本文将介绍以太坊合并后可能发生的共识级攻击。
ETHPoS安全性
本节主要讨论以太坊采用PoS共识机制后可能出现的共识级攻击。
来自Mirror上的jmcook.eth的参考:?https://mirror.xyz/jmcook.eth/YqHargbVWVNRQqQpVpzrqEQ8IqwNUJDIpwRP7SS5FXs
小型质押者的攻击
短程重组
这是一种针对信标链的攻击,通常由攻击者对其他验证者隐藏部分信息,然后在特定时刻释放这些信息,以便实现双花或通过预先运行的大型交易提取MEV。这种攻击也可以扩展到多个区块,但成功的可能性会随着重组长度的增加而降低。
这种攻击本质上是一种区块重组,它分为两种类型:事前重组和事后重组。事前重组意味着攻击者从主链中替换一个尚未创建的区块,而事后重组则意味着攻击者从主链中删除一个经过验证的区块。就PoS以太坊的情况,攻击者必须拥有超过2/3的区块才能执行事后重组。与此同时,一些研究表明,即使攻击者拥有65%的份额,成功攻击的几率也不到0.05%。
短程重组攻击是通过事前重组来实现的,攻击者不需要控制大部分已质押的ETH就可以实现,并且成功的几率会随着所控制的质押比例的增加而增加。
弹跳和平衡
平衡攻击指攻击者采取的特定手段,他们将诚实的验证者集拆分为对区块有不同看法的离散组。具体来说,攻击者等待提出一个区块的机会,当机会到来时,他们在同一个slot中提出两个区块。它们将一个区块发送给诚实验证者集合的一半,将另一个区块发送给另一半。分叉选择算法将检测到这种冲突,区块支持者将被执行没收并从网络中驱逐出去。然而,上面提到的两个区块仍然存在,并且将有大约一半的验证者集来证明每一个分叉。攻击者以丧失一个验证者为代价,成功地将区块链一分为二。同时,其余的恶意验证者保留他们的证明。然后,在分叉选择算法的执行过程中,有选择地将有利于一个或另一个分叉的证明释放给足够多的验证者,这允许它们生成具有最多累积证明的任何分叉。这种情况可以无限期地持续下去,攻击者可以在两个分叉上保持验证者的均匀分布。由于两个分叉都不能吸引2/3的绝对多数,信标链不会最终确定。
矿管管合伙人王庆彬:大资金进入矿圈对风控要求比较高:4月25日,2021新基建区块链峰会在成都举办。在鱼池专场8周年正无限分会场《挖矿趋势与变革》圆桌论坛中,矿管管合伙人王庆彬指出,大资金入场后,第一要求的是有综合解决方案,不像以前,只要有电,机器不被偷掉就可以。第二对风控要求比较高,大资金通常会付出很多成本用来控制各种风险。第三是一些大的传统资金不是很了解传统挖矿,他们需要运维平台和资产管理平台。[2021/4/25 20:56:38]
在这种类型的攻击中,由攻击验证者控制的总质押百分比越大,在任何给定时刻攻击的可能性就越大,因为它们更可能选择验证者在每个slot中提出一个区块。即使只有1%,发起平衡攻击的机会平均每100个epoch就会出现一次,这不需要长时间的等待。
一种类似的攻击,就是弹跳攻击,它只占一小部分。在这种情况下,攻击验证者再次拒绝投票。这一次,他们没有发布投票来保持两个分叉之间的平均分配,而是在适当的时候使用他们的选票来证明在分叉A和分叉B之间交替的检查点是合理的。这两个分叉之间的证明的翻转阻止了可以在任意一条链上完成的合理的源和目标检查点对,从而终止了最终确定性。
雪崩攻击
另一类攻击被称为雪崩攻击,在2022年3月的一篇论文中对其进行了描述。作者认为,提议者增强,并不能防御一些变种的雪崩攻击。然而,作者也只演示了对以太坊分叉选择算法的高度理想化版本的攻击(他们使用了没有LMD的GHOST)。其中,GHOST分叉选择算法将第一个分叉区块及其所有对应的后代区块所获得的选票进行累积,并选择票数最高的分叉作为主链。
