以太坊转POS之后将面临哪些共识层面的攻击

本章重点介绍了以太合并PoS共识后可能面临的共识层面的攻击。

*以下只是安全技术研究，不构成投资建议。本文的部分内容是从jmcook.eth在mirror上发表的网络文章(详细信息可自行查看)中翻译过来的。

今天是《以太坊大合并》系列的最后一篇，前两篇解释了以太坊为什么会升级，以及以太坊将面临哪些监管问题和应用层问题。

本章重点介绍了以太合并PoS共识后可能面临的共识层面的攻击。

1、小誓言者的攻击短距离重构(Short range re-orgs)

一般来说，这是对信标链的攻击，攻击者向其他认证者隐藏一些信息，然后在特定时间点发布，以实现双化，或者通过front-running批量事务提取MEV。这些攻击可能会扩展到多个块，但随着重建长度的增加，成功的可能性会降低。

这种攻击本质上是块重组，块重组分为预重组和后重组。其中，预重构意味着，当块尚未创建时，攻击者将在主链上替换。后重组意味着攻击者从主链中删除经过验证的块。在PoS以太中，要想进行事后重组，必须拥有2/3以上的权益。同时，研究表明，即使攻击者拥有以太65%的权益，攻击成功的概率也不到0.05%。

短距离重组攻击是通过事前重组进行的，攻击者无需在以太网上控制大部分抵押即可完成，成功的机会会随着抵押率的增加而增加。

弹跳攻击和平衡攻击(Bouncing and Balancing)

平衡攻击(Bouncing and Balancing)攻击是指攻击者采取特定手段，将一组诚实的验证者分割成对块有不同意见的离散组。

具体来说，攻击者在等待提交一个块的机会，到达后，在同一个slot中建议两个块。他们将一个区块发送给诚实的验证者集合的一半，另一个区块发送给另一半。分支选择算法检测到这种冲突，块提议者受到惩罚，在网络上弹出。但是上面两个街区仍然存在，大约一半的验证者将证明各自的分支。

在无成本惩罚单个验证者的情况下，攻击者成功地将区块链分成了两个。同时，其余恶意验证者扣留了他们的证据。然后，在执行分叉选择算法时，选择性地将有助于一个或另一个分叉的证明发布给足够的验证者，以便生成累积证明最多的分支。这可以无限持续下去，攻击者在双管齐下保持验证者的平均分布。因为双管齐下都吸引不了2/3的绝大多数人，所以信标链最终无法达成协议，不能结块。

在这种攻击方式中，攻击验证者控制的担保权益比例越高，在指定的epoch期间攻击的可能性就越大。因为验证者很有可能在每个slot中提出块。即使只控制1%的担保权，发起均衡攻击的机会平均每100个epoch期间出现一次，因此不需要等太久。

这是一种类似的攻击方式，叫做弹跳攻击(bouncing attack)，只要控制少数担保权就可以了。在这种情况下，攻击者的证明人将拒绝投票。在这种方式下，攻击者为了保持双管齐下的平均分布，没有公布投票，而是在适当的时候使用他们的投票来证明分叉A和分叉B之间交替的检查点的合理性。两根之间的这种反转可以停止最终确定性。

雪崩攻击(avalanche attacks)

2022年3月的论文你解释了另一件叫雪崩攻击的事吗攻击类型。这篇论文的作者认为，提高提议者权重的方案不能防止雪崩攻击的某些变形。但是论文作者只展示了对以太坊分支选择算法高度理想化版本的攻击(使用没有LMD的ghost)。其中，重影分支选择算法将第一个分支及其所有子块的票数相加，并选择得票率最多的分支作为主链。

假设攻击者以能够控制多个连续块的提议者为前提，开始雪崩攻击。如果提议者对slot提出建议，攻击者将扣留并收集该块，直到扣押块达到与主链块相同的累计权重。然后攻击者释放所有被扣留的块。此时，由于主链和子链的权重相同，因此区块链出现了分支，导致后续的区块顺序混乱。例如，攻击者扣留6个区块，第一个正直的区块N与第一个敌对的区块N同时竞争，此时系统出现了分叉。然后，攻击者将剩下的5个敌对块全部并行连接到第一个敌对块后面的n ^ 1。

如下图所示，由于重影分支选择算法的特性，敌对块N及其后的5个分支和原始链的6个块累积权重相同。也就是说，系统的第七个块有概率连接到攻击者创建的分叉点。在这种情况下，攻击者可以对剩余的扣押块重复此操作，以防止诚实的验证者在确认主链后继续跟进，直到攻击者用完所有保留块为止。如果攻击者在攻击过程中有更多的机会提出区块，则可以使用该区块来扩展攻击。这样，越多的认证者参与共谋攻击，攻击时间就越长，就可以从主链中清除更多诚实的区块。

