以太坊:以太坊使用Rollup技術的安全風險在哪里？_TRUST

以太坊已經確認了以Rollup為中心的2.0路線圖，這讓Rollup成為了炙手可熱的技術，也可以說已經成為了layer2擴容的主流技術。如果與零知識證明證明搭配起來，Rollup會是layer2技術里解決方案的集大成者。

但正所謂“沒有絕對安全的系統”，Rollup同樣存在一定安全隱患，以太坊研究者論壇的開發者已經在討論此事。1月20日，以太坊開發者「jchancehud」發布了關于虛擬Rollup攻擊的討論。

以下為關于虛擬Rollup攻擊的討論。經白計劃團隊整理，有所修改和批注。

Rollup的安全風險原因

模擬Rollup攻擊的基本原理是：只要虛擬狀態有效，任何以太坊節點都可以向OptimisticRollup協調員撒謊。而協調員只有在嘗試發送交易或切換以太坊供應商時才會發現這一點。

OptimisticRollup是通過在以太坊網絡上使用calldata存儲塊信息來進行。這各過程允許任何人操作以太坊節點并下載Rollup狀態。但實際上，有些人不會操作他們自己的以太坊節點，而是依靠托管解決方案。

現場丨V神：以太坊在2.0前死了很多次:金色財經現場報道，10月27日，第六屆區塊鏈全球峰會于上海開幕，峰會上以太坊創始人Vitalik Buterin演講表示，我認為以太坊生態發展情況和趨勢，有一些趨勢在過去3年就展現出來了，但在過去一年有一個高速發展。

Vitalik回憶到，2014年7月成立了基金會，開始以太坊預售，但2014年10月以太坊就“死”了，2015年主網上線，但隨后以太坊又“死”了，2016年5月份發布了The DAO ，2016年，在The DAO 攻擊后，以太坊又“死”了，隨后成功硬分叉，但馬上，以太坊又“死”了，在上海devcon活動時，遭遇攻擊，以太坊又“死”了，2017年以太坊企業聯盟建立，以太坊開始逐漸有活力，但2018年因為以太坊價格下跌又死了2次，2018年開始以太坊2.0的研究，但2019年又死了一次。

我們現在還活著，以太坊正在Medalla測試網階段，測試網已經運行接近三個月時間。[2020/10/27]

需要驗證有效性

如果要快速低成本地構建有效的Rollup鏈，需要做的是進行交易、構建狀態并將其存儲在以太坊網絡以外的其他位置。當Rollup協調員從以太坊節點接收狀態歷史記錄時，協調員可以通過重播狀態交易來確定數據是否有效。然而，協調員不能確定鏈上是否存在該狀態，最好的辦法是詢問以太坊節點。

分析 | 以太坊對比特幣匯率呈現一定下滑趨勢 灰度以太坊信托溢價略有抬頭:據TokenGazer數據分析顯示，截止至12月10日11時，以太坊價格為$146.85，總市值為$15,978.64M，受行情波動影響，主流交易所24H以太坊交易量約為$37.28M，無較大起色；以太坊對比特幣匯率呈現一定下滑趨勢，市值占比略有下滑；基本面方面，以太坊鏈上交易量有明顯反彈，鏈上DApp交易量有一定增長，算力保持穩定，新增地址增速有一定加快；以太坊 30 天開發者指數約為 2.21；以太坊與 BTC 180 天關聯度保持穩定，30 天 ROI 有一定回調；據TokenGazer官網六道數據顯示，以太坊情緒指數移動平均線在70-80區間內波動，灰度以太坊信托溢價略有抬頭；ERC20 代幣總市值約為以太坊總市值的 64.58%。[2019/12/10]

如果出現人為攻擊

如果想象一個名為Untrust的以太坊節點服務。Untrust為以太坊dapp提供了低成本的基礎架構。如果他們選擇不信任，則可以查看特定的Rollup并創建虛構的歷史記錄。他們甚至可以通過從某些真實交易中提取通信數據并將其與虛擬交易混合來創建半虛擬歷史。

