当前位置:首页 > 物联网 > 区块链
[导读] 本文中,我们简要地讨论关于PoS协议里,大家公认最大的一朵乌云——长程攻击( long range attack );内容还涵盖了两种目前现行的或预想的解决办法:弱主观性( weak subje

本文中,我们简要地讨论关于PoS协议里,大家公认最大的一朵乌云——长程攻击( long range attack );内容还涵盖了两种目前现行的或预想的解决办法:弱主观性( weak subjectivity )和前向安全密钥( forward-secure keys )。最后,我们提出了一种新的分叉选择规则,使得长程攻击成本更加高昂;这种分叉选择可以结合现有的几种方案,作为预防长程攻击的额外举措。

长程攻击

在PoW中,使用最长链选择规则可以获得令人非常满意的属性:除非恶意攻击者控制了全网超过 50% 的算力,不然无法逆转已确认一段时间的区块。

但是在 PoS 中没有这种特性。尤其是当区块生产者建完块且拿回质押的代币后,对他们来说,用于创建区块的密钥再也没有价值了;这时候攻击者可以尝试以远低于创建区块时质押的代币金额去购买这些密钥。与 PoW 不同,因为 PoS 没有出块之间强制延时的机制,所以买到密钥后,攻击者能够在数分钟内造出一条长于主链的伪链,并被分叉选择规则所接受。

有两种方法能够避免上述问题:

弱主观性( Weak subjecTIvity )

要求全网节点周期性地检查最新的区块,并拒收那些 “重组了过分久远的记录” 的区块。只要足够频繁地检查区块,使得在释放质押代币的时间段中,肯定包含一次以上的检查,那么节点就永远不会选择攻击者创建的最长链,因为敌手从取出保证金的验证者处购买的私钥,必定只能从 “过于久远” 处开始创建区块(因此节点会拒绝掉这些区块)。

弱主观性方法的不足之处在于,虽然已经存在于网络中的节点不会被攻击者欺骗,但是对于首次加入网络的节点来说,他们没有足够的信息来判断哪条链是先被创建的,因此新节点会倾向选择攻击者创建的较长链。为了避免这种情况,新节点需要以某种方式在链下了解关于主链的知识,这在本质上就是要求他们选择信任网络中的某个主体。

前向安全密钥( Forward-secure keys )

还有一种方法是要求区块创建者在出块后,在极短的时间内或立刻销毁他们用来建块的密钥;可以在每次建块时创建新的密钥对,或是通过 前向安全密钥 结构(该结构允许在公钥保持一致的情况下,改变私钥)来完成。

这个方法仰赖于节点是诚实的,并且严格遵守协议。因为一旦区块创建者知道未来的某个时间点,可能会有人要买他们的密钥,则密钥价值不为零,区块创建者就没有动机去销毁密钥。且不说要求在某个特定时间点,会有大比例的区块创建者愿意修改他们的文件且移除私钥并不现实;这种仰赖大多数参与者 诚实配合 的协议,与仰赖大多数参与者是 理性 的协议,两者间所带来的安全保障并不不同。PoW 就是建立在大多数参与者是理性的且不会进行勾结的前提之上的,其分叉选择规则和抗女巫攻击也都依赖这个假设。

我们提议的分叉选择规则

参考下图:区块 B 在主链上足够前段的位置,所以产生 B 时大多数(或所有)的在位验证者都已经把保证金取出来了。

攻击者能够接触这些区块生产者,并取得其中 ~2/3 的私钥;因为这时候密钥对于区块产生者来说已经没有价值,所以攻击者能以远低于实际建块质押的金额来买到这些密钥。

因为 PoS 系统没有所谓稀缺资源( 译者注:PoW 中算力稀缺),攻击者能够在非常短的时间内创建一条长于主链的伪链。

我们需要一种分叉选择规则,使得用户(包括第一次接入网络的用户)不会将攻击者创建的链视作主链——不论攻击者构建出多长的伪链,以及有多少恶意验证者为其签名背书。

本文建议的分叉选择规则步骤是:从创世区块开始,针对每个区块通过以下规则选择其子块作为下一个合法区块:

1. 当前区块被主链采用后,对状态进行快照。

2. 列出当前时刻,持有代币的所有账户,并做成对照表(公钥 → 持有金额)。

3. 对于每个候选子块,根据对照表,找出子块及其各自子树(子块后面接着的区块)中签署过至少一笔交易的公钥,并验证之。

4. (验证)算出每个候选子块及其各自子树中,签署过至少一笔交易的公钥所转移的代币总量;选择转移代币总量最多的子块作为合法的下一个区块。

从图中的例子来说,当前区块是 B ,候选子块是 C1 和 C2 ;C1 的子树是所有合规主链上的区块, 而 C2 的子树是攻击者创建的。

从 B 块状态快照开始,计算签署过至少一笔交易的公钥所转移的代币总量(包含代币转移和质押代币交易),作为主链(C1 )的得分;攻击者创建的链( C2 )得分计算方式相同,但是因为存在重放保护,所有 C2 及其子树中的交易都是由攻击者创建的。

从 B 块状态快照开始,假设在主链( C1 )上,计算签署过一次及以上交易的公钥所转移代币总量为 p ;而攻击者创建的链( C2 )上,只存在攻击者买到的密钥所创建的交易,这些公钥所转移代币总量为 q ,则 q 《 p 永远成立。

如果攻击者创建的链希望获得更高的分数,则从 B 块状态快照开始计算, C2 及其子树中的交易总额必须大于 p ,所以攻击者还需要取得账户中总额大于 (p - q) 的密钥(而且这些密钥在主链 C1 及其子树中还不能签署过交易)(不然这些额度就计入了 p)。但攻击者这时候就头疼了,因为这些密钥持有人还没有在主链进行任何交易,所以他们的账户在快照状态时还有资金,所以攻击者无法用低于快照状态中的金额来取得这些密钥。

因此,即使攻击者以低价取得了截至 B 块为止,8 成的 “至少在主链发起过一笔交易的账户”,攻击者仍至少要付出 0.2p 的作恶成本。

请注意,要让主链具备抗分叉性,需要积累大量有效交易后这种分叉选择规则才有效,所以该选择规则仅适用于面临长程攻击的分叉选择。该分叉选择规则可以结合经典解决方案,先用拜占庭容错型确定性工具(BFT finality gadget)所敲定的区块形成一个区块链的子集,并在这个子链上执行上述分叉选择规则;然后基于上述规则选出的最终区块,再使用其他更合适的分叉选择规则(如,LMD GHOST)。

结语

上述分叉选择规则为预防长程攻击提供了额外举措;虽然这种规则具有一些有趣的特性,但是在投入实际应用前,还有许多研究要做。举例来说,目前还不清楚该规则是否能够提供经济确定性;一切都需要更多长远的分析。
来源: 以太坊爱好者
 

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