为了发动雪崩攻击,攻击者需要控制几个连续的区块提议者。在每个区块提议slot中,攻击者保留他们的区块,并收集它们,直到诚实链与保留的区块达到相等的子树权重。然后,释放被保留的区块,使它们最大限度地模糊。这意味着,例如,对于6个保留区块,第一个诚实区块n与对手区块n竞争创建一个分叉,然后所有剩下的5个对手区块都在n+1处与诚实区块竞争。这意味着建立在对手区块n和n+1上的分叉现在吸引了诚实的验证,因为区块在真正诚实的链的重量等于对抗链的重量的时刻被释放。现在可以对尚未构建在其之上的保留区块重复这一操作,允许攻击者阻止诚实的验证者跟随诚实的链头,直到它们的模糊区块被用完。如果攻击者在攻击进行时有更多的机会提出区块,他们可以使用它们来扩展攻击,这样,越多的验证者参与攻击,它可以持续的时间越长,并且可以将更多诚实的区块从规范链中移出。
声音 | 余弦:比较中心化治理的币被攻击后反倒容易暴露:慢雾区创始人余弦刚刚在微博表示:PoW型的主流币,矿工埋头计算就好,无中心化治理,私钥即身份,攻击者一旦盗币成功,可以不动了。但如果那种存在比较中心化治理的币,攻击者还得费力尽快洗币,累得半死还可能一不小心暴露自己的真实身份。[2019/5/8]
资料来源:对权益证明GHOST/以太坊的两次攻击
LMD-ghost分叉选择算法的LMD部分可以缓解雪崩攻击。LMD的意思是“最后消息驱动”,它指的是每个验证者保存的一个表,其中包含从其他验证者接收到的最新消息。只有当新消息来自某个特定验证者表中已存在的slot之后的slot时,该字段才会更新。在实践中,这意味着在每个slot中,接收到的第一个消息是它所接受的消息,任何其他消息都是要忽略的模棱两可的消息。换句话说,共识客户端不计算模棱两可——它们使用来自每个验证者的第一个到达的消息,模棱两可会被丢弃,从而防止雪崩攻击。
远程攻击
远程攻击也是权益证明(PoS)共识机制下的一种特定类型的攻击,包括两个主要场景:在第一个场景中,攻击者作为参与原始区块的验证者,维护一个单独的原始区块链旁边的区块链分叉,并最终说服诚实的验证者集合在很久以后的某个适当时间切换到它。然而,这种攻击在信标链上是不可能发生的,因为“finalitygadget”确保所有验证者定期就诚实链(“检查点”)的状态达成一致,检查点后的区块不能重新组织。
在第二种情况下,当一个新节点加入网络时,它将从最近的节点(称为弱主观性检查点)获取信息来构建一个区块链作为伪创始区块。这为新节点创建了一个“信任网关”,然后它才能开始自己验证区块。然而,从客户端(如区块浏览器)收集构建检查点所需的可信区块信息并不能增加客户端本身的可信度,因此主观性是“弱”的。因为检查点的定义是由网络上的所有节点共享的,所以不诚实的检查点是共识失败状态。
现场 | 比原链钟立飞:公链还是处于比较初级的阶段:金色财经现场报道,4月11日,比原链技术运营总监钟立飞在由金色财经主办的金色沙龙深圳站第二期圆桌论坛环节表示,公链还是处于比较初级的阶段,整个行业肯定是处于泡沫破灭期的低谷,但抛开Token,单纯从区块链技术上说,区块链的热度远比不上AI或者大数据。同时,他表示,当前除了公链在金融以及游戏领域有诸多常识之外,还是远远达不到大规模商用的进展。不管是技术成熟度还是应用成熟度,都还是处于比较初级的阶段,还需要时间。[2019/4/11]
验证者控制了大部分的情况
33%
33%的质押份额是攻击者的基准,因为如果超过这个数量,他们就有能力阻止信标链完成,也无需精细控制其他验证者的行为。它们可以简单地一起消失。这是因为要完成信标链,检查点就必须由2/3的质押以太验证。如果1/3或更多的质押以太恶意验证或不验证,那么2/3的绝对多数就不可能存在。防御这种情况的方法是信标链的不活动泄漏。这是一种紧急安全措施,在信标链未能完成四个epoch后触发。不活动泄漏标识那些没有验证或验证结果与大多数相反的验证者。由这些非验证的验证者所拥有的质押以太币会逐渐流失,直到最终它们共同占总数的1/3以下,因此链可以再次被完成。
50%和51%
理论上,如果恶意验证者控制了50%的质押ETH,他就可以将以太坊区块链分成两个大小相等的分叉。与前面说过的平衡攻击类似,攻击者可以通过为同一slot提出两个区块然后简单地使用其所控制的50%来投票反对诚实的验证者集来维护两个分叉并防止最终确定性。四个epoch之后,两个分叉上的不活动泄漏机制将被激活,因为每个分叉都会看到其一半的验证者无法验证。每个分叉都会抽取另一半验证者集合的质押,最终导致两条链由不同的验证者代表2/3的绝对多数。在这一点上,唯一的选择就是依靠社区恢复。
