以太网进入POS后，将面临什么样的协议级别的攻击

日期：2023年04月15日 12:21 浏览量：1

今天是《以太坊的大合并》系列的最后一篇。前两篇讲述了以太坊为什么会升级，以及以太坊面临的监管问题和APP应用层问题。

本节主要针对以太网合并了PoS共识机制之后的情况进行说明、可能面临的共识级别的攻击。

1、小型当铺的攻击

短距离重组[ shortrangere-orgs ] [ xy 002 ] [ xy001 ]这是信标，在某个特定的时间点释放，实现双花，或者在front-running大宗交易中提取MEV。此攻击可以扩展到多个块，但随着重组长度的增加，成功的可能性变小。

这种攻击本质上是块重组，块重组分为预重组(ex ante reorg )和后重组(ex post reorg )两种。其中，预重组是指未创建块时的情况攻击者从主链中替换它的事后重组是指攻击者删除主链中经过验证的块。在PoS以太网上，进行事后重组必须持有2/3以上的权益。此外，即使攻击者拥有以太坊65%的权益攻击成功的概率也不到0.05%。

短程重组攻击通过预重组实现，攻击者无需控制以太体中大多数当铺的ETH即可实现，成功的机会随着控制当铺比例而增加。

反弹攻击和平衡攻击[bouncingandbalancing] [ xy 002 ] [ xy001 ]平衡攻击[ bouncingandbalancing ]攻击是指攻击者采取特定手段将诚实验证者的集合划分为对块持有不同意见的离散组。

具体来说，攻击者等待机会提交一个块，当它到达时，他们向同一个slot提交两个块。他们给诚实的验证者集的一半发送一个区块，将另一块发送到另一半。分支算法检测到这样的冲突，阻塞提议者会受到惩罚并跳出网络。但是，上述两个块仍然存在，约有一半的验证者集证明了各自的分支。

在对单个验证者进行惩罚且不增加成本的情况下，攻击者成功地将区块链分成了两条。同时，剩下的恶意验证者保留了他们的证明。然后当执行分支选择算法时，选择性地向足够的验证者发布有利于一个或另一个分支的证明中选择所需的族。这样可以生成具有最累积证书的分支。这可以无限期地继续，攻击者通过两个分支保持验证者的平均分配。由于两个分支都不能吸引2/3的绝对多数，信标链最终无法达成协议并封杀。

在这种攻击方式下，攻击验证者控制的质押权益比例越大，在任何epoch时间段进行攻击的可能性就越高。为什么这么说呢，因为验证者很有可能选择向各slot提议分隔。即使只控制1%的质押权益，开始平衡攻击的机会也平均每100个世代出现一次，所以不需要等太久。

反弹攻击(bouncing attack )这种类似的攻击方式只是控制一部分质押权益。在这种情况下，攻击者的验证者拒绝投票。在这种方式下，攻击者没有为了维持两个分支之间的平均分配而发表投票而是在适当的时候使用他们的投票来证明在分支a和b之间交替的检查点的合理性。两个分支之间的这种反转可以阻止最终确定性。

雪崩攻击(avalanche attacks )

2022年3月的论文描述了另一种称为雪崩攻击(avalanche attacks )的攻击类型。这篇论文的作者是、提案者的权重提升(proposer-weight boosting )方案无法防止雪崩攻击的一些变化。但是，论文作者也只展示了对以太网分支选择算法高级理想化版本的攻击(他们使用了没有LMD的GHOST ) 这里，GHOST分支选择算法累计最初分支块和与其对应的所有子孙块的得票数选择其中得票数最多的分支作为主链。

假设发动一次雪崩攻击，前提条件是攻击者可以控制多个连续块的提议者。如果提议者对slot提出建议，攻击者会保留并收集块，直到系泊块达到与主链块相等的累积权重。然后，攻击者释放所有被扣留的区块。此时，由于主链和子链具有相同的权重，导致块链产生分支，导致后续块的顺序混乱。例如，攻击者扣留6个街区，第一个诚实块n与第一个敌对块n同时竞争，此时系统出现了分歧。然后攻击者将剩下的5个敌对块全部并行连接在第一个敌对块之后的n 1处。

具体如下图所示中选择所需的族。根据GHOST分支选择算法的特性，此时敌对块n及其后续的五个分支都等于原始链中六个块的累积权重。这意味着系统的第七个块有一定的概率选择连接在攻击者创建的分支之后。在这种情况下攻击者可以对剩下的保留块重复此操作，阻止诚实验证者继续证明主链直到攻击者用完所有保留块。如果攻击者在攻击期间提交阻止的机会增加，则可以使用这些阻止来扩展攻击，越多的验证者参与共谋攻击，攻击的持续时间就越长，可以从主链中去除更诚实的阻塞。

