1、深度|以太坊“大合并(bing)”后,Web3的(de)精神内耗能治好吗?
2、以太坊系(xi)列(2) |“突(tu)破”合并后,以太坊将面临(lin)哪些监管问题和APP应(ying)用层问题?
本章介绍以太坊与PoS共识机制融合(he)后可能面临的共识级别的攻击。
1_小当铺的(de)攻击
短程重组
这是对信标链的攻击,攻击者通常向其他验证者隐藏部分(fen)信息,并在特定时间点发布,以实现双花,或在前置大交易中提取MEV。 此攻击还(hai)可以扩展到多个块eth分叉(cha)时间,但随着重组时间的增加,成功(gong)的概率会下降。
这种攻击(ji)本质上是块重组,可以(yi)分为事前重组和事后重(zhong)组两种类型。 其中(zhong),预重组是指攻击者在(zai)主链创建块之前将其替换;后(hou)期重组是指攻击者删除主链中经过验(yan)证的块。 PoS以太坊中为eth分叉时间,如果想事后重组,必须拥有上述文章2/3的所(suo)有权。 此外,发现即使攻击者拥(yong)有以太坊65%的所有权,攻击成(cheng)功的概率也小于0.05%。
短程重组攻(gong)击通过预重组实现,攻击者无需控制以(yi)太坊中大部分质押ETH即可实现,成功概率随质押控(kong)制比例的增加而增(zeng)加。
反弹攻击和平衡攻(gong)击(和) )。
平(ping)衡攻击( and )攻击是攻击者通(tong)过特定的步骤将诚实验证者集在(zai)块上划分为有分歧的离散组。
具(ju)体来说,攻击者等待机(ji)会提交一个块,当它到达时,他(ta)们在同一时隙提交(jiao)两个块。 他们把一个区块发送给诚(cheng)实验证者集合的一半,另一个(ge)区块发送给另一半。 分支算(suan)法检测到该冲突,屏蔽者被削减并跳出(chu)网络。 但是,上述两个块仍然存在(zai),大约有一半的验证者集证明了每个(ge)分支。
以一个验证者降(jiang)低成本为代价,攻击者成(cheng)功地将区块链一(yi)分为二。 同时(shi),剩下的恶意验(yan)证者拒绝提供他们的证书。 然后,在执行分支选择算法时,通(tong)过选择性地将支持一个或另一个分支(zhi)的证明分发给足够数量(liang)的验证者,可以(yi)生成具有累积证明的分支。 这可(ke)以无限期地继续,攻击者在两(liang)个分支上保持验证者的均匀分布。 因为两个分支都不能吸引2/3的绝(jue)对多数,所以信标链最终不(bu)能达成协议产生块。
在这种攻(gong)击方式下,攻击验证者控制的权益(yi)比例越大,任何时期进(jin)行攻击的可能性就越大。 这是因(yin)为验证者很可能会选择为每个插槽(cao)提交一个块。 即使只支配1%的股份,平均每100个epoch就有机会开始平衡攻击,不会花太多时间。
被称为反弹攻击() )的类(lei)似攻击也只需要控制一小部(bu)分权益。 在这种情况(kuang)下,攻击者的验证者拒绝投票。 在(zai)这种方法中,攻击者没有(you)通过投票来维持两个分支之(zhi)间的平均分配,而是根据需要使用他们的投票来证(zheng)明分支a和分支b之间的初(chu)步检查点是合理(li)的。 两个叉子之间的这种翻转阻止(zhi)了最终性。
雪崩攻击()。
2022年3月的论文(wen)描述了另一种类型的攻击(ji),称为雪崩攻击。 本文作者认为,提出者的权重提升方案未能(neng)避免雪崩攻击的一些变体。 但是,这(zhe)篇论文的作者也只展示了对以太(tai)坊分支选择算法高度理想(xiang)化版本的攻击(他们使用的(de)是没有LMD的GHOST ) 其中,GHOST分支选择算法累(lei)计第一个分支块及其对应的(de)所有子孙块的票数(shu),选择得票数最多(duo)的分支作为主链(lian)。
假设发动雪(xue)崩攻击,前提是(shi)攻击者可以控制多个连续块(kuai)的提议者。 当提案者提出(chu)插槽时,攻击者会保留并收(shou)集块,直到被挂起的块达到与主链块(kuai)相等的累积权重。 然(ran)后,攻击者释放所有被拘留的街区。 此时,因为主链与子(zi)链的权重相同,区块链分(fen)支,后续的块的顺序混乱。 例(li)如,攻击者保留了6个块,最初的诚(cheng)实块n同时与最初的敌对(dui)块n竞争,系统出现了分歧。 然后,攻击者在第一个敌对块之后(hou)的n 1处并联所有(you)剩下的5个敌对块。
