最近有人在討論礦工是否可能采用一個還不存在的、修改過的以太坊客戶端,主要為了使礦工可以接受賄賂,對區塊鏈進行短程的重組 (創造這種賄賂的主要用例是攻擊 DeFi 協議)。
在這篇文章里,我們將解釋這個攻擊向量為什么在以太坊2.0合并后更難執行。
分叉選擇規則是一個函數,由客戶端來求值,該函數把區塊集和見過的其他消息作為輸入,然后把“權威鏈”的內容輸出給客戶端。之所以需要分叉選擇規則,是因為可能有多條有效鏈可選 (即如果同一個父區塊有兩個競爭子區塊同時發布)。
重組 (reorg) 是這樣一種事件——本來屬于權威鏈的區塊變成不再是權威鏈的一部分了,因為有一個競爭區塊把它擊敗了。最終確定性是這樣一種情況——分叉選擇規則強有力地支持某個區塊,以至于該區塊在數學上不可能被重組 (或至少是經濟行不通)。
在有些分叉選擇規則里 (例如 Tendermint),重組是不可能發生的;分叉選擇規則只通過添加任何已經通過 BFT (拜占庭容錯共識協議) 共識、最終敲定的區塊來擴展現有的鏈。在其他分叉選擇規則里,重組是很常見的。
在以太坊這樣的 PoW 區塊鏈里,我們通常看到的是“最長鏈規則”(或更準確來說,是“最高總挖礦難度規則”)。這意味著,當客戶端看到兩條區塊鏈時,它會選擇總難度 (即該鏈里所有區塊的難度總和) 最高的那條。
為了方便舉例,假設區塊難度可以是 100 或 110,想象以下這樣的場景:
數據:合并后以太坊流通量已減少6.8萬枚:金色財經報道,據ultrasound.money數據顯示,以太坊自合并以來流通量減少量達到6.84萬枚,目前減少68,471.30枚左右。當前以太坊流通量約為120,452,669枚。[2023/3/26 13:26:43]
1、我們從難度為 100 的區塊 1 開始同步。
2、區塊 2a 和 3a 都以難度 100 到達,我們把它們嵌入到我們的區塊鏈里,構成總難度為 300 的分叉。
3、區塊 3b 以難度 110 到達,并聲稱 2a 是它的父區塊,構成總難度為 310 的分叉。分叉選擇規則會發現目前“最重”的鏈是第二個分叉,然后轉為選它。這種情況屬于 1 個區塊的重組,因為只有區塊 3a 被改變了。請注意,區塊不是直接被丟棄的,因為新到達的區塊可能會導致分叉選擇轉為選擇第一個分叉。
4、區塊 2b 和 3c 都以難度 110 到達,構成總難度為 320 的新分叉!這意味著分叉選擇規則現在將使用 2b 而不是 2a,3c 而不是 3b,區塊 2a 和 3b 都曾在上一條權威鏈里。這種屬于 2 個區塊的重組。
讀者應該能看到邏輯是怎么發展下去的。如果一個新區塊 4a 到達并聲稱 3a 是它的父區塊,分叉選擇規則會轉為選第一個分叉,如此類推。
由于延遲,短程的重組經常發生。礦工 A 和礦工 B 可能同時找到一個有效區塊,但由于區塊是在 p2p 網絡里廣播的,部分網絡可能先看到礦工 A 的區塊,而另一部分先看到礦工 B 的區塊。如果兩個區塊的難度相同,就會出現平局,客戶端端要么隨機選擇,要么選先看到的那個區塊。通常,當第三個礦工 C 在礦工 A 或 B 構建的區塊上構建了一個區塊時,另一個區塊就會被遺忘。偶爾運氣不好還會導致 2-5 個區塊重組。比那更長的重組幾乎總是由于極端的網絡故障、客戶端漏洞、或惡意攻擊。
數據:以太坊合并后Lido捕獲MEV總獎勵為275.4ETH:9月16日消息,據Dune Analytics數據顯示,以太坊合并后,Lido協議上以太坊質押者的MEV總獎勵已達275.4ETH。
此外,當前Lido上以太坊質押收益率已更新為5.5%。[2022/9/16 7:02:05]
短程重組并不致命,但對網絡的確仍會帶來一些嚴重的有害后果:
節點開銷:當一起重組發生時,因為需要轉用新的分叉,可能需要重新執行交易或狀態編輯,節點會有一些內存和磁盤開銷。