相比之下,当攻击者控制了51%以上时,他们就可以控制分叉选择算法。在这种情况下,攻击者将能够通过多数票进行验证,从而使他们有足够的控制权来进行简短的重组,而不需要诚实的客户。51%的份额不允许攻击者改变历史,但他们有能力通过应用他们的多数票有利的分叉和/或重组不方便的不合理的区块,以此来影响未来。诚实的验证者会效仿,因为他们的分叉选择算法也会将攻击者青睐的链视为最重的链,因此链可以最终确定。这使得攻击者能够审查某些交易,进行短程重组,并通过对区块进行有利的重新排序来提取最大MEV。针对这种情况的防御措施是,攻击者将多数质押置于风险之中,因为社交层很可能介入并采用诚实的少数质押,从而使攻击者的质押大幅贬值。
现场 | Block Labs创始人阙小耕:区块链生态布局比较重要 ?:金色财经现场报道,2018年8月10日,在2018纷智金融科技峰会(香港)上,Block Labs创始人、原Huobi Labs合伙人阙小耕指出:区块链产业需要门槛,尤其是在技术上是存在门槛的;在生态方面,有多大的布局也是比较重要的问题;在芯片制造与把控方面,有没有技术能力进行研发生产也是值得关注的。[2018/8/10]
66%
拥有66%或更多的质押以太的攻击者可以完成他们的首选链,并且他们不必强迫任何诚实的验证者。攻击者可以简单地为他们喜欢的分叉投票,然后完成它,他们可以以不诚实的绝对多数进行投票。作为绝对多数质押,攻击者将始终控制最终区块的内容,拥有消费、回滚和再次消费、审查某些交易和随意重组链的权力。攻击者实际上是在购买进行事后重组和最终性还原(即改变过去和控制未来)的能力。这里唯一真正的防御是退回到社交层以协调采用替代分叉。
总的来说,尽管存在这些潜在的攻击向量,信标链的风险还是很低的,甚至比它们的工作量证明等价物更低。这是因为攻击者需要冒着质押ETH的巨大成本风险,来压倒拥有投票权的诚实验证者。内置的激励层可以防止大多数恶意行为,特别是对低风险的攻击者。更微妙的弹跳和平衡攻击也不太可能成功,因为真实的网络条件很难对特定验证者子集的消息传递实现细粒度控制,而客户端团队已经用简单的补丁快速修复了已知的弹跳、平衡和雪崩攻击问题。
然而,33%、51%或66%的攻击可能需要社区投票来解决,因此有效的社区治理对攻击者来说是一个强大的抑制因素。对于攻击者来说,技术上成功的攻击仍然有被社区阻止的风险,这降低了攻击者获得足够利润以充当有效威慑的可能性。这就是为什么保持一个具有一致价值观的有效社区对投资那么重要。
ETHPoW安全性
矿工自以太坊成立以来一直扮演着重要的角色,但以太坊的合并将打破这一局面。Bitpro估计,GPU矿工需要关闭约95%的GPU,才能在合并后的加密生态系统中保持盈利。但由于合并后不太可能立即关闭这么多GPU,矿工会在合并后尝试PoW分叉。如果一些交易所也支持分叉,那么分叉的寿命将比预期的要长。到目前为止,一些机构已经支持了ETHPoW硬分叉,包括Gate、OKX、f2pool、Matcha、BitMEX和JustinSun。
中钞区块链技术研究院院长张一峰:比特币、以太币等和货币的基本属性仍然有比较大的距离 :中钞区块链技术研究院院长张一峰在接受人民创投·区块链“益言议链” 高端系列专访时认为,数字货币,是指央行发行的法定数字货币,是以国家的信用做背书的。货币的三大职能,第一个就是价值尺度,首先需要保持币值的相对稳定性。像比特币,在过去一年里曾涨了近20倍,我们认为这种极不稳定的状态是不吻合货币属性特征的。张一峰认为,像比特币、以太币这些,叫虚拟货币也好,叫其他名称也好,持有者更多是为了投机,今天它表现出来的特征是一种投机资产,和货币的基本属性仍然有比较大的距离。但张一峰也表示,像比特币这些产物在未来时间里仍会不断的进化和演变,未来也可能会产生新的价格稳定机制,当然,比特币从技术和社会实践角度来讲,都是一种创新。[2018/3/30]
2022年8月15日,EthereumPow在推特上发布消息称,ETHWCore的初始版本已经在GitHub上发布,主要功能如下:1.禁用难度炸弹;2.EIP-1559变更,基本费用改为由矿工和社区共同管理的多签名钱包;3.调整ETHW的初始挖矿难度。