如下图所(suo)示,根据GHOST分支选择算法的特点,所有敌对(dui)块n和后续五个分支都(dou)等于原始链的六个块中累加的权重(zhong),这意味着第七个块(kuai)在系统中具有相同的权重。 每个(ge)块都有攻击者在(zai)创建分支后选择连接的概率。 在这种情况下,攻(gong)击者可以对剩下的保留块重复(fu)此操作,以防止诚实的验证者在验证(zheng)后继续遵循主链,直(zhi)到攻击者用完所有保留块。 如(ru)果攻击者在攻击中取出块(kuai)的机会增加,他们可(ke)以利用这些块来扩(kuo)大攻击规模。 这样,参与共谋攻击(ji)的验证者越多,攻击的持续时间就(jiu)越长
图为来自“Two On Proof-of-Stake GHOST/”
LMD-GHOST分支选择算法的(de)LMD部分可以减少(shao)雪崩攻击,但LMD或“最后一(yi)个消息驱动”是一(yi)个表,其中包含每个验(yan)证器从其他验证器收到(dao)的最新消息。 仅当新消(xiao)息来自比特定验证器表中已(yi)存在的消息晚的(de)插槽时,此字段才会更新。 实(shi)际上,在每个插槽中接(jie)收的第一条消息是接收(shou)的消息,这意味着其他消息(xi)将被忽略。 也就是说(shuo),一致客户端使用来自每个验证者的第(di)一个到达的消息,冲突的消息(xi)被简单地丢弃以防止雪崩攻击。
远程攻击
远程攻击也是pos (权利证明(ming))协议机制下的特定攻击方法(fa),主要包括以下两(liang)种情况:
在第一种情况下,攻击者(zhe)作为参与创世块(kuai)的验证者,在原始(区块链 )旁边(bian)维持单独的(区块链 )分支,最(zui)终说服诚实的验证者在(zai)很久之后的某个时间点切换。 但是,这种攻击在(zai)信标链上是不可能的。 “”是为了防(fang)止所有验证者定(ding)期就诚实链“检查点”的(de)状态达成一致,然后重组检查点(dian)之后的块。
第二种情况是新节点加入(ru)网络时。区块链基于从(cong)最近的节点(称为弱主观检查点)获得(de)的信息构建。区块链作为伪创世块。 这将为加入网络的新节(jie)点创建“受信任网关”,并开(kai)始验证块。 但是(shi),即使从块浏览器等客户端收集(ji)构建检查点所需的(de)信任块信息,也不会提高客(ke)户端自身的可靠性,因此主观上(shang)是“弱”的。 根据定义,不诚(cheng)实的检查点处于共识失败(bai)的状态,因为网络上的所有(you)节点都共享检查点。
2_大型当铺的攻击
33%
33%质押的ETH数是攻击(ji)者的标准,超过此数时,有能力(li)在不精细控制其他验证者行为的(de)情况下阻止信标链的完成。 这是因为为了最终确定信(xin)标链,必须担保2/3的ETH以证明(ming)配对的检查点。
如果1/3以上(shang)的质押ETH被恶意证明或无法证明,2/3的绝对多数(shu)不存在。 对此(ci)的防御是信标链的负惩罚(泄漏)机制(zhi),这是当信标链在(zai)4个epoch之后失败时触(chu)发的紧急安全措施。 负的惩罚没能证明或证明与(yu)很多人相反的验证者。 这些(xie)非认证验证者拥有的(de)质押ETH逐渐耗尽,最终它们占总(zong)数的1/3,区块链(lian)可重新启动。
50%和51%
理论上,50%的质押ETH由恶意验证者控制(zhi),因此他可以将(以太(tai)坊 )区块链分为相同大小的两个分支(zhi)。 与上述平衡攻击(ji)相同,攻击者可以在同一个插槽中(zhong)提交两个区块,使用其所有(you)50%的股份投票(piao)反对诚实验证者集,通过(guo)阻止最终确定性,维持两个分支。
