本文将介绍以太坊合并后可能发生的共识级攻击。
ETHPoS安全性
本节主要讨论以太坊采用PoS共识机制后可能出现的共识级攻击。
来自Mirror上的jmcook.eth的参考:?https://mirror.xyz/jmcook.eth/YqHargbVWVNRQqQpVpzrqEQ8IqwNUJDIpwRP7SS5FXs
小型质押者的攻击
短程重组
这是一种针对信标链的攻击,通常由攻击者对其他验证者隐藏部分信息,然后在特定时刻释放这些信息,以便实现双花或通过预先运行的大型交易提取MEV。这种攻击也可以扩展到多个区块,但成功的可能性会随着重组长度的增加而降低。
这种攻击本质上是一种区块重组,它分为两种类型:事前重组和事后重组。事前重组意味着攻击者从主链中替换一个尚未创建的区块,而事后重组则意味着攻击者从主链中删除一个经过验证的区块。就PoS以太坊的情况,攻击者必须拥有超过2/3的区块才能执行事后重组。与此同时,一些研究表明,即使攻击者拥有65%的份额,成功攻击的几率也不到0.05%。
短程重组攻击是通过事前重组来实现的,攻击者不需要控制大部分已质押的ETH就可以实现,并且成功的几率会随着所控制的质押比例的增加而增加。
弹跳和平衡
平衡攻击指攻击者采取的特定手段,他们将诚实的验证者集拆分为对区块有不同看法的离散组。具体来说,攻击者等待提出一个区块的机会,当机会到来时,他们在同一个slot中提出两个区块。它们将一个区块发送给诚实验证者集合的一半,将另一个区块发送给另一半。分叉选择算法将检测到这种冲突,区块支持者将被执行没收并从网络中驱逐出去。然而,上面提到的两个区块仍然存在,并且将有大约一半的验证者集来证明每一个分叉。攻击者以丧失一个验证者为代价,成功地将区块链一分为二。同时,其余的恶意验证者保留他们的证明。然后,在分叉选择算法的执行过程中,有选择地将有利于一个或另一个分叉的证明释放给足够多的验证者,这允许它们生成具有最多累积证明的任何分叉。这种情况可以无限期地持续下去,攻击者可以在两个分叉上保持验证者的均匀分布。由于两个分叉都不能吸引2/3的绝对多数,信标链不会最终确定。
?COINBIG CEO:加密数字货币是离机会比较近的行业:据官方消息,7月31日,区块链峰会《问鼎中原 原力破局》圆满落幕,本次活动为金色财经区块链周COINBIG&达摩院专场,峰会云集了各路业内知名媒体社区、国内外知名投资人与投资机构等。
会上,COINBIG、达摩院与金色财经分别派出代表致辞。COINBIG CEO张总在峰会上表示,加密数字货币是离机会比较近的行业,COINBIG希望能与大家共同进步,共享行业发展的福利,抓住数字资产的机会。
本次峰会主办方为COINBIG与达摩院,金色财经、EOC、MantraDao、BMJ、NEO、ECC、NULS、Mytoken、库神钱包、GICC联合主办,特邀脉冲资本、长城公社、敦兰财经、Anypay、云游创投、大凯哥、赵亚旭、火星交易大师、火星云矿协办。
峰会在以探讨区块链产业中原发展的前提下,更有多方优质项目的现场讲解与行业剖析,从地域、历史、优势、经济、等多方面为大家讲解中原区块链行业发展的潜质与可能。同时在优质项目牵引下为大家讲解海内外产业如今的行业现状,让更多的人能真正的了解到产业的历史机遇与未来的无限可能。[2020/7/31]
在这种类型的攻击中,由攻击验证者控制的总质押百分比越大,在任何给定时刻攻击的可能性就越大,因为它们更可能选择验证者在每个slot中提出一个区块。即使只有1%,发起平衡攻击的机会平均每100个epoch就会出现一次,这不需要长时间的等待。
一种类似的攻击,就是弹跳攻击,它只占一小部分。在这种情况下,攻击验证者再次拒绝投票。这一次,他们没有发布投票来保持两个分叉之间的平均分配,而是在适当的时候使用他们的选票来证明在分叉A和分叉B之间交替的检查点是合理的。这两个分叉之间的证明的翻转阻止了可以在任意一条链上完成的合理的源和目标检查点对,从而终止了最终确定性。
雪崩攻击
另一类攻击被称为雪崩攻击,在2022年3月的一篇论文中对其进行了描述。作者认为,提议者增强,并不能防御一些变种的雪崩攻击。然而,作者也只演示了对以太坊分叉选择算法的高度理想化版本的攻击(他们使用了没有LMD的GHOST)。其中,GHOST分叉选择算法将第一个分叉区块及其所有对应的后代区块所获得的选票进行累积,并选择票数最高的分叉作为主链。