画取自《Two Attacks On Proof-of-Stake GHOST/Ethereum》

LMD-GHOST分支选择算法的LMD部分减少雪崩攻击。LMD，即“驱动最后一条消息”，是指包含每个认证者从其他认证者收到的最新消息的表单。只有当新邮件来自比特定认证者表中已存在的slot晚的slot时，此字段才会更新。实际上，这意味着每个slot接收的第一条消息是接收的消息，其他消息将被忽略。也就是说，共识客户端使用每个认证者最初到达的消息，碰撞消息会被简单删除，以防止雪崩攻击。

远距离攻击(long range attacks)

远距离攻击也是权益证明(PoS)协议机制下的特定攻击方式，主要包括以下两种情况：

第一种情况是，攻击者作为参与创始区块的验证者，在原区块链旁边保留了单独的区块链分支，最终说服诚实的验证者在很长时间后的某个时间切换。但是，“finality gadget”允许所有认证者定期就诚实链状态(“检查点”)达成协议，因此

第二种情况是，当新节点加入网络后，在最近的节点上，信息(称为弱主观性检查点)将成为类似的创始块，从而构成区块链。这将为连接到网络的新节点创建“信任网关”。然后，可以开始块自我认证。但是，从客户端(如区块浏览器)收集构建检查点所需的可靠区块信息并不能提高客户端本身的可信度，因此主观性是“弱”的。根据定义，检查点在网络的所有节点上共享，因此不诚实的检查点是共识失败的状态。

2、大型质押者攻击33%

担保的ETH数量有33%是攻击者的标准，超过这个数量可以防止信号链最终确定。不需要精细控制其他验证者的工作。因为要想结束信标链，必须有2/3的抵押ETH来证明检查点对(pairs of checkpoints)。

如果超过1/3的抵押ETH不能被恶意证明或证明，那么2/3的绝大多数都不可能存在。对此的防御措施是信标链的负处罚机制，是在信标链4个epoch后失败finalize时触发的紧急安全措施。消极处罚会识别那些没有证明或证明与大多数人相反的验证者。这些未经证明的验证者拥有的抵押ETH最终会逐渐丢失，直到不到总数的1/3为止，区块链可能会再次成为finalize。

是50%和51%

理论上，在恶意验证者控制的抵押ETH比率达到50%的情况下，他可以将泰邦区块链分成大小相同的两条支路。与上述平衡攻击一样，攻击者可以为同一slot提出两个块，然后只使用50%的担保权与一组诚实的验证者进行相反的投票，从而保持两个分支，防止最终确定性。

在4个epoch后，对分叉的惩罚减少机制将被激活。因为每个季度都有一半的验证者无法证明。每一个分叉都会减少验证者集合的另一半抵押权益，最终导致绝大多数验证者验证，这两个链都达不到2/3。在这方面，唯一的选择是依靠社区恢复。

如果攻击者控制的担保权益高于51%，则可以控制分支选择算法。在这种情况下，攻击者可以以多数票作证，使其拥有进行短期重组的充分控制权，而无需欺骗诚实的客户。控制51%的担保权益不允许攻击者改变历史，但可以将多数选票应用于有利的分叉点，也可以重组区块，从而影响未来。

因为诚实的验证者可以最终确定攻击链，因为他们的分叉选择算法也将攻击者选择的链视为最重的链。这使攻击者能够审查特定的交易，进行短距离重组，重新排列有利的块，从而提取最大MEV。对这个问题的防御手段是多数担保权益的巨大成本。这可能会使攻击者面临很大的危险。因为社交界介入，采用诚实的少数派分支，攻击者的担保权益可能会大幅减少。

66%

控制66%以上比例的ETH的攻击者可以决定首选链，而无需控制其他诚实的认证者。攻击者可以对要选择的分叉进行简单的投票，然后最终决定。作为绝大多数担保者，攻击者始终拥有控制最终区块内容、成本、回滚、再支出的权力，可以审查特定交易，任意重组区块链。此时攻击者实际上具有事后重组和最终反转能力(即改变过去和控制未来的能力)。唯一的防御措施是通过社交层介入，协调采用替代分叉。