在4个epoch之(zhi)后,减少泄漏的机制通过2个(ge)分支被激活。 因为各(ge)分支会看到一半(ban)的验证者无法证明。 每次分歧(qi)都会导致另一半验证者聚集的质押权益(yi)减少,最终两条锁链达不到大多数验证(zheng)者的2/3。 在这方面,唯一的(de)选择是依靠社区(qu)恢复。
攻击者支配的质(zhi)押权益占有率超过51%时,可以控制(zhi)分支选择算法。 在这种情况下(xia),攻击者可以多数票作(zuo)证,在不欺骗诚实客户的(de)情况下,给予足够的(de)控制权以执行短期重组。 虽然控制51%的股份(fen)不允许攻击者改变历史,但他们有能力通过对有利于他们的分(fen)支应用多数票或重组区块来影响未来。
诚实的验证者也会(hui)模仿。 因为分支选择算法也(ye)将攻击者选择的链视(shi)为最重的链,最终确定攻击链。 这样,攻击者就可以审查特定交易,执行短程重组,通过对有利区块进行排(pai)序来提取最大MEV。 对这个问题的防御是多数所有权的(de)巨大成本,这给攻击者带(dai)来很大的风险。 这会(hui)大幅降低攻击者的所有权,因为社(she)会阶层可能会介入并采用诚(cheng)实的少数派分支。
66%
支配66%以上质押ETH的攻击者可以在不支配其他(ta)诚实验证者的情(qing)况下确定优先链。 攻击者(zhe)可以轻易投票给他们想(xiang)选择的分支,并完(wan)成它。 作为绝对多数的(de)质押,攻击者始终控(kong)制最终区块的内容,拥有消费、回(hui)滚、再消费的权限。 此外,还(hai)可以审查和自由重组特定交易。区块链、如果攻(gong)击者实际具有重组能(neng)力,最终事后逆转。 也就是说,改变(bian)过去,控制未来。 唯一的(de)防御措施是通过(guo)社会阶层的参与协调采用替代分歧。
一般(ban)来说,尽管存在这些潜在的攻击(ji)向量,信标链风(feng)险较低,工作量低于证明等效链的风险(xian)。 这是因为攻击者为了压(ya)倒拥有投票权的(de)诚实验证者,需要将(jiang)质押ETH的巨大成本置(zhi)于风险之中。 内置的“胡萝卜强化棒”激励层可以(yi)防止很多恶意行为,特别是低风险的攻击者。 更微妙的(de)弹跳和平衡的攻击也不太可(ke)能成功。 在实际网络(luo)条件下,很难精细控制特(te)定验证者子集的(de)消息传递,因为客户端团(tuan)队通过简单的补丁反弹攻击快速修复了(le)已知问题、平衡攻击和雪(xue)崩攻击问题。
但34%、51%或66%的攻击需要通过社区投票解(jie)决,因此社区的有效管(guan)理是攻击者的强(qiang)大遏制作用。 对攻击(ji)者来说,技术上成功的(de)攻击仍然有被社区阻止(zhi)的风险,攻击者的利(li)益发挥有效威慑作用的可能性降低。 所以,保持有效的价(jia)值一致的观点社(she)区对投资非常重(zhong)要。
3_ETH PoW安全性
以太坊成(cheng)立以来,矿工在以太坊发挥(hui)了重要的作用,但以(yi)太坊的合并将打破这(zhe)一点。 据估计,GPU矿工需要关(guan)闭约95%的GPU,以通过(guo)组合的加密生态系统维持利润。 但是,许多这样的(de)GPU不太可能在合并后立(li)即关闭,因此矿工可(ke)能会在合并后尝试PoW分支。 事实上,一些矿工也表达了对(dui)分歧的支持。 在某(mou)些情况下,如果交易所也同时支持分(fen)支,则分支的寿命会比预期的更长。
另外,以太坊分(fen)支项目Pow的官方网(wang)站成立并开始行动:
2022年8月15日以太坊分支项(xiang)目Pow发布推文称,初始版本的ETHW Core已经在ETHW Core上发布,主要特点有: 1、禁用难度(du)炸弹。 2、EIP-1559变更(geng),基础费用变更为矿工和社区共同管(guan)理的多重签名钱包; 3、调整了ETHW初期开采难度。
2022年8月26日,以太坊分支项目(mu)在推特上发布了ETHW的第一个测试(shi)网络“”。 随(sui)之而来的是区块链浏览器和RPC服务(wu)器。 欢迎社区中所有潜(qian)在合作伙伴(交易所(suo)、矿池、)钱包提(ti)供商、桥梁、建设者等(deng))参与,共同构建真正的PoW驱动(dong)的)以太坊生态系统
