以太坊系列 3 | “以太坊合并”时哪些安全问题不容忽视？

以太坊系列 3 | “以太坊合并”时哪些安全问题不容忽视？

腾转网 2023-01-04 12:5180

点击下载

欧易汇

金融投资

欧易交易所，又称欧易OKX，是全球领先的数字资产交易所。 主要为全球用户提供比特币、莱特币、以太坊等数字资产现货及衍生品交易服务。 通过使用区块链技术为全球交易者提供先进的金融服务。 这是一个非常老牌的数字货币交易平台。 平台为我们提供安全、专业的数字货币交易体验，并为新手提供完善的流程指导，让您轻松上手。 同时，还有24小时在线客服为您解答疑惑，为您提供最优质的服务。

1. 深度 | “大合并”后，Web3 的内耗能否根治？

2. 以太坊系列(2) | “突破”合并后，以太坊将面临哪些监管问题和应用层问题？

本章主要介绍以太坊与PoS共识机制融合后可能面临的共识级攻击。

1_小质押者的攻击

短程重组

这是对信标链的攻击。 攻击者通常对其他验证者隐藏部分信息，然后在特定时刻释放，以实现双花或通过预大额交易提取MEV。 这种攻击也可以扩展到多个区块的eth分叉次数，但成功的概率会随着重组时间的增加而降低。

这种攻击本质上是块重组，分为重组前和重组后两种。 其中，预重组是指攻击者在主链创建区块之前替换区块； 后重组是指攻击者删除主链中已验证的区块。 PoS以太坊在eth分叉的时候，如果之后想要重组，必须拥有其2/3以上的股权。 同时，研究表明，即使攻击者拥有65%的以太坊，攻击成功的概率也不到0.05%。

短程重组攻击是通过预重组实现的。 攻击者不需要控制以太坊中大部分质押的ETH，成功的概率随着质押控制比例的增加而增加。

反弹攻击和平衡攻击（和）

平衡攻击（和）攻击是指攻击者采取特定步骤将诚实的验证者集分成不同意区块的离散组。

具体来说，攻击者等待机会提出一个块，当它到来时，他们在同一个时隙中提出两个块。 他们将一个区块发送给一半的诚实验证者***，并将另一个区块发送给另一半。 分叉选择算法将检测到这种冲突情况，并且块生产者将被削减并从网络中弹出。 但是前面提到的两个区块仍然存在，每个分叉将由大约一半的验证者集进行证明。

以削减单个验证者的成本为代价，攻击者成功地将一分为二。 同时，其余的恶意验证者拒绝提供他们的证据。 然后，在执行分叉选择算法时，有选择地向足够多的验证者发布支持一个或另一个分叉的证明，以便他们能够生成具有最多累积证明的分叉。 这可以无限期地持续下去，攻击者在两个分叉上保持验证者的均匀分布。 由于两个分叉都无法吸引 2/3 的绝对多数，信标链最终未能达成共识并出块。

在这种攻击方式中，攻击验证者控制的权益比例越大，在任何给定时期发生攻击的可能性就越大，因为他们更有可能选择验证者在每个时隙中提议区块。 即使你只控制了 1% 的权益，平均每 100 个 epoch 就有机会发起一次平衡攻击，时间不会太长。

一种称为反弹攻击 ( ) 的类似攻击也只需要控制一小部分权益。 在这种情况下，攻击者的验证者将拒绝投票。 在这种方法中，攻击者不是通过投票来维持两个分叉之间的平均分配，而是在适当的时候使用他们的投票来证明分叉 A 和分叉 B 之间的替代检查点是合理的。 两个叉子之间的这种翻转停止了最终性。

雪崩攻击 ( )

2022 年 3 月的一篇论文描述了另一种类型的攻击，称为雪崩攻击 ( )。 本文的作者认为提议者权重提升 (-) 方案无法防止雪崩攻击的某些变体。 然而，那篇论文的作者也只演示了对以太坊分叉选择算法的高度理想化版本的攻击（他们使用了没有 LMD 的 GHOST）。 其中，GHOST分叉选择计算第一个分叉区块和所有对应的后代区块的累计投票数，选择得票最多的分叉作为主链。

假设发起雪崩攻击，前提是攻击者可以控制多个连续区块的提议者。 当提议者提议一个槽时，攻击者扣留并收集他们的块，直到扣留块达到与主链块相等的累积权重。 然后攻击者将释放所有保留的块。 这时，由于主链和子链的权重相同，区块链就会分叉，导致后续区块的顺序混乱。 例如，攻击者扣留了6个区块，第一个诚实区块n同时与第一个恶意区块n竞争，此时系统出现分叉。 然后，攻击者在第一个对抗块之后的 n+1 个位置并联连接所有剩余的 5 个对抗块。