金色相对论 | 楚航:Filecoin主网8月份上线的可能性还是比较大的:在今日举行的金色相对论中,针对“Filecoin测试网最近的测试情况都遇到和解决了哪些问题”,IPFS中国社区创始人楚航表示,目前Filecoin二阶段测试是正常进行的,不过在测试过程中也是有许多好玩的故事的,可以说是各家施各法。第一时间上线的是原力区,当时还被一度误认为Filecoin有BUG,后来证实了这是他们重新改编了Filecoin的挖矿代码,比官方5-6小时的标准提升到3小时内。我认为Filecoin主网8月份上线的可能性还是比较大的,但明确告诉大家7月份肯定上不了的。尽管8月份要上线,我相信那也不是完美的Filecoin,肯定还是可能存在一些小问题的。比如最近我在朋友圈发了一个“触礁船说”,来比较形象表达了Filecoin目前大矿工环境还存在问题,就是说你的节点算力越大,越容易掉算力;Filecoin现在这个阶段就像是布满礁石的浅海,只要稍微运气不好,你的节点算力就要被惩罚,最近这几天头部领先的几个节点都有受到惩罚的情况。而且这个还跟运气有一定关系,运气好的掉算力情况少一些;但船越来越大,就一定会触礁,这就是Filecoin现在存在的Bug,必须要解决掉这个Bug才具备大矿工测试挖矿的环境。[2020/5/20]
为了发动雪崩攻击,攻击者需要控制几个连续的区块提议者。在每个区块提议slot中,攻击者保留他们的区块,并收集它们,直到诚实链与保留的区块达到相等的子树权重。然后,释放被保留的区块,使它们最大限度地模糊。这意味着,例如,对于6个保留区块,第一个诚实区块n与对手区块n竞争创建一个分叉,然后所有剩下的5个对手区块都在n+1处与诚实区块竞争。这意味着建立在对手区块n和n+1上的分叉现在吸引了诚实的验证,因为区块在真正诚实的链的重量等于对抗链的重量的时刻被释放。现在可以对尚未构建在其之上的保留区块重复这一操作,允许攻击者阻止诚实的验证者跟随诚实的链头,直到它们的模糊区块被用完。如果攻击者在攻击进行时有更多的机会提出区块,他们可以使用它们来扩展攻击,这样,越多的验证者参与攻击,它可以持续的时间越长,并且可以将更多诚实的区块从规范链中移出。
声音 | 嘉楠科技孔剑平:未来几年比特币应该还会有比较大的波动:嘉楠科技联席董事长孔剑平表示,目前区块链数字货币还比较早期,没有进入成熟的状态,所以会受到各种信息面的影响,未来几年比特币应该还会有比较大的波动。如果嘉楠去年就去纳斯达克上市,能融到的钱、账面资金跟今天肯定不一样。作为新事物社会公众对于区块链、比特币的认知还没有那么多,但不得不说纳斯达克对于底层技术和新事物更有感觉和包容度。嘉楠科技的主体还是围绕芯片做产业链布局,其他创新领域,我个人以LP身份参与的基金会去投资。有一些创新的、代表未来趋势的领域,现阶段有可能社会公众不理解,监管也处于模糊地带,但技术发展的趋势是挡不住的,就像公司制经历了几百年的发展现在已经很成熟。(创业邦)[2019/12/27]
资料来源:对权益证明GHOST/以太坊的两次攻击
LMD-ghost分叉选择算法的LMD部分可以缓解雪崩攻击。LMD的意思是“最后消息驱动”,它指的是每个验证者保存的一个表,其中包含从其他验证者接收到的最新消息。只有当新消息来自某个特定验证者表中已存在的slot之后的slot时,该字段才会更新。在实践中,这意味着在每个slot中,接收到的第一个消息是它所接受的消息,任何其他消息都是要忽略的模棱两可的消息。换句话说,共识客户端不计算模棱两可——它们使用来自每个验证者的第一个到达的消息,模棱两可会被丢弃,从而防止雪崩攻击。
远程攻击
远程攻击也是权益证明(PoS)共识机制下的一种特定类型的攻击,包括两个主要场景:在第一个场景中,攻击者作为参与原始区块的验证者,维护一个单独的原始区块链旁边的区块链分叉,并最终说服诚实的验证者集合在很久以后的某个适当时间切换到它。然而,这种攻击在信标链上是不可能发生的,因为“finalitygadget”确保所有验证者定期就诚实链(“检查点”)的状态达成一致,检查点后的区块不能重新组织。