2022年8月26日,EthereumPoW在推特上发布了ETHW的第一个测试网“iceberg”。随之而来的是区块链浏览器和RPC服务器。他们欢迎社区中所有潜在的合作伙伴(交易所、池、钱包提供商、桥、建设者等)加入到构建一个真正的POW驱动的以太坊生态系统中来。
那么,以太坊合并后硬分叉ETHPoW可能会面临哪些安全问题呢?我们将在下面详细分析。
算法攻击
当系统中的恶意单个实体或组织能够控制大部分的全网算法时,51%算法攻击是对区块链网络的潜在攻击。由于PoW算法中的共识是由算法决定的,这使得攻击者可以利用算法篡改账本,从而导致对系统的恶意攻击。以太坊合并后,无法再通过挖矿获得收入的矿工将关闭他们的矿机,这导致基于POW的ETH分叉可能失去一些算力,例如,目前最大的矿池Ethermine已经发布公告,将停止支持ETHPoW挖矿。
一旦支持ETHPoW的算力下降,就会降低攻击者发起算法攻击的代价。然后攻击者可以租用矿池的大量算力,使其算力达到51%以上,此时,它可以利用算力优势更快地生成区块,当生成的区块成为系统中最长的链时,它可以回滚区块交易,实现数据篡改,这会造成很大的危害,如:双花,任意地址控制交易等。
双花
双花攻击是指攻击者试图重复消费其账户拥有的相同数字代币。一个例子:
假设A在区块高度1000处有51%的算力。A向B转1个ETH,转移交易由矿工打包。
交易确认后,A依靠51%的算力优势,在区块高度999后重新生成一条“更长的链”,并在区块高度1000时将ETH重新转移给C,并打包交易记录,即链中包含A向C转移ETH的记录。
根据“最长链共识”,包含转移到C的记录的链成为主链,从A转移到B的一个ETH为“无效支付”。
控制任何地址的交易
利用51%的算力,攻击者可以在任意地址打包或解包交易,阻止区块确认任意交易,甚至阻止部分矿工获得有效的记账权,从而达到控制任意地址交易的目的。
但是拥有51%的算力并不是万能的,例如它不能修改别人的交易记录,也不能阻止交易的发出,也无法凭空产生ETH。
重放攻击
在传统术语中,重放攻击指的是攻击者发送一个已经被目标主机接收到的数据包,以达到系统的目的。在区块链领域中,重放攻击通常发生在区块链硬分叉的情况下,这意味着“一条链上的交易在另一条链上通常是合法的”。
2016年7月20日,以太坊在第192万个区块高度发生硬分叉,产生了两条链,分别称为ETH链和ETHClassic链,对应的代币分别为ETH和ETC。
由于这两个链上的地址和私钥是相同的,而且交易格式完全相同,因此其中一个链上的交易在另一个链上也是完全合法的。在一条链上发起的交易,如果在另一条链上重放,可能也会被确认。由于事先没有适当的计划,许多人利用这一漏洞,不断地在交易所存取款,以获得额外的ETC。因此,“重放攻击”在区块链世界中被重新定义。
目前以太坊合并中可能出现的硬分叉ETHPoW,理论上也可能存在上述问题。
应该做什么来防止重放攻击?事实上,很容易达到以升级为目的的分叉,因为硬分叉升级会使用不同的客户端版本,并且交易的前缀通常包含发起交易的客户端的版本信息。分叉之后,矿工通常会拒绝某个版本之前的交易,以避免打包来自老客户端的“非法交易”(不是恶意交易,只是不被其他节点识别的低版本号),这使得恶意攻击者很难在硬分叉升级期间通过重放攻击窃取资金。
2022年8月23日,EthereumPoW正式发布第二次代码更新以强制执行EIP-155。在此更新之后,所有交易都必须使用链ID进行签名。这将保护ETHW用户免受来自ETHPoS和其他分叉代币的重放攻击。
下面是对EIP-155的简要介绍:
该提案被称为“简单重放攻击保护”。如果block.number>=FORK_BLKNUM和CHAIN_ID可用,那么在计算签名交易的哈希值时,不要只对前六个rlp编码元素进行哈希处理,而应该哈希九个rlp编码的元素。此时,签名中v的值不再是recid,而是recid+chainID*2+35。