中详细分析了以太坊合并(bing)升级后硬叉可能出现的安(an)全问题。
1、哈希攻击
51%计(ji)算力攻击是对区块链网络的潜在(zai)攻击。 在系统内的恶意(yi)单个实体或组织能(neng)够控制大部分计算力的情况下,即全网超过51%的计(ji)算力的情况下,PoW算法中(zhong)的共识由计算力决定。 这样,攻击者(zhe)就可以利用计算能力篡改账(zhang)簿,对系统进行恶意攻击。以太坊合(he)并后,因开采而无法盈利的矿工可能(neng)会关闭自己的矿井机,基(ji)于PoW的ETH分(fen)支可能会失去一部分(fen)计算能力。 例如,最大的(de)矿山宣布停止支(zhi)持ETH。 坡口开采。
照片呢
如果支持的计算能力下降,攻击者(zhe)发起计算能力攻击的成本就会下(xia)降。 然后攻击者可以借用大量的矿(kuang)山计算力,使其计算力达到51%来撰写上述文章。 此时,通过利用计(ji)算能力,可以更快地生成(cheng)模块。 如果生成的块成为系统中最(zui)长的链,则块交易(yi)可以回滚,可以(yi)进行数据篡改,对(dui)双花、任意地址的交易进行控制等具(ju)有很大的危害。 以下分别(bie)介绍。
双(shuang)花
双花攻击是(shi)指攻击者试图重用帐户中拥有的同一(yi)数字令牌的攻击。 例如:
假设a有(you)51%的计算能力,块高为1000时(shi),a向b汇款ETH,汇款交易由矿工打包。
交易确认后,a依靠51%的(de)计算能力优势,在区块高999后重新生成“更长的(de)链条”,在区块高1000处将ETH再次转移到(dao)c,交易记录被删除。 打包,即链包括ETH从a向c的(de)转移的记录。
根据“最(zui)长链协议”,包含对C的转(zhuan)账记录的链是主链,从a到b的ETH是“无效支付”。
管理来自任意(yi)地址的交易
有51%的计算(suan)能力,攻击者可以任意打包(bao)或不打包某个地址的交易。 它还可以阻止区(qu)块确认交易或部分矿工获得有(you)效收费权,从而控制任意(yi)地址的交易。 请参阅。
但是,拥有51%的计算能力不是万能的。 例如,不能修改他人的交易(yi)记录,不能阻止交易的发行,也不能凭空生成ETH。
2、重放攻(gong)击
在传统计算机术(shu)语中,也称为重放攻击()、重放攻击或重放攻击,是指攻击者通过发送目标主机接(jie)收的包来欺骗系统。区块链区(qu)域,如果重放攻击通常出(chu)现在区块链的硬叉上,则表示“一个链(lian)上的交易通常在另一个链上是合法的(de)”。
2016年7月20日晚,在第以太坊(fang)192万区块的高度发生了硬叉(cha),分别发生了两条链条(tiao),分别称为ETH链(lian)条和ETH链条。 对应的令牌是ETH和ETC。
两条链上的地址和私钥相同,交(jiao)易格式完全相同,所以一条链上的交(jiao)易在另一条链上完全(quan)合法。 因此,在一条链(lian)上发起的交易也可能在另(ling)一条链上重播并得到确(que)认。 由于事先(xian)没有计划,很多人继续使用这个漏洞(dong)
交易所进行ETH充值和提现操作,获得额外的ETC。 至此,“重放攻击”在区块链世界被重新定义。
此次以(yi)太坊合并升级,概率(lu)硬叉,理论上也可能存在(zai)上述问题。
如(ru)何防止重放攻击? 实际上,为了升级的目的实(shi)现分支很简单。 硬(ying)分支升级使用不(bu)同版本的客户端(duan),并且事务的前缀(zhui)通常包含启动事务的客户端的版本信息(xi)。 分支后,为了避(bi)免旧客户端的“非法交易”(版本(ben)号太低,其他节点无(wu)法识别,而不是恶意交易),矿工通常会拒(ju)绝某个版本号之前的交易,以便(bian)恶意攻击者进行硬分支升级(ji)
2022年8月23日(ri),以太坊分支项目正式发布,ETHW Core发布了第二(er)次代码更新以强制执行(xing)EIP-155。 此次更新后(hou),所有交易都必须用链ID签名。 这可以保护ETHW用户免(mian)受与其他分支令(ling)牌的重放攻击。