在第二种情况下,当一个新节点加入网络时,它将从最近的节点(称为弱主观性检查点)获取信息来构建一个区块链作为伪创始区块。这为新节点创建了一个“信任网关”,然后它才能开始自己验证区块。然而,从客户端(如区块浏览器)收集构建检查点所需的可信区块信息并不能增加客户端本身的可信度,因此主观性是“弱”的。因为检查点的定义是由网络上的所有节点共享的,所以不诚实的检查点是共识失败状态。
百人圆桌 钛云科技鄢傲:DPoS是一种比较符合国情和人性的机制:在金色财经百人圆桌EOS系列问题上,对于“更看好哪一种共识机制?给DPoS机制打多少分(满分10分)”的问题,钛云科技/招股科技鄢傲表示:我更看好DPoS,这是一种比较符合国情和人性的机制,没有绝对的多中心化。一个高效、稳定的网络一定需要一些强有力的见证者和参与者,出块节点和备选节点机制可能比较符合政府监管的需求,将来商用的区块链极有可能采取这种方式。首先,机制很环保,其次,能够加入主权节点用于监管和宏观管理,符合国情需要。我给9分。[2018/6/20]
验证者控制了大部分的情况
33%
33%的质押份额是攻击者的基准,因为如果超过这个数量,他们就有能力阻止信标链完成,也无需精细控制其他验证者的行为。它们可以简单地一起消失。这是因为要完成信标链,检查点就必须由2/3的质押以太验证。如果1/3或更多的质押以太恶意验证或不验证,那么2/3的绝对多数就不可能存在。防御这种情况的方法是信标链的不活动泄漏。这是一种紧急安全措施,在信标链未能完成四个epoch后触发。不活动泄漏标识那些没有验证或验证结果与大多数相反的验证者。由这些非验证的验证者所拥有的质押以太币会逐渐流失,直到最终它们共同占总数的1/3以下,因此链可以再次被完成。
50%和51%
理论上,如果恶意验证者控制了50%的质押ETH,他就可以将以太坊区块链分成两个大小相等的分叉。与前面说过的平衡攻击类似,攻击者可以通过为同一slot提出两个区块然后简单地使用其所控制的50%来投票反对诚实的验证者集来维护两个分叉并防止最终确定性。四个epoch之后,两个分叉上的不活动泄漏机制将被激活,因为每个分叉都会看到其一半的验证者无法验证。每个分叉都会抽取另一半验证者集合的质押,最终导致两条链由不同的验证者代表2/3的绝对多数。在这一点上,唯一的选择就是依靠社区恢复。
相比之下,当攻击者控制了51%以上时,他们就可以控制分叉选择算法。在这种情况下,攻击者将能够通过多数票进行验证,从而使他们有足够的控制权来进行简短的重组,而不需要诚实的客户。51%的份额不允许攻击者改变历史,但他们有能力通过应用他们的多数票有利的分叉和/或重组不方便的不合理的区块,以此来影响未来。诚实的验证者会效仿,因为他们的分叉选择算法也会将攻击者青睐的链视为最重的链,因此链可以最终确定。这使得攻击者能够审查某些交易,进行短程重组,并通过对区块进行有利的重新排序来提取最大MEV。针对这种情况的防御措施是,攻击者将多数质押置于风险之中,因为社交层很可能介入并采用诚实的少数质押,从而使攻击者的质押大幅贬值。
金色财经现场报道 复旦区块链协会主席楚维:真正了解区块链项目比较困难:金色财经现场报道,在2018东京纷智峰会上,进行以《数字身份和数字资产网络3.0时代》为主题的圆桌,楚维指出:加密货币交易所面临很多机会,但也有很多挑战。首先是缺乏一定的用户教育,解决这个问题的最好方法就是组织见面会。通过这样的方式,每个项目都可以教育投资者和用户。传统的交易所做的好是因为他们对于企业十分了解,但现在交易所要想真正了解项目是很难的。当前的区块链技术是很重要的产业,各个社群之间应该是彼此合作,而不是对抗。如果交易所能推出更为稳定的代币进行交易,那么可以吸引更多用户使用加密货币,这也是未来发展方向。[2018/5/22]
66%
拥有66%或更多的质押以太的攻击者可以完成他们的首选链,并且他们不必强迫任何诚实的验证者。攻击者可以简单地为他们喜欢的分叉投票,然后完成它,他们可以以不诚实的绝对多数进行投票。作为绝对多数质押,攻击者将始终控制最终区块的内容,拥有消费、回滚和再次消费、审查某些交易和随意重组链的权力。攻击者实际上是在购买进行事后重组和最终性还原(即改变过去和控制未来)的能力。这里唯一真正的防御是退回到社交层以协调采用替代分叉。