因此,简而言之,签署交易时需要Signer和PrivateKey。需要Singer,是因为在EIP-155修复重放攻击漏洞后,需要保持原有的区块链签名方法不变,但需要提供新版本的签名方式。因此,新旧签名方式通过一个接口实现,根据区块高度创建不同的Signer。在EIP-155中实现的新哈希算法的主要目的是获取交易用于签名的哈希值TxSignHash。与旧的方法相比,哈希计算混合了链ID和两个空值。注意,这个哈希值TxSignHash并不等同于EIP-155中的交易哈希值。
这样,一个签名交易可能只属于唯一标识的区块链。
另外,为保证项目安全,建议项目在合约中进行离线签名验证时,签名数据应包含ChainID,避免跨链签名重用造成资产损失。
应用层项目
实际上,传统的分叉是需要用算力做选择的,而选择的主角是矿工,而这一次,如果真的同时有两个以太坊链,需要做出选择的是整个以太坊生态系统。这里的项目方是用户和投资者。
今天的以太坊和2016年的硬分叉相比已经不可同日而语了,DeFi项目已经占据了以太坊生态圈的大部分,但DeFi的基础是链上资产,所以项目主要是沿着资产端。资产端是USDT、USDC等稳定资产,而DeFi的质押或者借贷项目基本都是以资产端为主。
对于这些稳定资产(这里主要指稳定币)的发行者来说,如果以太坊分叉发生,他们将突然面临一个问题——两个版本的稳定币。作为稳定币的发行人,每发行一枚稳定币,就会突然有两份债务义务。
虽然大多数人认为稳定币发行者会将新的PoS链视为“真正的”以太坊网络,但如果他们想要支持PoW链呢?毕竟,他们有足够的经济动机这么做。
例如,他们可以做空PoS以太坊代币,在PoW网络上宣布赎回,并赚取数十亿美元。这可能会破坏新的以太坊网络,协议、交易所和相关的DeFi项目被关闭。这将造成巨大的混乱,并可能大规模摧毁加密货币市场。
同样,以太坊分叉项目EthereumPow在8月17日发布推文称,ETHWCore将引入流动性池冻结技术来保护用户资产。因在以太坊PoW硬分叉之后,特别是前几个区块,用户存放在流动性池中的ETHW代币,如Uniswap、Susiswap、Aave、Compound等,将被黑客利用,以废弃或无价值的方式交换或借USDT、USDC、WBTC,这将对整个网络和社区造成巨大的破坏。因此,ETHWCore暂时冻结了一些LP合约,以保护用户的ETHW代币,直到协议的控制者或社区找到更好的方法来返还用户的资产。冻结不适用于仅涉及单一资产的权益合约(如ETH2.0存款合约和打包以太币)。ETHWCore建议每个人都在硬分叉之前从LP(如DEX和贷款协议)中撤出ETH。
Source:https://medium.com/@Beosin_com/ethereum-pos-and-pow-security-fd52a6153b1e
DeFi数据 1.DeFi代币总市值:453.1亿美元 DeFi总市值数据来源:coingecko2.过去24小时去中心化交易所的交易量38.
1900/1/1 0:00:00美国8月季调CPI年率8.3%,预期8.1%,前值8.50%。美国CPI报告公布后,美联储掉期交易完全定价美联储9月加息75个基点.
1900/1/1 0:00:00凭借丰富的dApp生态和低廉的交易费用,BNBChain继续被用户积极使用。BNB链于2020年9月推出,旨在为日益昂贵的以太坊主网提供替代智能合约平台。它是一个独立的区块链,采用权益证明(PoSA)共识机制.
1900/1/1 0:00:00金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、矿业信息、项目动态、技术进展等行业动态。本文是其中的新闻周刊,带您一览本周区块链行业大事.
1900/1/1 0:00:00?a16zcrypto出过一系列经典文献,从去年的DAO经典到更早的NFT经典。本文,?a16zcrypto为那些寻求理解、深入和构建零知识的人挑选了一组资源:强大的基础技术,这些基础技术掌握着区块链可扩展性的关键,代表着隐私应用程序.
1900/1/1 0:00:00吴说作者:刘全凯 迈入9月以来,关于NFT版税及其相关改革措施的讨论之热,甚至掩盖了这成交日渐低迷的市场.
1900/1/1 0:00:00