本文中,我们简要地讨论关于PoS协议里,大家公认最大的一朵乌云——长程攻击;内容还涵盖了两种目前现行的或预想的解决办法:
弱主观性和
前向安全密钥。最后,我们提出了一种新的分叉选择规则,使得长程攻击成本更加高昂;这种分叉选择可以结合现有的几种方案,作为预防长程攻击的额外举措。本文是区块链协议及相关主题的系列文章之一,我们持续致力于高质量的区块链技术内容创作;欲了解更多当前技术现状的全面概况,请参阅我们关于Layer2方法、随机性、分片论文等相关文章。另外请关注我们的推特或加入NearProtocol频道,避免错过内容更新。
长程攻击
在PoW中,使用最长链选择规则可以获得令人非常满意的属性:除非恶意攻击者控制了全网超过50%的算力,不然无法逆转已确认一段时间的区块。
徐明星新书《趣说金融史》正式发布 科普金融发展之道:金色财经现场报道,9月23日,欧科云链创始人徐明星携手著名财经作家李霁月、行业观察者顾泽辉力作《趣说金融史》一书,跨越5000年金融历史,重读金钱故事,并预测新的金融时代。该书由中信出版社出版,将于近期正式发售。据了解,本书可以更好地呈现金融的起源与发展,帮助人们理解货币、金融与未来经济。作为区块链行业领军企业——欧科云链的创始人,徐明星深知技术探索对经济社会的重要推动作用,他曾先后出版过《图说区块链》、《区块链:重塑经济与世界》、《通证经济》、《链与未来》等行业权威著作,解读区块链等新型技术的推动下,金融与社会的升级之道,对经济社会发展做出了重大贡献。其中,《区块链:重塑经济与世界》曾作为新中国70周年重点推荐图书之一被相关书店推荐。[2021/9/23 17:00:57]
但是在PoS中没有这种特性。尤其是当区块生产者建完块且拿回质押的代币后,对他们来说,用于创建区块的密钥再也没有价值了;这时候攻击者可以尝试以远低于创建区块时质押的代币金额去购买这些密钥。与PoW不同,因为PoS没有出块之间强制延时的机制,所以买到密钥后,攻击者能够在数分钟内造出一条长于主链的伪链,并被分叉选择规则所接受。
美国说唱歌手Megan Thee Stallion与Cash App合作发布比特币科普视频:美国说唱歌手Megan Thee Stallion与由Square开发的移动支付服务Cash App合作发布了一段名为“Bitcoin for Hotties”的视频。该视频从她的角度解释了什么是比特币,为什么比特币有价值等内容。Megan Thee Stallion在Instagram上拥有超过2410万粉丝,在 Twitter上拥有640万粉丝。(Bitcoin News)[2021/8/8 1:41:10]
有两种方法能够避免上述问题:
弱主观性
要求全网节点周期性地检查最新的区块,并拒收那些“重组了过分久远的记录”的区块。只要足够频繁地检查区块,使得在释放质押代币的时间段中,肯定包含一次以上的检查,那么节点就永远不会选择攻击者创建的最长链,因为敌手从取出保证金的验证者处购买的私钥,必定只能从“过于久远”处开始创建区块。
人大附中物理老师李永乐科普拜占庭将军问题和区块链:5月14日,人大附中物理老师、科普视频网红李永乐在其公众号发布视频《拜占庭将军问题是什么?区块链如何防范恶意节点?》。李永乐老师在视频中对拜占庭将军问题和区块链进行了讲解,他表示,拜占庭将军问题本质上指的是,在分布式计算机网络中,如果存在故障和恶意节点,是否能够保持正常节点的网络一致性问题。在近40年的时间里,人们提出了许多方案解决这一问题,称为拜占庭容错法。例如兰波特自己提出了口头协议、书面协议法,后来有人提出了实用拜占庭容错PBFT算法,在2008年,中本聪发明比特币后,人们又设想了通过区块链的方法解决这一问题。区块链通过算力证明来保持账本的一致性,也就是必须计算数学题,才能得到记账的权力,其他人对这个记账结果进行验证,如果是对的,就认可你的结果。与拜占庭问题比起来,就增加了叛徒的成本。[2020/5/14]
弱主观性方法的不足之处在于,虽然已经存在于网络中的节点不会被攻击者,但是对于首次加入网络的节点来说,他们没有足够的信息来判断哪条链是先被创建的,因此新节点会倾向选择攻击者创建的较长链。为了避免这种情况,新节点需要以某种方式在链下了解关于主链的知识,这在本质上就是要求他们选择信任网络中的某个主体。前向安全密钥
动态 | 链客社区联合北京交通广播推出区块链技术科普节目:12月11日15:15—16:00,区块链技术社区——链客区块链技术社区将联合北京交通广播FM103.9从零开始为大众科普解码区块链技术,蜻蜓FM及北京广播网同期进行全球直播。首期做客嘉宾为链客区块链技术社区创始人郄建军和百度区块链产品负责人于雅楠。[2019/12/11]