总的来说,尽管存在这些潜在的攻击向量,信标链的风险还是很低的,甚至比它们的工作量证明等价物更低。这是因为攻击者需要冒着质押ETH的巨大成本风险,来压倒拥有投票权的诚实验证者。内置的激励层可以防止大多数恶意行为,特别是对低风险的攻击者。更微妙的弹跳和平衡攻击也不太可能成功,因为真实的网络条件很难对特定验证者子集的消息传递实现细粒度控制,而客户端团队已经用简单的补丁快速修复了已知的弹跳、平衡和雪崩攻击问题。
然而,33%、51%或66%的攻击可能需要社区投票来解决,因此有效的社区治理对攻击者来说是一个强大的抑制因素。对于攻击者来说,技术上成功的攻击仍然有被社区阻止的风险,这降低了攻击者获得足够利润以充当有效威慑的可能性。这就是为什么保持一个具有一致价值观的有效社区对投资那么重要。
ETHPoW安全性
矿工自以太坊成立以来一直扮演着重要的角色,但以太坊的合并将打破这一局面。Bitpro估计,GPU矿工需要关闭约95%的GPU,才能在合并后的加密生态系统中保持盈利。但由于合并后不太可能立即关闭这么多GPU,矿工会在合并后尝试PoW分叉。如果一些交易所也支持分叉,那么分叉的寿命将比预期的要长。到目前为止,一些机构已经支持了ETHPoW硬分叉,包括Gate、OKX、f2pool、Matcha、BitMEX和JustinSun。
2022年8月15日,EthereumPow在推特上发布消息称,ETHWCore的初始版本已经在GitHub上发布,主要功能如下:1.禁用难度炸弹;2.EIP-1559变更,基本费用改为由矿工和社区共同管理的多签名钱包;3.调整ETHW的初始挖矿难度。
2022年8月26日,EthereumPoW在推特上发布了ETHW的第一个测试网“iceberg”。随之而来的是区块链浏览器和RPC服务器。他们欢迎社区中所有潜在的合作伙伴(交易所、池、钱包提供商、桥、建设者等)加入到构建一个真正的POW驱动的以太坊生态系统中来。
那么,以太坊合并后硬分叉ETHPoW可能会面临哪些安全问题呢?我们将在下面详细分析。
算法攻击
当系统中的恶意单个实体或组织能够控制大部分的全网算法时,51%算法攻击是对区块链网络的潜在攻击。由于PoW算法中的共识是由算法决定的,这使得攻击者可以利用算法篡改账本,从而导致对系统的恶意攻击。以太坊合并后,无法再通过挖矿获得收入的矿工将关闭他们的矿机,这导致基于POW的ETH分叉可能失去一些算力,例如,目前最大的矿池Ethermine已经发布公告,将停止支持ETHPoW挖矿。
一旦支持ETHPoW的算力下降,就会降低攻击者发起算法攻击的代价。然后攻击者可以租用矿池的大量算力,使其算力达到51%以上,此时,它可以利用算力优势更快地生成区块,当生成的区块成为系统中最长的链时,它可以回滚区块交易,实现数据篡改,这会造成很大的危害,如:双花,任意地址控制交易等。
双花
双花攻击是指攻击者试图重复消费其账户拥有的相同数字代币。一个例子:
假设A在区块高度1000处有51%的算力。A向B转1个ETH,转移交易由矿工打包。
交易确认后,A依靠51%的算力优势,在区块高度999后重新生成一条“更长的链”,并在区块高度1000时将ETH重新转移给C,并打包交易记录,即链中包含A向C转移ETH的记录。
根据“最长链共识”,包含转移到C的记录的链成为主链,从A转移到B的一个ETH为“无效支付”。
控制任何地址的交易
利用51%的算力,攻击者可以在任意地址打包或解包交易,阻止区块确认任意交易,甚至阻止部分矿工获得有效的记账权,从而达到控制任意地址交易的目的。
但是拥有51%的算力并不是万能的,例如它不能修改别人的交易记录,也不能阻止交易的发出,也无法凭空产生ETH。
重放攻击
在传统术语中,重放攻击指的是攻击者发送一个已经被目标主机接收到的数据包,以达到系统的目的。在区块链领域中,重放攻击通常发生在区块链硬分叉的情况下,这意味着“一条链上的交易在另一条链上通常是合法的”。
2016年7月20日,以太坊在第192万个区块高度发生硬分叉,产生了两条链,分别称为ETH链和ETHClassic链,对应的代币分别为ETH和ETC。
由于这两个链上的地址和私钥是相同的,而且交易格式完全相同,因此其中一个链上的交易在另一个链上也是完全合法的。在一条链上发起的交易,如果在另一条链上重放,可能也会被确认。由于事先没有适当的计划,许多人利用这一漏洞,不断地在交易所存取款,以获得额外的ETC。因此,“重放攻击”在区块链世界中被重新定义。