通常存在这样的潜在攻击向量，但信号链的风险很低，低于工作量证明的等效链。因为攻击者为了用投票权压倒诚实的验证者，必须冒着ETH担保的巨额费用。内置的“胡萝卜棒”激励层可以阻止大多数恶意行为，特别是抵押攻击者。由于实际的网络条件，对特定验证者子集的消息传递很难进行精细控制，客户端团队通过简单的补丁快速修复了已知的反弹攻击、平衡攻击和雪崩攻击问题。

但是，34%、51%或66%的攻击可能需要解决社区的投票，因此社区的有效治理对攻击者来说是一个强有力的抑制因素。对攻击者来说，技术上成功的攻击仍然有被社区阻止的危险，可以降低攻击者的利益可能性，起到有效的威慑作用。这也是为什么维持一个价值观一致的有效社区对投资至关重要。

3.ETH PoW安全自以太坊成立以来，矿工在以太坊中发挥了重要作用，但以太坊的合并将打破这一局面。据Bitpro估计，GPU矿工需要关闭约95%的GPU，才能在合并的加密生态系统中保持收益。但是，这么多GPU不太可能在合并后立即关闭，因此矿工们可以尝试合并后的PoW季度。事实上，目前确实有些矿工明确表示支持ETHPoW分叉。同时，如果部分交易所也支持季度，季度的寿命将比预期的要长。

此外，Ethereum Pow网站目前成立了Ether Eumpow网站，这是以太坊季度项目，已经开始采取行动。

2022年8月15日，《Ethereum Pow》宣布ETHW Core的早期版本在GitHub上发布。主要特点有：1、难度炸弹停用。2、EIP-1559变更，基础费用变成矿工和社区共同管理的多人钱包。3、调整了ETHW的起步挖掘难度。

2022年8月26日，EthereumPoW宣布ETHW第一个测试网“冰山”。其次是区块链浏览器和RPC服务器。戴尔欢迎社区中的所有潜在合作伙伴(交易所、资金池、钱包供应商、桥梁、建设者等)加入构建真正的PoW驱动以太网生态系统。

那么，以太合并升级后出现的硬季度ETHPoW会面临哪些安全问题呢让我进一步分析一下。

1.计算力攻击51%计算力攻击是对区块链网络的潜在攻击。当系统中大多数恶意的单一实体或组织能够控制整个网络的51%时，PoW算法的共识是由算力决定的，因此攻击者可以利用算力操作帐簿，从而使系统受到恶意攻击。以太坊合并后，无法再挖矿获得收益的矿工可以关闭矿机，基于PoW的ETH分叉可能会失去部分算力。例如，目前最大的矿山Ethermine将被公布，停止支持ETH PoW矿山。

图片来自ethermine.org

如果支持ETHPoW的计算力下降，攻击者发起计算力攻击的成本就会降低。攻击者可以租用大量的矿池计算力，计算力可以达到51%以上，此时可以利用计算力的优势更快地生成块，一旦生成的块成为系统中最长的链，就可以回滚块事务，实现数据篡改，例如双花、控制任意地址的交易等。下面分别说明。

双花

双花攻击是攻击者反复尝试使用自己账户拥有的同一数字代币的攻击行为。让我举一个例子。

假设A有51%的计算力，当区块高度为1000时，A将传递给B ETH，这笔转账交易将由矿工进行包装。

交易确认后

根据“最长链协议”，C转移记录中包含的链成为主链，从A传递到B的ETH之一是“无效支付”。

控制任何地址的交易

如果拥有51%的计算力，攻击者可以任意包装或不包装任何地址的交易，也可以不让区块确认任何交易，甚至可以不让一些矿工获得有效的会计权，从而达到控制任何地址交易的目的。

但是拥有51%的计算力也不是万能的。比如不能修改别人的交易记录，不能阻止交易的发行，也不能凭空产生ETH。

2.重放攻击在传统计算机术语中，重放攻击(Replay Attacks)又称为重放攻击、重放攻击，是指攻击者通过发送从大象主机接收的数据包来达到欺骗系统的目的。在区块链领域，再生攻击通常发生在区块链的硬分叉处，这意味着“一条链的交易在另一条链上也往往是合法的”。

2016年7月20日晚上，以太坊在192万个街区的高度出现了硬分叉，产生了两条链，分别称为ETH chain和ETH Classic chain，对应的代币分别为ETH和ETC。

因为两条链的地址和私钥相同，事务格式也相同，所以一条链的事务在另一条链上完全合法。因此，如果将从一条链开始的交易放在另一条链上播放，也可以确认。因为事先没有制定计划，所以很多人利用这个漏洞在交易所继续进行ETH补充工作，确保了额外的ETC。由此，“再生攻击”可以在区块链世界中重新定义。