如下图所示，由于GHOST分叉选择算法的特点，敌对区块n及后续所有5个分叉累积的权重等于原链中的6个区块，也就是说第7个区块在系统具有相同的权重。 每个区块都有一定的概率选择在攻击者创建的分叉后连接。 在这种情况下，攻击者可以对剩余的保留块重复此操作，阻止诚实验证者在验证后继续跟随主链，直到攻击者用尽所有保留块。 如果攻击者在攻击过程中有更多的机会出块，就可以利用这些块来扩大攻击规模，这样参与共谋攻击的验证者越多，攻击持续的时间就越长，

图片来自“Two On Proof-of-Stake GHOST/”

虽然 LMD-GHOST 分叉选择算法的 LMD 部分减轻了雪崩攻击，但 LMD 或“最后消息驱动”指的是每个验证器保留的包含从其他验证器收到的最新消息的表。 仅当新消息来自比特定验证器表中已存在的槽更晚的槽时，才会更新此字段。 实际上，这意味着在每个时隙中，收到的第一条消息是它接受的消息，其他消息将被忽略。 换句话说，共识客户端使用来自每个验证器的第一个到达的消息，并且简单地丢弃冲突的消息以防止雪崩攻击。

远程攻击

远程攻击也是权益证明（PoS）共识机制下的一种特定攻击方式，主要包括以下两种情况：

在第一种情况下，攻击者充当参与第一个区块的验证者，在原始区块链旁边维护一个单独的区块链分叉，并最终说服诚实的验证者切换。 但这种攻击在信标链上是不可能的，因为“”确保所有验证者定期就诚实链（“检查点”）的状态达成一致，之后无法重组检查点之后的块。

第二种情况是当一个新节点加入网络时，区块链根据从其最近的节点（称为弱主观性检查点）获得的信息将区块链构建为假块。 这将为加入网络的新节点创建一个“信任网关”，然后它们才能开始自己验证块。 但是，从区块浏览器等客户端收集建立检查点所需的可信区块信息，并不能增加客户端本身的可信度，因此主观性“弱”。 因为根据定义检查点由网络上的所有节点共享，不诚实的检查点是共识失败的状态。

2_大股东的攻击

33%

33% 的抵押 ETH 数量是攻击者的基准，如果超过这个数量，他们有能力阻止信标链完成，而无需对其他验证者的行为进行细粒度控制。 这是因为要最终确定信标链，必须抵押 2/3 的 ETH 来证明成对检查点。

如果 1/3 或更多的抵押 ETH 被恶意证明或未能证明，那么 2/3 的绝对多数将不存在。 对此的防御是信标链的负惩罚（泄漏）机制，这是信标链在 4 个 epoch 后出现故障时触发的紧急安全措施。 负惩罚识别未能证明或证明与多数相反的验证者。 这些未经身份验证的验证者拥有的质押 ETH 逐渐耗尽，直到最终它们只占总数的 1/3 以下，以便重新启动区块链。

50% 和 51%

理论上，由于 50% 的质押 ETH 由恶意验证者控制，他可以将以太坊区块链分成两个大小相等的分叉。 与前面描述的平衡攻击类似，攻击者可以通过为同一个插槽提议两个区块来维护两个分叉，然后简单地使用他们全部 50% 的股份来投票反对诚实的验证者集并阻止最终性。

四个时期后，泄漏减少机制将在两个分叉上激活，因为每个分叉都会看到其一半的验证者无法证明。 每个分叉都会减少另一半验证者的质押股份***，最终两条链都无法达到大多数验证者的 2/3。 此时，唯一的选择就是依靠社区恢复。

当攻击者控制超过 51% 的权益时，他就可以控制分叉选择算法。 在这种情况下以太坊回归pow，攻击者将能够以多数票作证，从而给予他们足够的控制权来执行短期重组，而不会欺骗诚实的客户。 控制 51% 的股份不允许攻击者改变历史，但他们有能力通过对他们有利的多数票或重组区块来影响未来。

诚实的验证者会效仿，因为他们的分叉选择算法也会将攻击者选择的链视为最重的链，从而最终确定攻击链。 这使攻击者能够审查某些交易，执行短程重组，并通过对有利于他们的区块重新排序来提取最大 MEV。 针对这个问题的防御是 majority stake 的巨大成本，这使攻击者面临巨大的风险，因为社会层可能会介入并采用诚实的 minority 分叉，这将绝对减少攻击者的 stake。

66%

控制 66% 或更多抵押 ETH 的攻击者可以在不控制其他诚实验证者的情况下确定他们的首选链。 攻击者可以简单地投票决定他们想要选择哪个分叉，然后就可以完成它。 作为绝对多数质押者，攻击者将始终控制最终区块的内容，拥有消费、回滚和再次消费的权力，也可以随意审查某些交易并重组区块链。 当攻击者真正拥有重组攻击（即改变过去和控制未来）的能力时，实时并最终事后看来。 唯一的防御措施是通过社会各阶层的参与来协调替代叉子的采用。