用戶體驗下降:可能重組意味著用戶需要等待更長的時間,才能安全處理需要“被確認”的交易。這方面的一個重要子用例是交易所等企業在接受存款前需要等待更長的時間。
交易背景的不確定性:當一個用戶發送一筆交易時,他們會更不確定該筆交易會在什么背景下執行 (例如,最新的 N 個區塊會被回滾嗎?)。顯然,這會使 DeFi 交易更容易出現意外的失敗、比預期更糟的交易結果、或有害的 MEV 提取。
更容易受到 51% 攻擊:在以最長鏈作為分叉選擇規則的系統里,如果區塊鏈從選擇 B1 轉為 B2 進行重組,那么 B1 的難度不再為鏈提供安全性。攻擊者不再需要擊敗所有誠實礦工,他們只需擊敗沒被重組的那部分誠實礦工。如果重組進行得頻繁,這會使得攻擊變容易很多。
在最壞的情況里,頻繁的重組會使區塊鏈的結算保證完全失效,并阻止它繼續進行。正常來說,對于出塊者來說,“激勵相容”的策略應該是延長最長的鏈。但如果某個區塊執行后的狀態異常有利可圖呢 (例如,交易費很高,或只有直接在該區塊后構建新區塊才能提取 MEV)?這個問題在過去討論“沒有區塊獎勵的比特幣”和自私挖礦問題上探討過,而在今天“以太坊生態里 DeFi 相關的 MEV" 問題上也探討過。
Lido:以太坊合并后不計劃支持ETH PoW:金色財經消息,流動性質押協議Lido表示,在以太坊合并后不計劃支持ETH PoW,除非有提議,否則Lido將不支持將ETH PoW代幣分配給stETH持有者。此外,Lido稱,合并不會影響在信標鏈中質押的ETH,在合并后的PoS以太坊中,驗證者將獲得優先費用和潛在的MEV獎勵。這兩種獎勵都將由Lido驗證者進行質押,以增加用戶可獲得的stETH獎勵,因此,額外的質押獎勵將在合并后累積給質押者。[2022/9/11 13:22:31]
這些情況都存在很強的動機試圖通過與其他區塊競爭”竊取“費用,而不是延長權威鏈。在下面的例子里,區塊 1 的執行后狀態非常有利可圖,且區塊 2a 已經被挖了。然而,不是一個,而是三個出塊者已經選了在區塊 1 上繼續挖,而不是區塊 2a (以獲得區塊 1 后顯露出的 MEV),這可以擴展到任意數量的出塊者。
很明顯,這樣的模式為惡意 51% 攻擊打開了一扇大門。我們把礦工參與這種重組挖礦策略的情況稱為”短視理性“,因為決定這樣做在短期內可能是理性的。但是,他們都或顯式地 (質押者) 、或隱式地 (礦工) 看漲 ETH (因為交易費和區塊獎勵都是以 ETH 計價的),這意味著這種減少用戶對以太坊信任的攻擊是與他們的最佳利益有沖突的,因此在長期來說是不理性的。
在 Nakamoto PoW 共識算法里,區塊在分叉選擇里是被”連續“敲定的。首先,當一個區塊被挖,此時一個競爭區塊有可能可以對其進行重組。如果一個區塊成功被打包進權威鏈,(平均) 13 秒后會有其他礦工在該區塊上構建第二個區塊。此時,一條鏈要重組的話需要有兩個競爭區塊。隨著構建了越來越多的區塊,對鏈進行重組的難度會持續上升,但速度很慢。
FTX發布以太坊合并后ETH處理方式的說明:將評估是否分發分叉通證:8月15日消息,FTX發布以太坊合并后ETH處理方式的說明,具體內容如下:
1. 在預計于2022年第三季度/第四季度的合并發生后,以太坊可能會出現一個或多個分叉;
2. FTX將評估是否分發分叉通證。若FTX決定分發分叉通證,FTX將根據ETH現貨借方于分叉快照時的ETH現貨余額,收取分叉通證;
3. 若FTX計劃分發分叉通證,將會在項目完成分叉通證的發放后進行;
4. FTX后續將評估分叉通證的上幣情況;
5. 在合并后,ETH PoS將使用通證代碼“ETH”。[2022/8/15 12:26:55]
以太坊信標鏈實現的是一個名為 Gasper 的權益證明協議,其分叉選擇規則稱為 LMD-GHOST。不同于 Nakamoto PoW,在 Gasper 里,參與出塊的有兩個角色:
提議者:負責提議區塊的一名驗證者