聲音 | ETH 2.0協調人員：以太坊開發人員將分片從1024個減少到64個:ETH 2.0協調人員Danny Ryan表示，以太坊開發人員似乎在最后一刻對ETH 2.0做了一些更改，將分片從1024個減少到64個，同時為“phase 0”配備了“干凈狀態（clean slate），并在其上設計了“phase 1”。Ryan 最近“根據圍繞替代的phase 1提案的討論”對代碼進行了一些更改，以便從“phase 0完全刪除Shard和Crosslink的概念”。他指的是以太坊的聯合創始人V神的提議。據此前報道，V神在推特轉發其關于Eth2分片鏈簡化的提案，提議減少分片數量，以加速分片項目落地。（trustnodes）[2019/10/23]

這樣，他們將創建一個完全不同的當前狀態哈希，但只有在使用Untrust的Rollup運算符去提交一個塊的情況下，這才會被發現。

這種類型的攻擊并不是特別強大。攻擊者無法偽造簽名，不能直接竊取資金，但可以在Rollup中撒謊自己的活動。

想象一下，Untrust變得更加復雜。他們決定攻擊名為MoneyMover的Rollup。

動態 | Tornado.Cash推出在以太坊上完全隱私交易功能工具Tornado.cash:為了能在以太坊上實現徹底的隱私交易，Tornado團隊推出Tornado.cash工具，不需要集中托管，可以用以太坊實現隱私交易。在Tornado.cash里，一個地址可以向一個智能合約存款，隨后另一個地址可以把這筆款取出來，基于零知識證明，其他人無法把判斷這筆交易的雙方是誰。而且這個過程中沒有任何托管行為，用戶可以時刻控制自己的資產[2019/8/7]

當收到對MoneyMover地址的請求時，它們會從運行完全獨立的以太坊網絡的節點返回信息。在這個獨立的以太坊網絡中，Untrust鏡像了大多數交易，并在需要時注入自己的交易。

現在說Untrust找到一個使用MoneyMoverRollup付款的網站。該網站運行自己的MoneyMover協調員，該協調員連接Untrust以訪問以太坊網絡。

Untrust可能會在其鏡像網絡中創建虛構的交易，MoneyMover協調員將其解釋為有效。由于MoneyMover協調員未與任何對等方連接，因此確定鏈上存在的唯一方法是詢問以太坊節點。

韓國SK telecom加入企業以太坊聯盟(EEA):1日根據業內人士透露，韓國SK telecom公司最近加入了EEA。SK telecom公司的一位負責人說“根據評估區塊鏈技術應用必要性的需求所以加入了企業以太坊聯盟，但是這與虛擬貨幣無關”。SK telecom是韓國大型企業中僅次于三星SDS第二個加入企業以太坊聯盟的公司。[2018/2/1]

Untrust在其鏡像網絡上進行了一次虛構的交易，該網站運營的MoneyMover協調員將其檢測為有效付款。Untrust現在無需付費即可訪問該網站。網站只會在他們提交交易或切換到其他以太坊供應商時才發現這種虛構的付款。

實際可能出現的風險

以上的攻擊是僅當協調員未運行其自己的以太坊節點時，此攻擊才有意義。有一些情況是有問題的：

1.協調員數據的下游使用者無法知道他們接收的數據是否存在，他們不能信任協調員正在使用的eth節點，因為使用者沒有自己運行該節點。

2.欺詐證明者尤其容易受到這種攻擊，因為它們僅在檢測到欺詐行為時才會提交交易。惡意的eth節點可能會從區塊鏈數據中剝離無效交易，并僅返回不同的狀態哈希。欺詐證明者將無法得知狀態哈希是虛構的，并且永遠不會提交欺詐聲明。

3.eth節點操作員向Rollup協調員說謊，以誘使他們要么提交無效的狀態交易，要么提交無效的欺詐聲明。一旦發生這種情況，惡意的eth節點運營商就可以充當有效的交易對手并收集抵押的資金。