总的来说，尽管存在这些潜在的攻击向量，但信标链的风险很低，甚至低于工作量证明等效链的风险。 这是因为攻击者需要冒着抵押 ETH 的巨大成本的风险，才能用投票权压倒诚实的验证者。 内置的“胡萝卜加大棒”激励层可防止大多数恶意行为，尤其是对于低风险攻击者。 更微妙的反弹和平衡攻击也不太可能成功，因为真实的网络条件使得难以实现对特定验证器子集的消息传递的细粒度控制，并且客户团队已通过简单的补丁反弹攻击。 已知问题以太坊回归pow，平衡攻击和雪崩攻击问题。

但是 34%、51% 或 66% 的攻击可能需要社区投票才能解决，因此社区的有效治理是对攻击者的强大抑制。 对于攻击者而言，技术上成功的攻击仍然存在被社区阻止的风险，这降低了攻击者获利足以起到有效威慑作用的可能性。 这就是为什么保持一个有效的价值一致的意见社区对投资如此重要。

3_ETH PoW 安全

自成立以来，矿工在以太坊中发挥了重要作用，但以太坊合并将打破这一点。 据估计，GPU 矿工将需要关闭大约 95% 的 GPU 才能在组合的加密生态系统中保持盈利。 但合并后不可能立即关闭这么多GPU，所以矿工可能会尝试在合并后做一个PoW分叉。 事实上，一些矿工确实表达了对分叉的支持。 而如果一些交易所同时也支持分叉，那么分叉的寿命会比预期的要长。

此外，以太坊分叉项目Pow官网已经建立并开始运营：

2022年8月15日，以太坊分叉项目Pow发推文称ETHW Core初始版本已在ETHW Core上发布。 变更，基础手续费变更为矿工与社区共同管理的多重签名钱包； 3、调整了ETHW初始挖矿难度。

2022年8月26日，以太坊分叉项目在推特上发布了ETHW的第一个测试网“”。 随之而来的是区块链浏览器和 RPC 服务器。 我们欢迎社区中所有潜在的合作伙伴（交易所、矿池、钱包提供商、桥梁、建设者等）加入我们，共同构建一个真正的 PoW 驱动的以太坊生态系统。

那么，以太坊合并升级后的硬分叉可能会出现哪些安全问题，下面我们将详细分析。

1、哈希攻击

51% 攻击是对区块链网络的潜在攻击。 当系统中的恶意单个实体或黑客可以控制大部分算力时，即当整个网络超过算力的 51% 时，PoW 算法中的共识由算力决定。 ，这使得攻击者可以利用算力篡改账本，从而对系统造成恶意攻击。 以太坊合并后，无法再通过挖矿获得收益的矿工将关闭矿机，这可能会导致基于 PoW 的 ETH 分叉部分算力损失。 例如，最大的矿池已宣布将停止支持 ETH。 工作量证明挖矿。

图片来自

一旦支持的算力下降，攻击者发起算力攻击的成本就会降低。 然后攻击者可以租用大量的矿池算力，使其超过51%的算力。 这时候使用算力可以更快的出块。 当生成的区块成为系统最长链时，区块交易可以回滚，可以实现数据篡改，造成较大危害，如双花、交易控制任意地址等。下面分别介绍：

双花

双花攻击是指攻击者试图重复使用其账户拥有的相同数字代币。 例如：

假设A拥有51%的算力，当区块高度为1000时，A转1个ETH给B，转账交易由矿工打包。

交易确认后，A凭借51%的算力优势在999块后重新生成一条“更长的链”，并在1000块高重新向C转账ETH，交易记录被删除。 打包，即链上包含从 A 向 C 转移 ETH 的记录。

根据“最长链共识”，包含到C的转账记录的链成为主链，从A转账到B的ETH为“无效支付”。

控制来自任何地址的交易

如果他们拥有51%的算力，攻击者可以任意打包或不打包某个地址的交易，也可以阻止该区块确认任何交易，甚至阻止部分矿工获得有效的记账权，从而达到控制任何地址的交易。 目标。

但是，拥有51%的算力并不是万能的。 比如你不能修改别人的交易记录，你不能阻止交易的发出，你不能凭空产生ETH。

2.重放攻击

在传统的计算机术语中，重放攻击（replay attack），也称为重放攻击或重播攻击，是指攻击者发送目标主机已经收到的数据包来欺骗系统。 在区块链领域，重放攻击通常出现在区块链硬分叉时，指的是“一条链上的交易通常在另一条链上是合法的”。