图来源于Shuming hao123 @ QQ.com [ xy 002 ] [ xy 001 ]，LMD-GHOST分支选择算法的LMD部分减轻了雪崩攻击，LMD中选择所需的族。也就是说，“最后一个消息驱动”是每个验证者保存的表单，其中包含从其他验证者接收到的最新消息。仅当新消息来自特定证明者的表中已存在的slot之后的slot时，此字段才会更新。在实践中中选择所需的族。这意味着，在每个slot中，接收的第一条消息是接收的消息，其他消息将被忽略。这意味着一致客户端使用来自每个验证者的第一个到达的消息，不一致的消息很容易被丢弃以防止雪崩攻击。

[

]长距离攻击(

) xy001 )长距离攻击也是一种权益证明(PoS )共识机制下的特定攻击方式，主要包括以下两种情况：

第一种情况是，攻击者作为参与创立区块的验证者，在原区块链旁边维持单独的区块链分支，最终说服诚实的验证者在很久以后的某个时间点切换过去。但是，这种攻击无法通过信标链实现，“finality gadget”将确保所有验证者定期就诚实链的状态“检查点”达成一致，因此以后的检查点块将无法重新组织。

第二种情况是当新节点加入网络时，以从与其最近的节点获取信息(称为弱主观检查点)为伪创始块构建区块链。这将为加入网络的新节点创建受信任网关，并开始验证块。但是而且，即使从块浏览器等客户端收集构建检查点所需的信任块信息，也无法提高客户端自身的可靠性，因此主观上是“弱”的。根据定义，不诚实的检查点处于共识失败的状态，因为网络上的所有节点都共享检查点。

2、大型当铺的攻击[ xy 002 ] [ xy 001 ] 33% [ xy 002 ] [ xy 001 ]当铺的ETH数为33 %是攻击者的一个标准，超过此标准时。这是因为为了最终确定信标链，需要2/3的质押ETH来证明“检查点对”。

1/3以上质押ETH被恶意证明或无法证明的不存在2/3的绝对多数。对此的防御措施是信标链的消极惩罚机制，这是一种紧急安全措施如果finalize在信标链的四个epoch之后仍然失败，则会触发。消极的惩罚表明，未能证明或证明与许多人相反的验证者。这些非证明验证者持有的质押ETH将逐渐丢失，在它们最终占总数的比例不足1/3之前，区块链无法再次进行优化。

50%和51%

理论上，恶意验证者控制的当铺ETH的比例达到50%时，他可以把粗坊区块链分裂成两个大小相等的分支。与上述平衡攻击相同，攻击者可以通过对同一slot提交两个块，使用其全部50%的质押权益和诚实验证者集进行反对投票可以保持两个分支，防止最终确定性。

两个epoch后，两个分支处的惩罚减少机制将被激活。这是因为每个分支都会看到一半的验证者无法证明。各分支削减验证者集中另一半的质押权益，最终导致两条链都无法达到2/3的大多数验证者验证。在这方面，唯一的选择是依靠社区恢复。

攻击者控制的质押权益占51%以上的，可以控制分支选择算法。在这种情况下，攻击者可以通过大量投票作证，他们拥有足够的控制权来进行短期重组，而不会欺骗诚实的客户端。控制51%的质押权益不允许攻击者改变历史但是，他们有能力通过将许多投票应用于有利的分歧或重组区块来影响未来。

诚实的验证者模仿。分支选择算法也将攻击者选择的链视为最重的链，因此该攻击链可以最终确定。这样，攻击者就可以审查特定交易，进行短程重组，通过对有利区块进行排序来提取最大MEV。对此问题的防御手段是许多质押权益的巨大成本，由于社会阶层可能介入，攻击者面临较大风险通过采用诚实少数派的分支，大幅削减攻击者的质押权益。以[ xy 002 ] [ xy001 ] 66 % [ xy 002 ] [ xy001 ] 66 %以上的比例压住ETH的攻击者可以在不控制其他诚实验证者的情况下确定优先链。攻击者可以轻易投票给他们想选择的分支，并最终确定这一点。作为绝对多数的质押，攻击者始终控制最后一块的内容，拥有费用、回滚、再费用的权限，还可以审核部分交易并自由重组区块链此时攻击者实际上具有事后重组和最终逆转的能力(即改变过去控制未来)。唯一的防御措施是通过社交层的介入协调采用替代分歧。

