科普 | 自主运行验证者基础设施的风险

转自：以太坊爱好者

几天前，以太坊发布了“Launchpad”，里面包含了一个简单易懂的用户引导界面，只需点击几下即可成为ETH2.0验证者。以太坊基金会的网站上提到：“Launchpad的目的是尽可能简化成为ETH2.0验证者的过程，同时不会降低安全性，或是牺牲用户教育。相比使用第三方服务，运行自己的验证者节点需要自己管理私钥。这使得我们在易用性、安全性和用户知情上难以三全其美。”以太坊社区的初衷是提高去中心化，让任意一台计算机都可以运行验证者节点，无需依赖于RocketPool之类的第三方服务。因此，这就鼓励了社区成员积极尝试，通过一切可用的设备，包括家用电脑，来质押32ETH成为验证者。在Reddit和推特上，许多ETH持有者都发帖表示有这样的打算。其它网络的验证者节点运营商可能不会喜欢这种在家用电脑上验证点对点密码货币网络的想法，因为这可能会对网络连接和硬件设备带来风险，更何况成为ETH2.0验证者需要质押至少价值1万美元的ETH。目前为止，从验证者的角度来看，以太坊共识机制设计的内在风险中唯一已得到清楚阐述的就是罚没。旧版设计对验证者可用性的要求更高，但是在最新设计中，只要不是很多验证者同时离线，单个验证者离线并不算严重的违背共识行为。但是，对于未来那些选择Launchpad并使用家用设备运行节点的以太坊验证者来说，他们应该考虑其它更加严重的风险。正如以太坊基金会所说：“就风险而言，我们希望你能了解罚没风险，以及成为早期采用者的相关风险。”让我们来剖析一下，以太坊社区以去中心化的名义鼓励用户使用Launchpad和家用设备这种安全性较低的设计还可能产生什么潜在风险。

现场 | 火币中国推出数字经济及区块链产业科普新书:金色财经现场报道，12月6日，由海南省工业和信息化厅主办，南南合作金融中心协办，海南生态软件园、火币中国承办的“海南自贸港数字经济和区块链国际合作论坛”在海口举行，这是全球首次区块链部长级论坛。

在本次论坛上，火币中国举行了“数字经济及区块链产业科普系列新书发布”仪式，希望通过教材、专业教育、培训等多种方式，帮助从业者、高校、研究机构深入了解区块链，从而建立起区块链全局性知识模型，真正推动区块链应用落地。火币中国CEO袁煜明介绍，将联合机械工业出版社面向普通高等教育推出《区块链导论》、《区块链系统设计与应用》和《区块链新商业模式分析》系列教材，这是国内最早推动的区块链教材之一；火币中国还积极参与数字经济的研究，由中信出版社出版的新书《读懂Libra》已经上市；由火币中国负责编写的区块链技术科普读物《区块链技术进阶指南》将于12月面世；首本行业内最全的区块链应用案例集《区块链产业应用100例》在本次论坛进行了首次刊印。[2019/12/6]

DDoS攻击

动态 | 新浪财经：官媒针对区块链的报道从科普宣传转向打假监管:据新浪财经今日消息，“1025新政”满月，一个月间，官媒对区块链的态度风向已转。据11月初的一项统计，七家党媒在新政一周内发布了65篇直接相关报道，当时文章中的关键词是数据、产业、安全、创新等，大量文章偏向于科普区块链的概念以及应用介绍，提醒警惕虚拟货币炒作的仅有3篇。近期，官媒的批评焦点则纷纷指向借区块链之名进行的虚拟货币发行和炒作行为。据统计，新华网、人民网收录转载的，以打击虚拟货币或揭露假借区块链行为主题的文章，自10月25日到11月25日午间，共28篇；其中，11月19日至11月25日的一周内就高达15篇。这些文章主要围绕三个观点展开：厘清区块链和虚拟货币的关系，说明二者概念不等；打击伪“区块链”局，或是虚拟货币局揭露；提醒民众，区块链不能成为炒作的噱头，更不是行的招牌，需警惕此类活动，理性投资。[2019/11/26]