2016年7月20日晚，以太坊在192万区块进行硬分叉，产生ETH链和ETH链两条链，对应的代币为ETH和ETC。

由于两条链上的地址和私钥相同，交易格式完全相同，所以一条链上的交易在另一条链上是完全合法的。 因此，你在一条链上发起的交易，在另一条链上重播，也可能得到确认。 由于事先没有计划，很多人利用这个漏洞不断在交易所充值提现ETH，以获得额外的ETC。 至此，“重放攻击”在区块链世界被重新定义。

以太坊合并升级，大概率硬分叉，理论上可能存在以上问题。

如何防止重放攻击？ 事实上，以升级为目的的分叉是非常容易的，因为硬分叉升级会使用不同的客户端版本，而交易的前缀通常包含发起交易的客户端的版本信息。 分叉后，为了避免老客户的“非法交易”（不是恶意交易，而是版本号太低，其他节点无法识别），矿工通常会拒绝某个版本号之前的交易，以确保是恶意交易attacker 在硬分叉升级期间很难通过重放攻击来破解资金。

2022年8月23日，以太坊分叉项目正式发文称，ETHW Core发布了第二次代码更新，强制执行EIP-155。 此次更新后，所有交易都必须使用链 ID 进行签名。 这将保护 ETHW 用户免受来自和其他分叉硬币的重放攻击。

下面简单介绍一下EIP-155：

该提案的标题是“简单的重放攻击保护”。 该提案指出：如果被阻止。 >= 并且可用，那么在计算要签名的交易的哈希值时，不是只对前面的六个rlp编码元素（nonce, ,, to, value, data, , 0, 0) 应该是一个散列。 此时签名中的v值不再是recid，而是recid+ *2+ 35。

所以，简单来说，在签署交易时，你需要提供 a() 和 key()。 这是必要的，因为EIP-155修复简单重复攻击漏洞后，旧区块链的签名方式需要保持不变，但需要提供新版本的签名方式。 因此，通过接口实现新旧签名方式，根据区块高度创建不同的签名者。 EIP-155 中实现的新哈希算法的主要目的是获取要签名的交易的哈希值。 相比于老办法，链ID和两个空值混合在哈希计算中。 请注意，此哈希与 .

图片来自《区块链技术与实现》

这样，一个签名的交易只能属于一个唯一确定的区块链。

另外，为保证项目安全，建议项目方在合约中进行离线签名验证时，将Chain ID包含在签名数据中，避免因跨链签名复用造成资产损失。

3.应用层项目

事实上，常规分叉需要算力才能做出选择，而选择的主角是矿工。 如果在这次以太坊升级中同时出现了两条以太坊链，需要做出选择的是整个以太坊。 生态是项目方、用户、投资人。

与 2016 年的硬分叉相比，今天的以太坊与过去相去甚远。 DeFi 项目已经占据了以太坊生态的半壁江山，但 DeFi 项目的基础是链上资产，因此项目方以资产方为主。 去。 所谓资产方，是指USDT、USDC等链上稳定资产。 DeFi 的抵押借贷生态，基本都是以资产端为主。

对于这些稳定资产（这里主要是稳定币）的发行者来说，如果以太坊网络分叉，他们突然面临一个危险的问题：稳定币有两个版本。 作为稳定币发行人，您突然对每个发行的稳定币承担两项债务义务。

虽然大多数人认为稳定币发行者会将新的 PoS 链视为“真正的”以太坊网络，但如果他们想支持 PoW 链怎么办？ 毕竟，他们有足够的经济动力去做这件事。

例如，他们可以做空 PoS 以太坊代币，在 PoW 网络上宣布赎回，然后赚取数十亿美元。 这可能会扰乱新的以太坊网络，导致协议、交易所和相关 DeFi 项目的贷款清算和关闭。 这将造成大规模破坏，并可能大规模破坏加密货币市场。

同样，以太坊分叉项目8月17日发推称，ETHW Core将引入流动性池冻结技术来保护用户资产，即以太坊PoW硬分叉后，尤其是前几个区块，用户将ETHW代币存入流动性池，例如，A***e 将被黑客攻击，科学家使用已弃用或未使用的价值方法 *** 或借出 usdt、USDC、WBTC，这将对整个网络产生负面影响，对社区造成严重破坏。 因此，ETHW Core 暂时冻结某些 LP 合约以保护用户的 ETHW 代币，直到协议的控制者或社区找到更好的方式归还用户的资产。 冻结不适用于仅涉及单一资产的质押合约（例如 ETH2.0 存款合约和 Ether）。

参考：

“PoS和”

《什么是区块链重放攻击》

《区块链技术与实现》

Web3安全态势深度研究报告下载

2022年上半年Web 3安全形势如何？

在成都联安官方微信公众号后台留言***：获取《成都联安2022年上半年Web 3安全态势深度研究报告》PDF下载链接！

点击关注即走~

原文来自微信公众号（成都联安）：以太坊系列有哪些不可忽视的安全问题（三） | “以太坊合并”？