證明者:由一組驗證者構成,他們對應該成為權威鏈鏈頭的區塊進行投票。證明者的投票被稱為”證明 (attestation)",這是他們給區塊的“權重”。控制了證明者意味著控制了分叉選擇規則。
每 12 秒就有一個 slot,這代表著提議一個區塊的一次機會。在每個 slot 里會有一個混洗算法偽隨機地選出一個委員會,這個委員會由所有驗證者數的大約 1/32 組成,其中每個委員會里的一名驗證者會作為提議者,其余的驗證者作為證明者。證明者同時對他們認為應該被打包到權威鏈的區塊進行投票。因為委員會是通過偽隨機采樣組成的,攻擊者是沒有辦法把他們的驗證者都集中到一個單一 slot 里的。
當前,信標鏈有大約 19.6 萬名驗證者,意味著每個 slot 里的委員會人數大約是 6125。因此,即使是一個區塊的重組也是極其困難的,因為一個只控制了一些驗證者的攻擊者是無法擊敗數千名誠實的多數驗證者的。
火幣計劃上線符合其安全要求的以太坊合并后的分叉鏈:金色財經報道,加密貨幣交易所火幣表示,只要滿足五個要求,它將在網絡計劃切換到股權證明 (PoS) 共識后列出以太坊的任何硬分叉。火幣周五在一篇博文中寫道,只要分叉的資產符合我們的安全要求,我們將率先支持用戶持有資產并獲得獎勵,在我們全面了解用戶意見后,將根據我們的規則盡快提供這些交易服務。(the block)[2022/8/7 12:07:04]
為了更好理解為什么是這樣,讓我們看看以下這個例子:有 2 個 slot 和 24 名驗證者,其中 9 名是惡意的。驗證者被分成 2 個委員會,經過隨機混洗,對手不太可能可以控制他們被分配到的委員會人數的 50%,更不能實現重組。
更正式地說,擁有 p% 質押量的惡意行為者控制 N 名驗證者大小委員會的 50% 以上的概率遵循二項式分布 (其中 k = N/2 ):
算出多個質押值的概率后,我們得出下表:
現在我們了解到,攻擊者如果想直接進行重組的話需要控制總驗證者數的 50%。
如果控制證明者的 25-49% (參閱此論文、或這里的概要),控制者還是可能發起一些更小型的攻擊的。但是,對這些攻擊已經有修復方法了,它們可以被悄悄執行,從而達到接近 50% 的無條件安全性。
最后,長程重組是不可能了,因為所有比過去兩個 epoch 更深的區塊都會被認為“最終確定了”,也就是說,對它們進行回滾是不可能的了。如果一個攻擊者造成兩個沖突區塊被最終確定了 (例如,控制了 67% 的質押量),系統需要倒回去,通過社會性干預來恢復。
現在我們了解了在不同的分叉選擇規則下重組是如何發生的,不妨通過一個簡單的博弈論例子來了解,對于礦工或驗證者來說,什么時候運行軟件來執行重組以獲利是有意義的。
我們可以用收益矩陣非正式地描述每個場景,其中“叛變”意味著“下載并使用執行重組的軟件”。收益是“短視的”,沒有考慮長期后果。
Nakamoto PoW
在最長鏈 PoW 里,即使是驗證者集里的一小部分人,也有可能實現短程重組。執行后狀態是異常有利可圖的區塊總會偶爾出現,即使是 1-10% 的成功幾率也值得嘗試,與該區塊現有的子區塊進行競爭。
礦工可以形成一個中型礦池,等待找到未來連續 2-3 個區塊的機會,或把部分他們的收入發送到一個任何人都可以認領的合約,以賄賂其他礦工也運行相同的軟件,以構建他們的區塊鏈,幫助它擊敗現有的權威鏈。
因此,有些礦工可能會嘗試運行重組客戶端。
Gasper
在 Gasper 里,重組 1-64 個 slot 是可能的,但需要攻擊者控制整個驗證者集的大部分 (由于他們不能把他們的押金集中在某個特定的 slot,所以他們的質押量需要足夠大才能在他們想要攻擊的 slot 里被隨機選中)。采用重組挖礦軟件用處不大,除非有非常大量其他驗證者也同時采用。
因此,如果 51%的驗證者都稍微有點利他主義精神或懶惰,那么沒有人會運行重組挖礦軟件這件事基本可以確定。