目前以太坊合并中可能出现的硬分叉ETHPoW,理论上也可能存在上述问题。
应该做什么来防止重放攻击?事实上,很容易达到以升级为目的的分叉,因为硬分叉升级会使用不同的客户端版本,并且交易的前缀通常包含发起交易的客户端的版本信息。分叉之后,矿工通常会拒绝某个版本之前的交易,以避免打包来自老客户端的“非法交易”(不是恶意交易,只是不被其他节点识别的低版本号),这使得恶意攻击者很难在硬分叉升级期间通过重放攻击窃取资金。
2022年8月23日,EthereumPoW正式发布第二次代码更新以强制执行EIP-155。在此更新之后,所有交易都必须使用链ID进行签名。这将保护ETHW用户免受来自ETHPoS和其他分叉代币的重放攻击。
下面是对EIP-155的简要介绍:
该提案被称为“简单重放攻击保护”。如果block.number>=FORK_BLKNUM和CHAIN_ID可用,那么在计算签名交易的哈希值时,不要只对前六个rlp编码元素进行哈希处理,而应该哈希九个rlp编码的元素。此时,签名中v的值不再是recid,而是recid+chainID*2+35。
因此,简而言之,签署交易时需要Signer和PrivateKey。需要Singer,是因为在EIP-155修复重放攻击漏洞后,需要保持原有的区块链签名方法不变,但需要提供新版本的签名方式。因此,新旧签名方式通过一个接口实现,根据区块高度创建不同的Signer。在EIP-155中实现的新哈希算法的主要目的是获取交易用于签名的哈希值TxSignHash。与旧的方法相比,哈希计算混合了链ID和两个空值。注意,这个哈希值TxSignHash并不等同于EIP-155中的交易哈希值。
这样,一个签名交易可能只属于唯一标识的区块链。
另外,为保证项目安全,建议项目在合约中进行离线签名验证时,签名数据应包含ChainID,避免跨链签名重用造成资产损失。
应用层项目
实际上,传统的分叉是需要用算力做选择的,而选择的主角是矿工,而这一次,如果真的同时有两个以太坊链,需要做出选择的是整个以太坊生态系统。这里的项目方是用户和投资者。
今天的以太坊和2016年的硬分叉相比已经不可同日而语了,DeFi项目已经占据了以太坊生态圈的大部分,但DeFi的基础是链上资产,所以项目主要是沿着资产端。资产端是USDT、USDC等稳定资产,而DeFi的质押或者借贷项目基本都是以资产端为主。
对于这些稳定资产(这里主要指稳定币)的发行者来说,如果以太坊分叉发生,他们将突然面临一个问题——两个版本的稳定币。作为稳定币的发行人,每发行一枚稳定币,就会突然有两份债务义务。
虽然大多数人认为稳定币发行者会将新的PoS链视为“真正的”以太坊网络,但如果他们想要支持PoW链呢?毕竟,他们有足够的经济动机这么做。
例如,他们可以做空PoS以太坊代币,在PoW网络上宣布赎回,并赚取数十亿美元。这可能会破坏新的以太坊网络,协议、交易所和相关的DeFi项目被关闭。这将造成巨大的混乱,并可能大规模摧毁加密货币市场。
同样,以太坊分叉项目EthereumPow在8月17日发布推文称,ETHWCore将引入流动性池冻结技术来保护用户资产。因在以太坊PoW硬分叉之后,特别是前几个区块,用户存放在流动性池中的ETHW代币,如Uniswap、Susiswap、Aave、Compound等,将被黑客利用,以废弃或无价值的方式交换或借USDT、USDC、WBTC,这将对整个网络和社区造成巨大的破坏。因此,ETHWCore暂时冻结了一些LP合约,以保护用户的ETHW代币,直到协议的控制者或社区找到更好的方法来返还用户的资产。冻结不适用于仅涉及单一资产的权益合约(如ETH2.0存款合约和打包以太币)。ETHWCore建议每个人都在硬分叉之前从LP(如DEX和贷款协议)中撤出ETH。
Source:https://medium.com/@Beosin_com/ethereum-pos-and-pow-security-fd52a6153b1e
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。