如果你的验证者客户端使用家用IP或任何裸IP直接连接到点对点密码学货币网络，而不是通过哨兵节点来连接，你就很有可能遭受DDoS或其它类型的网络攻击。总的来看，只攻击一个验证者节点没有任何意义，但是攻击海量家用IP有可能对网络共识造成严重破坏。鉴于未来以太坊上可用的IP数量，这种攻击很难成功，但是从理论上来说是可行的。而让自己隐藏在海量的IP中，不让自己看起来像是区块链节点，效果等同于隐藏式安全性。

金色财经独家分析 监管机构、媒体、业界提示风险 区块链科普道阻且长:新华社今日发文表示，近来“区块链”类案件频发，不法分子以“投资虚拟货币周期短、收益高、风险低”为借口，取用户信任并诱使其转账进行投资。无独有偶，同日消息，腾讯手机管家安全专家也提醒此类风险，并从技术上提出防建议。在美国，监管机构警示加密货币欺诈现象普遍承诺高收益而不披露潜在风险。金色财经独家分析，不法分子假借新技术之名进行，一方面是抓住民众趋利的心理，一方面反映出区块链科普的欠缺。区块链是新兴科技和底层技术并有改变社会生产关系的潜力，应该进行系统性的科普教育，当前，部分大学已经开始设置了区块链课程，但对于普通民众仍然有科普的需求，人们应该了解到系统和正确的知识，不仅要了解区块链的好，也要明确局限和弊端，以在高收益的诱惑下，保持清醒客观。[2018/4/11]

探测并攻破服务器

财政部副部长朱光耀：数字经济还处在发展的过程中，要以科普、推动的态度来推进数字经济发展:今日，在中国发展高层论坛2018年会上，财政部副部长朱光耀表示：“数字经济还处在发展的过程中，要以科普、推动的态度来推进数字经济发展。也要关注数字经济的其他影响，包括税收征管、反监管措施等要跟上。”[2018/3/25]

如果将验证者的IP暴露在互联网上，就可以识别出能够签署交易且持有密钥的设备。攻击者会探测这些设备的漏洞并发起攻击。使用哨兵节点是减少DDoS攻击面的一种方法。哨兵节点是复制验证者节点信息的全节点，可以避免真正的验证者节点直接连接到点对点网络，从而保护其硬件设备。不同于全节点，我们建议验证者使用哨兵节点来保护其身份、硬件和网络免受攻击。一旦有人发动攻击，哨兵节点会是最先察觉的，因此我们可以将遭到攻击的哨兵节点与验证者节点断开连接，创建新的哨兵节点。以太坊的Launchpad中丝毫没有提到这些。令人惊讶的是，官方并没有强烈建议验证者使用哨兵节点。

恶意软件和勒索软件

如果你使用个人设备运行验证者节点，遭到恶意软件和勒索软件攻击的概率就会增加。通常来说，应用或服务之类的东西可以通过SSH托管在专用服务器和VPS上。如果你在日常用来浏览网站和接收电子邮件的电脑上运行验证者节点，可能会从电子邮件或浏览器上下载恶意软件。使用专用服务器能减少这种可能性。即使你在非日常使用的设备上运行验证者节点，也有可能会因为使用共享U盘或同一个调制解调器而遭到攻击。如果有任何信息能将你的身份和密码学货币相关联，你的验证者节点就有可能遭到社会工程攻击，例如Ledger最近的信息泄漏事件。攻击者可以向这些邮箱地址被泄漏的用户发送带有恶意软件的电子邮件，从而攻击登陆该邮箱的设备。攻击能否成功取决于攻击者的说服力有多强。总之，服务证明验证存在一定的风险，因此如果你考虑在家用设备上运行验证者节点，请多研究一下其它区块链验证者是如何运行节点的，因为以太坊会遭遇与其它PoS链相同的风险，不妨学习一下它们的经验。

原文链接:https://saxemberg.com/vulnerable-validator-architecture-ethereum/作者:Saxemberg翻译&校对:闵敏&阿剑

标签：区块链以太坊ETHAUN艺术币区块链以太坊币今日价格行情实时STKETH价格SHAUN币

以太坊交易所热门资讯