Tendermint
在 Tendermint 里,事情會更加簡單:重組是完全不可能的,任何違反單個 slot 最終敲定規則的實現都需要超過三分之一的驗證者被罰沒。與 Gasper 的情況相似,這也意味著沒有人會運行重組挖礦軟件這件事基本可以確定。
從上面我們可以看出,盡管在三種情況里采用 "reorg geth" 都是可能的,基于并行證明這個理念的分叉選擇規則比 Nakamoto 分叉選擇規則帶來更穩定的誠實平衡。
在以太坊的語境里,最有效的預防措施是進一步加快合并的工作,特別是趕快發展出能實現可接受的“緊急合并”的能力,以把以太坊轉化為 PoS 機制。倉促合并會帶來很高風險,還會毀壞基礎設施,但如果很多礦工開始對鏈進行重組攻擊的話,還是需要一個可信的承諾來抵御這樣的行為。
接近合并的時候就是風險最大的時候,因為礦工仍然主導著這個系統,但他們的時間不多了。然而,有兩個因素會緩解這個風險:
以太坊礦工經常同時是 (i) 其他區塊鏈的礦工,和/ 或 (ii) 以太坊社區具有其他能力的成員,因此作出良好行為的動機會繼續存在。
隨著合并臨近,實現緊急合并的成本和風險都在降低。在預計合并日期的前幾個月進行緊急合并是非常具有破壞性的。在預計合并日期的前兩周進行緊急合并則能為驗證者操作員已經下載好的客戶端提供參數設置。
合并后,重組驗證將成為一個更小的問題,因為單個驗證者或小群體證明者無法獨自重組一個區塊。成功的重組攻擊需要解決讓大部分驗證者都同時參與進來的協作難題。但是,還是存在一些小風險的。如果想要進一步提高安全性,那么以太坊可以要么進一步調整分叉選擇規則,將重組攻擊的要求提到到 50% 的理論最大值;要么轉為直接單個 slot 實現最終敲定的共識。
致謝:感謝 Dan Robinson、Anish Agnihotri、Kevin Pang、Dave White 和 MEVIntern 對本文草稿的評論。
來源 | Paradigm
作者 | Georgios Konstantopoulos,?Vitalik Buterin
原文鏈接:https://www.paradigm.xyz/2021/07/ethereum-reorgs-after-the-merge/
Tags:以太坊ETHLOTSLOT比特幣以太坊最新消息分析3X Short Ethereum Classic TokenZLOT幣Sleepy Sloth Finance
DeFi數據 1.DeFi總市值:762.34億美元 市值前十幣種排名數據來源DeFiboxDeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:23.
1900/1/1 0:00:00頭條 ▌以太坊二層解決方案zkSync 1.x主網升級完成官方消息,以太坊二層解決方案zkSync 1.x主網升級完成.
1900/1/1 0:00:00MEV(最大可提取價值)現在是一個熱門話題,我一直在盡可能多地學習,并試圖了解不同的解決方案以及它們在實施過程中面臨的各種問題.
1900/1/1 0:00:00自今年3月實施《特定金融信息法》以來,韓國持續加強對加密貨幣市場的管理。 9月24日倒計時 根據《特定金融信息法》,若加密交易所沒有在 9 月 24 日之前完成金融情報部門(FIU)報告以及滿足.
1900/1/1 0:00:00金色財經 區塊鏈7月22日訊 時光飛逝,在延遲了一年之后,日本東京奧運會終于將要拉開帷幕,這一全人類關注的偉大盛事必將成為今年夏天的熱點.
1900/1/1 0:00:00本文最早發表于香港大公報經濟觀察家清和專欄,原標題《比特幣會埋葬法幣嗎?》,作者:清和 智本社社長。2008年12月,一個代號為“中本聰”的人發布了《比特幣白皮書——一個點對點的電子現金系統》.
1900/1/1 0:00:00