[ ] [ ]
谢谢 Ambition 3, terence 3, Artem 9, Titania 研究协议团队进行讨论和反馈
长话短说本文对针对PoS以太坊的攻击方式进行了分类,并提出了相应的对策,特别是针对极具危险性的51%攻击。主要内容如下:
攻击方式分类:引入了攻击隐蔽性和攻击持续性两个指标,用以分析已知的攻击方式。51%攻击风险:重点分析了攻击者控制超过51%质押比例时所带来的特定危险,并解释了其原因。新防御提案:提出了两种新机制以应对51%攻击的高概率风险:闭环投票检测,用于检测潜在的攻击风险;紧急动态最终确认,在风险升高时延迟最终确认。担忧与未来挑战:讨论了提议机制可能面临的问题,并探讨了未来的研究方向。
该提案的目的是增强PoS以太坊的安全性,特别是加强对危险的51%攻击的防御。
1. 现有攻击方式分类针对PoS以太坊的几种攻击方式已经被知晓,攻击者可能针对的潜在结果包括区块重组、双重最终性和最终性延迟。在此分析中,一个关键因素是攻击所需的质押比例,表明实现攻击所需的最低质押量,这作为一种准入门槛。然而,几乎同样重要的是攻击的可持续性,它衡量攻击者能够持续维持攻击的能力。如果攻击具备可持续性,可能会造成严重损害。此外,攻击的隐蔽性也非常重要,它表示攻击者可以多隐蔽地执行攻击。如果协议无法检测到攻击,则很难判断是否需要采取防御措施。两个指标的值越高,协议的前景越不乐观。分析的代表性攻击方式包括:
最终性延迟33%攻击双重最终性34%攻击短区块重组与审查51%攻击(控制未来)短区块重组与审查66%攻击(控制过去与未来)
A:最终性延迟33%攻击最终性延迟攻击是一种可以通过33%的质押比例执行的攻击。攻击者通过未能提供33%的见证来阻止最终确认。在这种攻击中的防御措施是非活动泄漏机制。该机制识别出未能见证或反对多数见证的验证者,减少这些非活动验证者的质押ETH。在33%攻击期间,非活动泄漏机制被激活,导致攻击者的ETH减少,低于维持最终性延迟所需的数量。因此,攻击的可持续性较低且暂时,且由于非活动泄漏机制的存在,攻击更容易被检测到。
B:双重最终性34%攻击双重最终性攻击指的是攻击者提交见证以同时最终确认两个分支。为了实现双重最终性,攻击者需要34%的质押比例。攻击者对34%的见证进行双重投票,试图最终确认两个分叉。在这种攻击中的防御措施包括罚没机制。由于双重投票是被禁止的,攻击者将失去其质押的ETH,使得攻击容易被检测到(低隐蔽性)。此外,巨大的罚没惩罚意味着攻击可能只会发生一次;如果攻击者有足够的预算进行多次攻击,他们可能会选择66%的攻击方式。因此,这种攻击方式的可持续性也非常低。
C:短区块重组与审查51%攻击(控制未来)当攻击者拥有51%的质押比例时,他们可以操控分叉选择算法。攻击A和B针对的是Casper FFG(最终性机制),而此攻击则针对LMD GHOST(分叉选择算法)。在这种情况下,攻击者可以自由地创建LMD GHOST中最重的分支,导致诚实的验证者跟随攻击者的分支,从而实现最终确认。这使得攻击者能够审查特定交易,并进行短期区块重组(reorg),以最大化他们的矿工可提取价值(MEV),且无需承担罚没惩罚。在攻击A和B中,存在机制可以在攻击发生时降低攻击者的潜力。在攻击A中,非活动泄漏机制使攻击者的质押比例降至33%以下,从而使攻击不可能发生。在攻击B中,攻击者的三分之一质押比例会在该时期被罚没,这使得重复攻击几乎不可能。然而,目前对攻击C并没有算法上的防御措施。即使在某个时隙中出现51%的投票比例,也无法区分该见证是恶意的,还是诚实验证者之间的合法分歧。这意味着攻击的隐蔽性非常高。一旦攻击成功,攻击者可以持续进行攻击,直到通过社交层做出硬分叉决策,从而导致攻击的可持续性非常高。
D:短区块重组与审查66%攻击(控制过去与未来)在短区块重组与审查66%攻击中,攻击者可以自由操控最终性,重写过去的区块链并最终确认新的分支。攻击D的特点与攻击C相似,均表现出高度的隐蔽性和可持续性。 \需要特别强调的一点是,在执行51%攻击后,攻击者可以利用所得利润,进一步进行66%攻击。与33%和34%攻击相比,51%攻击的潜在收益要高得多,并且由于不会遭受诸如非活动泄漏或罚没的惩罚,成功的攻击尝试可能会成倍增加其控制力。