总的来说，尽管有这些潜在的攻击向量但信标链风险低，必须低于工作量证明的等效链。这是因为攻击者为了用投票权压倒诚实的验证者，需要将担保ETH的巨大成本置于风险之中。内置的“胡萝卜强化棒”激励层可以防止很多恶意行为特别是对于低质量的攻击者。更微妙的弹跳攻击和平衡攻击也不太可能成功。因为在实际的网络条件下，很难对特定验证者子集的消息传递进行精细控制然后，客户端团队通过简单的补丁快速修复了已知的弹跳攻击、平衡攻击和雪崩攻击问题。

但是，34%、51%或66%的攻击可能需要社区投票解决所以，社区的有效管理对攻击者来说是强有力的抑制因素。对攻击者来说，技术上成功的攻击仍然有被社区阻止的风险，这足以降低攻击者获利的可能性，发挥有效的威慑作用。这也是维持价值观一致有效的社区对投资非常重要的理由。

3、ETH PoW安全性

以太坊成立以来，矿工在以太坊发挥了重要的作用，以太坊的合并将打破这一局面。据Bitpro称，GPU矿工为了在合并后的加密生态系统中维持利益，需要关闭约95%的GPU。但许多这样的GPU不太可能在合并后立即关闭，因此矿工可能会在合并后尝试PoW分支。事实上目前，确实有一些矿工明确表示了对ETHPoW分支的支持。同时，如果一些交易所也支持分支，分支的寿命将比预期的更长。

还有目前，以太网分支项目Ethereum Pow官方网站已经成立并开始运作。

2022年8月15日，以太网分支项目Ethereum Pow发了推特，ETHW Core的早期版本已经在GitHub上发布，主要特点有： 1、难度炸弹禁用； 2、EIP-1559变更，基础费用变更为矿工和社区共同管理的多签名钱包； 3、调整了ETHW开采难度。

2022年8月26日，以太网分支项目EthereumPoW宣布，发布了ETHW的第一个测试网络“冰山”。随之，块链浏览器和RPC服务器。欢迎社区内所有潜在合作伙伴、交易所、资金池、钱包提供商、桥梁、建设者等参与，构建真正的PoW驱动的以太生态系统。在

中，以太网合并升级后，详细分析一下发生硬分支ETHPoW可能会面临什么安全问题吧。

1、计算力攻击

51%计算力攻击是对块链网络的潜在攻击中选择所需的族。如果系统中的恶意单个实体或组织可以控制大部分，即全网具有51%以上的计算能力，则PoW算法中的共识由计算能力来决定，因此攻击者可以利用计算能力篡改账簿，对系统进行恶意攻击以太坊合并后，无法通过开采获得收益的矿工将关闭矿山机械。结果，基于PoW的ETH分支可能会失去部分计算能力。例如，现在最大的矿山池Ethermine被公布，停止支持ETH PoW开采。

图来源于ethermine.org

，如果支持ETHPoW的计算能力下降，攻击者发起计算能力攻击的成本就会下降。攻击者可以通过租用大量的矿池使计算力达到51%以上在这种情况下，可以利用计算能力的优势更快地生成块，如果生成的块成为系统中最长的链，就可以回滚块交易，实现数据的篡改，造成很大的危害。例如：双花，控制任意地址的交易等。以下分别介绍

双花

双花攻击是指攻击者试图重复使用自己账户中持有的同一数字令牌的攻击行为。举个例子，

假设a有51%的计算力，块高为1000时，a给b一个ETH，这个转账交易由矿工打包。

交易确认后，a根据51%的计算力优势在块高度999之后重新生成“更长的链条”，在块高度1000处再次将ETH传递给c，将交易记录打包。也就是说，链条中包含a将ETH交给c的记录。

根据“最长链协议”，如果包含转入C的记录的链成为主链，则A交给B的ETH之一为“无效支付”。

控制任意地址交易

如果你有51%的计算能力因此，攻击者可以任意打包或不打包某个地址的交易，阻止块确认任意交易，或者阻止一些矿工获得有效的收费权，从而控制任意地址的交易。

但是，拥有51%的计算力也不是万能的例如，无法修改他人的交易记录，无法阻止交易的发行，也无法凭空生成ETH。

2、重放攻击

在传统计算机术语中，重放攻击(Replay Attacks )也称为重放攻击，是攻击者对目标主机的攻击。在区块链领域，重放攻击通常发生在区块链硬叉时，指“一条链上的交易在另一条链上也往往是合法的”。

2016年7月20日晚，以太坊在第192万个街区的高度产生了僵硬的分支产生分别被称为ETH chain和ETH Classic chain的两条链，对应的标记分别为ETH和ETC。