还有一种方法是要求区块创建者在出块后,在极短的时间内或立刻销毁他们用来建块的密钥;可以在每次建块时创建新的密钥对,或是通过?前向安全密钥?结构来完成。这个方法仰赖于节点是诚实的,并且严格遵守协议。因为一旦区块创建者知道未来的某个时间点,可能会有人要买他们的密钥,则密钥价值不为零,区块创建者就没有动机去销毁密钥。且不说要求在某个特定时间点,会有大比例的区块创建者愿意修改他们的文件且移除私钥并不现实;这种仰赖大多数参与者?诚实配合?的协议,与仰赖大多数参与者是?理性?的协议,两者间所带来的安全保障并不不同。PoW就是建立在大多数参与者是理性的且不会进行勾结的前提之上的,其分叉选择规则和抗女巫攻击也都依赖这个假设。
声音 | CNBC主持人:加密货币最大的缺点之一就是难以向外行快速科普:CNBC主持人Ran NeuNer近期发推称,加密货币最大的缺点之一就是很难向外行快速解释。当人们要求我向他们解释比特币时,我知道他们至少需要一个小时才能真正理解。[2019/9/10]
我们提议的分叉选择规则
参考下图:区块B在主链上足够前段的位置,所以产生B时大多数的在位验证者都已经把保证金取出来了。
攻击者能够接触这些区块生产者,并取得其中~2/3的私钥;因为这时候密钥对于区块产生者来说已经没有价值,所以攻击者能以远低于实际建块质押的金额来买到这些密钥。
因为PoS系统没有所谓稀缺资源,攻击者能够在非常短的时间内创建一条长于主链的伪链。
我们需要一种分叉选择规则,使得用户不会将攻击者创建的链视作主链——不论攻击者构建出多长的伪链,以及有多少恶意验证者为其签名背书。
本文建议的分叉选择规则步骤是:从创世区块开始,针对每个区块通过以下规则选择其子块作为下一个合法区块:
当前区块被主链采用后,对状态进行快照。
列出当前时刻,持有代币的所有账户,并做成对照表。
对于每个候选子块,根据对照表,找出子块及其各自子树中签署过至少一笔交易的公钥,并验证之。
算出每个候选子块及其各自子树中,签署过至少一笔交易的公钥所转移的代币总量;选择转移代币总量最多的子块作为合法的下一个区块。
从图中的例子来说,当前区块是B,候选子块是C1和C2;C1的子树是所有合规主链上的区块,而C2的子树是攻击者创建的。
从B块状态快照开始,计算签署过至少一笔交易的公钥所转移的代币总量,作为主链的得分;攻击者创建的链得分计算方式相同,但是因为存在重放保护,所有C2及其子树中的交易都是由攻击者创建的。
从B块状态快照开始,假设在主链上,计算签署过一次及以上交易的公钥所转移代币总量为p;而攻击者创建的链上,只存在攻击者买到的密钥所创建的交易,这些公钥所转移代币总量为q,则q&p永远成立。
如果攻击者创建的链希望获得更高的分数,则从B块状态快照开始计算,C2及其子树中的交易总额必须大于p,所以攻击者还需要取得账户中总额大于(p-q)的密钥。但攻击者这时候就头疼了,因为这些密钥持有人还没有在主链进行任何交易,所以他们的账户在快照状态时还有资金,所以攻击者无法用低于快照状态中的金额来取得这些密钥。
因此,即使攻击者以低价取得了截至B块为止,8成的“至少在主链发起过一笔交易的账户”,攻击者仍至少要付出0.2p的作恶成本。
请注意,要让主链具备抗分叉性,需要积累大量有效交易后这种分叉选择规则才有效,所以该选择规则仅适用于面临长程攻击的分叉选择。该分叉选择规则可以结合经典解决方案,先用拜占庭容错型确定性工具所敲定的区块形成一个区块链的子集,并在这个子链上执行上述分叉选择规则;然后基于上述规则选出的最终区块,再使用其他更合适的分叉选择规则。
结语
上述分叉选择规则为预防长程攻击提供了额外举措;虽然这种规则具有一些有趣的特性,但是在投入实际应用前,还有许多研究要做。举例来说,目前还不清楚该规则是否能够提供经济确定性;一切都需要更多长远的分析。
目前,我们正在积极研究防御长程攻击的方法,并即将发布更多资料,敬请期待。
原文链接:
https://nearprotocol.com/blog/long-range-attacks-and-a-new-fork-choice-rule/
作者:?ALEXANDERSKIDANOV
翻译&校对:?IANLIU?&?阿剑
本文由作者授权EthFans翻译及再出版。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。