这次以太的合并升级，大概率的硬季度ETHPoW，理论上也可能存在这样的问题。

对于再生攻击，应该如何预防硬分支升级使用不同的客户端版本，事务前缀通常包含启动事务客户端的版本信息，因此为了升级目的很容易到达分支点。分叉后，矿工为了避免包装旧客户端的“非法交易”(不是恶意交易，而是版本号太低，其他节点不承认)，一般拒绝特定版本号之前的交易。保证恶意攻击者在硬分叉升级时很难通过再生攻击窃取资金。

2022年8月23日

以下是EIP-155的简要说明。

该提案被称为“保护简单的再生攻击”。根据建议，如果block.number=FORK_BLKNUM，并且可以使用CHAIN_ID，则在计算事务的散列以供签名时，不会仅计算前6个RLP编码元素(nonce、gasprice、start)，而是计算9个RLP编码元素(Nonce)。此时，签名的v值不再是recid，而是recid chainID*2 35。

因此，简单地说，在签署交易时，必须提供签名者(Signer)和私钥(PrivateKey)。需要Singer的原因是，EIP-155在修复简单重复攻击漏洞后，必须保持旧区块链的签名方式不变，但必须提供新版本的签名方法。因此，通过界面实现旧签名和新签名，并根据块高度创建不同的签名者。EIP-155中实现的新散列算法主要是为了获取交易签名使用的散列值TxSignHash。与以前的方法相比，散列计算混合了链ID和两个空值。此散列值TxSignHash与EIP155中的事务散列值不相同。

画取自《区块链技术与实现》

这样，签名的交易只能属于唯一确定的区块链。

此外，为确保项目安全，建议项目方在合同中进行离线签名验证时，在签名数据中包括Chain ID，以避免因链间签名重复使用而造成资产损失。

3、应用层项目事实上，一般的分叉要用算术力量来选择，选择的主角是矿工，这次以太坊升级如果真的有两条以太坊链同时出现，那么需要选择的就是以太坊的整个生态，其中是项目端，是用户，是投资者。

今天以太与2016年硬分叉相比，已经和以前不同了。DeFi项目已经占据以太坊生态的一半，但DeFi项目的基础是链条上的资产，所以项目方主要是跟着资产方走。(David Assell，Northern Exposure，USDT)资产方是在USDT，USDC等链条上稳定资产，DeFi的抵押贷款生态基本上是以资产方为基础的。

对于这些稳定资产(这里主要是稳定化)的发行人来说，如果以太网网络分裂，可能会突然出现两个版本的稳定化的危险问题。作为稳定货币的发行人，每当发行稳定货币时，突然有两项债务义务。

大多数人认为稳定发行商会将新的PoS链视为“真正的”以太坊网络，但如果他们想支持PoW链呢毕竟他们有足够的经济动机。

例如，他们可以清空PoS以太坊代币，在PoW网络上宣布回购，然后捞取数十亿美元。这可能会破坏新的以太坊网络，从而导致贷款清算、协议、交易所、相关的IMA DEFI项目等关闭。这可能会造成巨大的混乱，并导致加密货币市场的广泛破坏。

同样，ETHEREUMPOW 8月17日宣布，ETHW Core将采用流动性池冻结技术来保护用户资产。这意味着，Ethwcore在Ethereumpow硬分叉后，特别是在前几个块中，用户保存在流动性池中的ETHW令牌(例如Uniswap、Susiswap、SusiSWAP)因此，ETHW Core暂时冻结了一些冻结不适用于仅包含单一资产的质押合同(如ETH2.0存款合同和Wrapped Ether)。ETHW Core建议每个人在进行硬分叉之前从LP(如DEX和贷款协议)中提取ETH。

参考文献：

《Ethereum PoS Attack and Defense》

https://mirror . XYZ/JM cook . eth/yqhargbvwvnrqqqqqpvpzrqeq 8 iqwnujdipwrp 7 ss 5 fxs

《什么是区块链上的重放攻击》

https://zhuan LAN . zhi Hu . com/p/163121813

《区块链技术与实现》

https://learnblockchain . cn/books/geth/part 3/sign-and-valid . html

共享微信

作者：成都连锁安

资料来源：panewslab

单击下载

European Exchange金融投资European Exchange(也称为Eurokx)是世界领先的数字资产交易所，为全球用户提供比特币、莱特货币、以太网货币等数字资产的现货和衍生品交易服务，并使用区块链技术为全球交易者提供高级金融服务。这是一个非常古老的数字货币交易平台，平台为我们提供安全、专业的数字货币交易经验，为新手提供完整的流程指导，使其易于启动，通过客服24小时在线回复提供最佳服务。

4