这两条链上的地址和私钥相同，所以交易格式也完全相同因此，在一个链条上的交易在另一个链条上也是完全合法的。所以你在一条链上开始的交易，如果你把它放在另一条链上播放，可能会被确认。由于没有提前做好计划，很多人利用这个漏洞，继续在交易所进行ETH充值操作。获取其他ETC。至此，“重放攻击”在区块链世界被重新定义。

在此次以太网合并升级中，理论上，可能出现的硬叉ETHPoW也存在上述问题。

针对重放攻击应该如何防止？实际上，以升级为目的的叉子很容易达成。硬叉升级使用不同的客户端版本，事务的前缀通常包含启动事务的客户端的版本信息。为了避免打包旧客户端的“非法交易”，分支矿工通常只是版本号太低，不被其他节点承认。 (拒绝某个版本号之前的交易，以保证恶意攻击者在硬分支升级时很难通过重放攻击窃取资金。

但是，2022年8月23日，以太网分支项目的EthereumPoW官方公告称，ETHW Core将发布第二次代码更新，强制执行EIP-155。这次更新后，所有交易都必须使用链ID签名。这样可以保护ETHW用户免受来自ETHPoS和其他分支Token的重放攻击。

此处简单介绍EIP-155。

此建议名称为“简单的重放攻击保护”。建议在block.number=FORK_BLKNUM且CHAIN_ID可用的情况下，在计算并签名事务的散列时，而不仅仅对以前的六个rlp编码元素(nonce、gasprice、startgas、to、value、data )进行散列处理而是，应该对9个rlp编码元素(nonce、gasprice、startgas、to、value、data、chainid、0、0 )执行散列处理。此时，签名的v值将是recid chainID*2 35，而不是recid。因此，简单地说，在交易签名时，需要提供签名器(Signer )和私钥(PrivateKey )。需要Singer是因为EIP-155修复了简单的重复攻击漏洞后，需要维持旧的块链签名方案，但是需要提供新版本的签名方案。因此，在界面上实现新旧签名方式，根据分隔的高度制作不同的签名器。在EIP-155中实现的新散列算法的主要目的是获取用于交易签名的散列值TxSignHash。与旧方式相比，哈希计算中混入了链ID和2个null值。请注意，此散列值TxSignHash在EIP155中不等于事务散列值。

图来源于Shuming hao123 @ QQ.com [ xy 002 ] [ xy 001 ]。这样，被签名的交易可能只属于特定的块链。

此外，为了确保项目的安全，项目方建议在合同中进行离线签名检查时，在签名数据中包含Chain ID，避免链间签名复用导致的资产损失。

3、应用层项目

实际上，常规分支需要通过计算力进行选择，选择的主角是矿工而此次以太网的升级，如果真的同时出现了两条以太网链条，需要选择的是以太网的整体生态，是其中的项目方、用户和投资方。

与2016年硬叉时相比，现在的以太坊无法与以前相比，DeFi项目已占以太生态的半壁江山，而DeFi项目的基础是链条上的资产，所以项目方主要是跟着资产方走。资产方是指USDT、USDC等链上稳定的资产DeFi的抵押贷款生态基本基于资产方。

对于这些稳定资产(这里主要是稳定货币)的发行商来说，如果以太网出现分支，就会突然面临危险问题。出现两种版本的稳定货币。作为稳定货币的发行者，每次发行稳定货币时，突然有两项债务义务。

很多人认为稳定货币发行者会把新的PoS链视为“真正的”以太网，如果他们想支持PoW链的话？因为他们有充分的经济动机。

例如，他们可以卖空PoS以太坊的令牌，在PoW网络上宣布回购，大赚几十亿美元。这破坏了新以太坊的网络，贷款有可能被清算、协议、交易所及相关的金额DeFi项目等被关闭。这可能会导致很大的混乱，大范围破坏加密货币市场。

同样，以太网分支项目EthereumPow 8于8月17日发了推特，ETHW Core引入了流动性池冻结技术来保护用户资产。这意味着以太网PoW硬叉后，尤其是前几个块，用户存储在流动性池中的ETHW令牌、Uniswap、Susiswap、Aave、Compound等，黑客和科学家以放弃的或没有价值的方式交换或出租USDT、USDC、WBTC，给整个网络和社区带来了很大的混乱于是，我决定，ETHW Core为了保护用户的ETHW令牌，暂时冻结了部分LP合同，直到合同的控制器或社区找到更好地返还用户资产的方法。冻结不适用于只涵盖单一资产的质押合同，如ETH2.0存款合同或Wrapped Ether。 ETHW Core建议在硬叉之前从LP (如DEX或贷款协议)中提取ETH。

以太网进入POS后，将面临什么样的协议级别的攻击

推荐阅读