解決方案1

在工作量證明鏈的背景下，協調員可以請求塊數據并檢查其是否足夠困難。檢查當前難度的至少一半應該可以使大多數攻擊因為財務問題無法實現。

在權益證明鏈中，這個過程變得不可行，因為惡意的eth節點可能會從未投票的地址提供簽名。他們可以通過在查詢時質押抵押金額來做到這一點。

解決方案2

一個不太優雅的解決方案是：對信譽良好的節點不斷簽名，并發布已存在于鏈上的Rollup狀態哈希的列表。該列表可以在IPFS之類的服務上發布。協調員節點可以包括一個已知的信譽良好的公共密鑰的預設列表。

如果出現以下情況，協調員會知道Rollup數據是真實的：

1.所有狀態交易均有效。

2.所有狀態散列均由信譽良好的來源進行簽名。

這將確保Rollup數據有效且非虛構，并且將允許Rollup節點使用任何以太坊節點來同步數據。

以上是「jchancehud」討論的Rollup安全攻擊的可能性。

主要是因為Rollup是鏈下狀態，容易在很多狀態里出現信息同步不及時的情況，據「jchancehud」表示的，需要驗證鏈下狀態是否有效的一方需要同步其他以太坊全節點的數據才可以確認最終安全性，這意味著很多平臺需要運行一個以太坊節點。

對于上文舉出的虛擬攻擊方式，以太坊的layer2解決方案團隊SKALELabs首席技術官「KonstantinKladko」表示，“這真的很有趣！我認為這表明，通過破壞Infrua，可以基本上破壞所有Rollup。”

當然，這是代表著那些通過Infura來與以太坊通訊的產品，Infura承擔著很大的以太坊節點服務規模，此前也有關于Infura是否會是以太坊網絡最大單點漏洞的討論。而對于這個單點安全風險，主要是以多節點負載均衡的方式處理，盡力規避。

而對于「jchancehud」的討論，最有趣的是開發者「adlerjohn」提出，這種虛擬的“攻擊”似乎不僅適用于optimisticRollup，而且還適用于zkRollup，實際上也適用于任何智能合約。

這一推論很可能是基于“只要存在信息不對稱危險”的協作過程，就會面臨「jchancehud」所說的攻擊風險。

所以「adlerjohn」提出，在比特幣的白皮書第8節，有如何驗證信息對錯的方式，即驗證者確定最長鏈，信任最長鏈，這個方式描述了一種眾所周知的方案，這個該方案可用于防止Sybil節點提供虛假信息，這樣可以不要求大多數計算是誠實的。

比特幣白皮書的第8節

此外，「adlerjohn」提出，Rollup的狀態根可以作為事件發出，甚至可以存儲在以太坊狀態中，也可以進行偽造交易的查詢。

比特幣白皮書的第8節

另外，「adlerjohn」還提到了關于optimisticRollup方案中，還可以包含名為“最小可行合并共識”的設計，該設計可以通過發布有序數據來實現數據可用性，可以讓多個側鏈、分片使用。

白計劃注：最小可行合并共識的解讀在如下鏈接

https://ethresear.ch/t/minimal-viable-merged-consensus/5617

但可以預見的是，使用「adlerjohn」提出的方式，是存在較大的設計難度的。

在討論的最后，「jchancehud」回復「adlerjohn」表示，不能確定這種攻擊預測是否適用于ZKRollup。但因為ZK證明更難生成，至少會更加困難。如果Rollup被廣泛采用，那么這樣考慮Rollup尤其重要。

Rollup協調員可以在使用節點之前驗證節點中的所有區塊頭，這是另一種潛在的解決方案，盡管時間和帶寬昂貴。但用戶最好運行自己知道可以信任的eth輕節點。如果已經解決驗證問題，運行輕節點還可以查詢事件。

討論在最后，我們會發現為了實現安全性、可擴展性、效率，這些方案按工程化的思路是可以嘗試的，但實施過程一定是困難的，因為不同開發者的討論思路最后還要合成代碼，以及包含網絡結構、客戶端、語言、操作界面等多個挑戰。

時間戳向前，區塊不停，我們繼續期待吧。

Tags：以太坊ROLROLLTRUST以太坊交易所在哪下載roll幣能出坐騎嗎roll幣可以roll坐騎嗎TRUSTNFT

Fil