示，BendDAO平台存款和借入TVL达到142,224.33枚ETH，创下历史新高，其中存款ETH达到90,602.54枚ETH，NFT抵押品数量达51,621.72枚ETH。[2023/2/12 12:01:55]

下面是基于链的算法中活性的”稻草人证明概述“。

假设：

在每个slot里就有一个行动者(即区块提议者)可以参与。诚实的区块提议者在slot的前半发布他们的区块网络延迟的上限是半个slot(因此是δ<1/2，以slot为单位测量时间)。被分配到在slotN+1行动的行动者仅会基于他们在slotN前收到的信息行动。我们对节点收到在时间t发出的信息的时间建模为区间?(t,t+δ)的“云”?(到这里为止，这只是陈述了同步假设的标准学术表述)。因此，存在两种情况：

达成共识

律师：BZeroX创始人不再是Ooki DAO成员:金色财经报道，去中心化组织Ooki DAO创始人Tom Bean和Kyle Kistner的律师表示，他们二人不再是Ooki DAO的成员。Bean和Kistner创立了的bZeroX，最终成为Ooki DAO，目的是为美国客户提供未注册的衍生产品。商品期货交易委员会（CFTC）今年早些时候起诉了Ooki DAO，此前CFTC与Bean和Kistner就他们之前在bZeroX的工作进行了和解。

周一，一名联邦法官裁定，CFTC应将Ooki DAO诉讼送达给Bean和Kistner，因为他们一直是DAO的代币持有者。然而，在周四提交给法院的一封信中，Morrison Cohen的Jason Gottlieb表示，虽然他可以代表Bean和Kistner作为个人接受诉讼，但两人不能代表Ooki DAO接受诉讼。[2022/12/16 21:47:51]

没有达成共识

韩国冻结Terra联合创始人Daniel Shin的1.04亿美元资产:金色财经报道，韩国首尔南部地区法院周四批准了当地检察官的请求，冻结属于Terraform Labs联合创始人申贤胜（Daniel Shin）的约1.04亿美元的资产。据当地媒体报道，地方当局认为这些资产是通过LUNA加密货币非法获得的。周四早些时候，Shin出席了当地检察官办公室的调查，他因违反资本市场法和违反职责的指控而接受调查。（forkast）[2022/11/17 13:17:44]

请注意，只有当在slotN的参与者不诚实时才会出现没有达成共识的情况。因此，如果被分配到某个slot的参与者是诚实的，那么要么(i)在该slot的末端每个参与者都对哪条是正确链达成共识，因为他们都是基于相同的信息计算分叉选择的，要么(ii)攻击者在之前那些他们没有参与的slot上“用掉了”?一些储备的参与权。因此，只有当攻击者对每个诚实参与者有至少一个储备的参与权时，即如果攻击者被分到的slot多于诚实节点时(也就是诚实大多数的假设被打破时)，干扰才能继续。

现在看看”有很多并行证明“的情况。当有很多并行证明增加一个区块的得分时，是没有单一行动者创造瓶颈的。因此，攻击者可以操纵网络(再加上有策略地对一些他们自己的验证者广播)，以便在每个epoch末端构建就哪些信息算入分叉选择没有达成共识的状态，从而使多条链中的某条链胜出。

美股三大指数集体收跌，标普500指数跌0.89%:金色财经报道，美股三大指数集体收跌，道指跌0.62%，纳指跌1.11%，标普500指数跌0.89%。[2022/11/15 13:04:57]

请看论文Ebb-and-FlowProtocols:AResolutionoftheAvailability-FinalityDilemma(动态协议：可用性与最终确定性两难困境的解决方法)，特别是第4和第5页，那里有对这种攻击的说明。请注意，这种攻击的确建基于一些在实践中非常难以实现的网络假设(攻击者对个人质押者的网络延迟有非常精细的控制)，但尽管如此，一个能抵抗这种攻击的协议还是比一个不能的协议好。

提议的解决方案

提议的解决方案是引入明确的”同步瓶颈“小工具到分叉选择上。特别是，我们可以增加以下规则：

1.假设所有被分配到slotN的证明者的集体总权重为W

2.slotN+1里的参与者仅会认为在slotN末前到达(从参与者的角度)的证明是有效的。

3.在slotN+1的提议者应该在slotN+1的开端就马上做提议。他们的提议其实是在选择一条特定的链。在slotN+1的证明者看来，如果他们在slot进行了1/3之前就看到提议到达了，他们会将该提案视为等同于权重为W/4的证明(这个得分调整只对slotN+1有效，在slotN+1后这个得分调整会复原)。

4.把同步假设降低到δ<1/3

分析

(请注意：为了分析的简易，我们假设时钟是完全同步的，以及任何实际的时钟差异都是网络延迟的一部分。)

在slot的末端，所有验证者都已经收到一些证明集了。如果出现了攻击(例如，有k≥1的恶意证明者在slotN做证明)，验证者将很可能在每个区块的得分上有分歧。但是，他们分歧的范围将不会超过k。假设(在不丧失一般性的情况下)有两个竞争区块，A和B，如果score(A)?score(B)≥0，则A"胜出"，反之则B胜出。score(A)?score(B)的分歧范围的上限是2k(即每个验证者给出?score(A)?score(B)值都将在的范围内，z是个固定值)。

设Wp为提议者的权重(即Wp=上文论述的W/4)。如果提议者是诚实的，他们肯定会遵循以下两种行为：

1.如果他们看到score(A)?score(B)≥0，他们将提议A区块，否则提议B。

2.他们将马上提议他们的区块，以保证所有的证明者都在期限前看到。

设为score(A)?score(B)分歧的区间。我们区分三种情况：

z<?2k?2k≤z<0z≥0在情况(1)，提议者将给B投票，这样证明者将看到在内调整过的得分；这里整个区间都是负数，因此对B有充分的共识。

在情况(3)，提议者将投票给A，这样证明者将看到在内调整过的得分；这里整个区间都是正数；因此对A有充分的共识。

在情况(2)，很大程度由提议者决定。取决于提议者的意见落在区间的哪个位置，提议者不是选择A就是B。因此，区间要么是(i)，要么是(ii)。

如果是Wp≥2k的情况，请注意从情况(2)的定义?2k≤z<0来看，当(2.i)z<0且2k?Wp≤0，即?z+2k?Wp的上限是负数，也就是整个区间都是负的。当(2.ii)?z>?2k且Wp≥2k，即z+Wp>0，即整个区间都是正的。因此，充分共识是在A还是B取决于提议者的选择。

现在，让我们回到Wp=W/4的论述中。为了避免提议者起同步瓶颈的作用，上述推理中Wp≥2k的前提必须被打破；因此，必须有超过W/4的证明者在每个slot投票。

如果在任何单个slot中提议者起到了同步瓶颈的作用，所有诚实的证明者都将往该方向投票，使score(A)?score(B)的值与0偏差增大。为了避免其中一方在这个点上胜出，攻击者必须在该slot展示足够多的投票以与所有的诚实验证者抗衡(减去1/4来抵消提议者在slot末端投票的效用）；这需要远超过W/4的证明。

因此，要维持一段时间的失活需要至少在每个slot上有W/4的恶意验证者，或?≥1/4的验证者是不诚实的。

标签：LOTSLOTSCOROREBoatPilot TokenSleepy Sloth FinanceSCOR价格KORE币

酷币交易所热门资讯