攻击方法总结下表总结了所分析的代表性攻击方式的特点:
攻击方式 质押比例 攻击隐身性 攻击可持续性 A. 最终性延迟攻击 33% 低 低 B. 双重最终性攻击 34% 低 低 C. 短区块重组与审查攻击(控制未来) 51% 高 高 D. 短区块重组与审查攻击(控制过去与未来) 66% 高 高
从这张表格中,可以观察到一个有趣的趋势:33%和34%级别的攻击(A和B)容易被检测到,并且可持续性较低,而51%及以上的攻击(C和D)则难以检测,且具有较高的可持续性,显示出明显的两极分化。
2. 51%攻击的潜在影响我想强调的是,在考虑PoS以太坊的安全性时,必须重视最坏情况的可能性。简单来说,以太坊可能面临一种被描述为“游戏结束”的情况。如果这种情况发生,所有过去的活动和数据将被清除,且无效。根据前面的表格,攻击A和B的攻击隐蔽性和可持续性都较低。从攻击者的角度来看,他们的行为很有可能会被暴露,这些攻击往往是短暂的。相比之下,攻击C和D具有较高的攻击隐蔽性和可持续性。对于攻击者来说,这些攻击不易被发现,使他们能够在更长时间内维持攻击,并可能获得巨大的利润。在考虑攻击C或D时,首先需要关注质押比例作为攻击的门槛。尽管这两种攻击都可能造成严重损害,但攻击C由于所需的质押比例较低,更容易成为攻击目标(特别是考虑到它可能导致攻击D)。基于这些考虑,本文将探讨针对短区块重组与审查51%攻击的防御措施。如上所述,短区块重组与审查51%攻击的关键问题在于其高度的攻击隐蔽性和可持续性,这意味着潜在的损害可能是巨大的。让我们深入探讨攻击的可持续性。这些攻击之所以可持续,是因为唯一可用的防御措施是通过社交共识进行硬分叉,而这需要相当长的时间(正如DAO事件所示,从发现黑客攻击到硬分叉的过程花了一个月的时间)。在此期间,攻击者最终确认的区块和时期将在合法链上积累。诚实的验证者面临因见证属于非法链的区块而被罚没的风险,即使这些区块已经成为少数链,但仍被视为规范链。关键问题在于,最终确认所需的时期数是固定的,因此即使在紧急情况下,最终确认也会在与正常情况下相同的两个时期(大约13分钟)内发生。
3. 检测和防御51%攻击的提案在发生51%攻击时,我们预计见证的结果会呈现出微弱的差距,例如50.5%对49.5%,而这种接近的竞赛在正常操作中相对较少见。我们引入了一种度量标准,用于表示当前时期被攻击的可能性,该度量基于头部投票接近的槽位数量。此外,随着该度量标准的增加,最终确认所需的时期数将呈指数增长。该机制允许在紧急情况下算法性地推迟最终确认,使社区能够通过社交手段应对攻击者,而无需进行硬分叉。由于正常的最终确认周期将保持不变,因此这一实现可以无缝集成,不会影响用户体验。我们提出了闭环投票检测机制用于前者,紧急动态最终确认机制用于后者,作为防御51%攻击的措施。
闭环投票检测当发生51%攻击时,攻击者会故意选择一个看似规范的头部,即最重的头部。诚实的验证者仍然可以提议区块,但攻击者可以通过短期重组轻松地操控规范头部,任何当他们发现提议的区块不合适时。攻击者的质押比例越接近50%,见证的数量就越接近50%。这些接近头部50%的见证将被称为“接近投票”。目前,是否最终确认一个时期的决定是在该时期的最后一个槽位进行的,我们将在此过程中加入对接近投票的计数。
紧急动态最终确认如果接近投票的发生超过某个阈值,系统将识别为紧急状态,并显著增加最终确认所需的时期数。结果,攻击者将需要在更长时间内维持大量的投票才能实现最终确认。在此期间,社区将有机会实施反制措施。具体而言,如果当前时期中被归类为接近投票的槽位数量超过某个阈值,最终确认所需的时期数将从标准的两个时期大幅提高。我们称之为紧急模式。尽管关于该值的设定仍有很多争议,但考虑到DAO事件中一个月的延迟,可能会考虑设定一个类似的值。
这将要求攻击者持续进行攻击约九天(32,768 * 12秒 ≈ 4,551,168秒 ≈ 9天),为社区提供充足的时间来快速实施反制措施。该防御机制确保正常的网络操作不受影响,并且仅在紧急情况下激活,从而允许平稳实施而不影响用户体验。此外,由于它是算法性执行的,能够立即启动,无需等待人工判断,从而实现快速响应。