这里简单介绍一下EIP-155 :
该(gai)提案的标题为“简(jian)单重放攻击保护”。 这个建议,如(ru)果阻止的话。=如果可用,则在计(ji)算事务的哈希值时,与之前(qian)的6个rlp编码元素( nonce、to、value、data )进行散(san)列处理不同,为9个rlp编码(ma)元素) nonce
因此,简单地说,在交(jiao)易上签名时,必须提供()和key )。 这是必要的,因为EIP-155修复了简单的重复(fu)攻击漏洞后,旧的区块链签名(ming)方案必须保持不变,但需要提供(gong)新版本的签名方案。 因(yin)此,通过接口实现新旧签名方式(shi),根据块的高度制作不同(tong)的签名者。 在EIP-155中实(shi)现的新散列算法的主要目的是(shi)获取事务的散列(lie)值并对其进行签名。 与旧(jiu)方式相比,链ID和2个null值混(hun)合存在散列计算(suan)中。 请注意,此散列不同于(yu)的事务散列。
图为《区块链技术与实现》起
这样,一个签名(ming)的交易只能属于唯一确定的东西区(qu)块链。
另外,为了(le)保证项目的安全,项目方建议在合同中进行离线签名验(yan)证时,将Chain ID包(bao)含在签名数据中,避免链间签名复用造(zao)成的资产损失。
3、APP应用层项目
实际上,正(zheng)常的分支需要计算能力,选择的(de)主角是矿工。 如果这次以太坊升级(ji)同时出现两条以太坊链,应该选择(ze)整个以太坊。 生态是项(xiang)目方、用户和投资者。
与2016年的(de)硬叉相比,今天(tian)的以太坊与过去相去甚远。 虽然DeFi项目已占以(yi)太坊生态系统的一半,但由于DeFi项目的基础是链(lian)上资产,项目方主要遵循资产方。 我(wo)要走了。 资产方是(shi)指usdt、USDC等链上稳定的资产。 DeFi的抵押贷款生(sheng)态基本以资产方为主。
对(dui)这些稳定资产(这里主要是稳(wen)定货币)的发行者来说,如果以太坊网络出现分歧,他(ta)们会突然面临危险问题。 稳定货币有两个(ge)版本。 作为稳定货币发行人,每(mei)个突然发行的稳定货币(bi)有两项债务义务。
大多数人认为稳定货币发行者(zhe)将新的销售点链视为“真的”。以太坊网络,如果想支持PoW链该怎么办? 毕(bi)竟,他们有足够的经济动机来做这(zhe)件事。
例(li)如,他们可以卖空PoS以太坊令牌,在PoW网上宣布回购,赚(zuan)几十亿美元。 这可能破坏新的以太(tai)坊网络,导致贷款清算(suan)和协议,交易所和相(xiang)关DeFi项目的关闭。 这可能会(hui)造成很大的混乱,大(da)规模破坏加密货币市场(chang)。
同样,以(yi)太坊分支项目8月17日宣(xuan)布,ETHW Core将引入流动性池冻结技术保护(hu)用户资产。 也就是说以太坊 PoW硬分支后,尤其是前几个区块(kuai),用户将ETHW Core存储在(zai)流动性池中,例如Aave是黑(hei)客与科学家用用过或没有使用(yong)价值的方式交换的,所以ETHW Core 保(bao)护了用户的ETHW令牌,直到合同管理员或社(she)区找到更好的方法归还用户资产。 冻(dong)结不适用于只涉及单一(yi)资产的质押合同,如ETH2.0存款合同或以太网货币(bi)。
参考:
“PoS和”
《什么是对区块链的重(zhong)放攻击》
《区块链(lian)技术与实现》
下载Web3安全状况调查报告
2022年上半年Web 3的(de)安全状况如何?
成都联安官方(fang)微信公众号后台消息(xi)回复关键词:研报《2022年上半年成都联安Web 3安全态势深度研究报告》 PDF下载链接“!
关(guan)注之后再去吧~
原文来源于(yu)微信公众号(成都联安(以太坊系(xi)列(三)| 《以太坊合并》 )的不可忽视的安全问题是(shi)什么?
4 [db:tags]