形式化让我们定义以下符号,其中 W、E、F 是参数:
i:当前时期的槽位索引,范围从1到32Ci:指示槽位索引i的投票是否接近(1为接近,0为不接近)Vi:槽位索引i的见证比例,以百分比表示 F:最终确认所需的时期数
在最简单的初始形式中,我们提出以下建议:
以下是定义的参数:
W: 使投票接近的偏离 50% 的百分比点E: 触发紧急模式的接近投票插槽的阈值D: 在紧急模式下完成最终确定所需的周期数
这些公式定义了两个指标,用于评估发生 51% 攻击的可能性。首先,Ci 指示某个特定插槽是否被视为接近投票,当 ∣Vi−0.5∣|Vi−0.5|∣Vi−0.5∣ 落在阈值 W 内时,其值为 1。其次,F 表示完成最终确定所需的周期数。因此,如果接近投票插槽的数量达到阈值 E,所需的周期数将增加到 D,以应对持续的攻击并减轻其潜在影响。让我们考虑一些具体数值:
因此,我们有:
在这些设置下,如果任何插槽的证明比例 Vi 在 50% 的 ±1% 范围内,则该插槽将被视为接近投票。例如,如果 32 个插槽中有 4 个是接近投票,那么 Ci 的总和将为 4,此时 F 将被设置为 215。因此,攻击者将在大约九天内无法完成链的最终确定,这为社区提供了足够的时间实施快速硬分叉,以恢复合法的以太坊区块链。
减少估计的最大损害该提案的目标是减少 51% 攻击期间的最大预估损害,旨在减轻“游戏结束”场景的发生可能性。尽管很难讨论具体的定量变化,但可以通过设置参数 D 来确保持续时间不会像 DAO 事件那样延长至一个月。需要考虑的是,预期的社会层响应时间也应纳入这一方面的考虑。此外,许多与以太坊交互的服务,如其他链和中心化交易所,可以根据 D 参数来操作。通过引入算法机制,周边生态系统也能以算法方式做出响应。
4. 关注点和未来工作关于新的最终确定延迟机制的担忧有一个担忧是,这项提案可能无意中创建了一个新的最终确定延迟机制。例如,有可能通过在 32 个插槽中的 L 次出现中随机控制 51% 的主导地位,这可以通过使用二项分布轻松计算出来。
虽然延迟最终确定的经济激励通常较低,但我们不能排除可能存在尚未考虑的潜在激励。如果出现此类激励,可以通过引入声誉系统来加以应对。由于证明涉及签名,伪装成其他验证者的尝试将需要大量时间来执行。
审查通过社交层实施硬分叉的过程为了确定最优参数,我们需要仔细审查通过社交层执行硬分叉所需的具体程序。
通过实证证据确定参数 W、E、D 和公式 F有必要通过实证方法确定参数 W(定义接近投票的范围)、E(定义紧急模式激活的阈值)和 D(定义延迟最终确定的程度)的合适值。此外,D 是公式 F 的组成部分,但我们也可以考虑一种更动态的设计,其中接近投票数量的增加(即 ∑iCi)会导致 F 值的增加。
确定证明的具体规范我们需要确定证明的具体规范,包括以下内容:
如何在紧急模式下处理证明理由紧急模式下的不活跃泄漏行为如何具体更新通过证明提交的数据类型
5. 结论在本提案中,我们重点讨论了作为 PoS 以太坊攻击方式之一的特别危险的 51% 攻击,分析了其风险和影响,并提出了新的防御策略。具体来说,我们旨在通过引入如接近投票检测和动态最终确定等机制,提高对 51% 攻击的抵御能力。未来的研究应进一步探讨所提防御策略的有效性及其对其他攻击方式的适用性。同时,还需要继续研究参数优化和具体的实现方法。此外,分析不同共识算法的攻击方式,并根据社会激励制定防御策略,是值得进一步讨论的重要方向。我期待与以太坊社区共同探讨这些思想的价值,并解答任何疑问。
参考
以太坊权益证明攻击与防御 |以太坊.org 1以太坊的历史和分叉 |以太坊网站了解 DAO 攻击硬分叉完成 |以太坊基金会博客
免责声明:
本文转载自[Ethresear]。所有版权归原作者所有【Titania Research 6]。若对本次转载有异议,请联系 Gate Learn 团队,他们会及时处理。免责声明:本文表达的观点和意见仅代表作者个人观点,不构成投资建议。Gate Learn 团队将该文章翻译成其他语言。除非另有说明,否则禁止复制、分发或抄袭翻译文章。