硬核：不持有代幣也能對 PoS 網絡發起攻擊？_POS

本文為DecentralizedSystemsLab發表的討論使用最長鏈規則的PoS系統安全性的文章。按照某種劃分方法，PoS系統可以分為鏈式結構型和拜占庭容錯型；文章所闡述的漏洞是鏈式結構型系統中出現的，因此跟Cosmos的Tendermint這樣的拜占庭容錯型PoS共識算法無關；Casper不使用最長鏈規則，而是LatestMessageDrivenGhost，因此也跟這里講的漏洞無關。

這些漏洞已經影響了超過26類PoS型加密貨幣。通過這些漏洞，一個攻擊者只需使用少量權益就能摧毀任何運行相關軟件的網絡節點。

在這次公開披露之前，我們從2018年10月開始有規劃地通知受影響的加密貨幣開發團隊。大部分團隊已經部署了應對措施。

權益證明類加密貨幣，特別是那些基于鏈上PoSv3的加密貨幣，它們與比特幣很相似，都使用未花費的交易輸出模型和最長鏈共識規則。

主要的區別在于前者用代幣的所有權證明替代了工作量證明。

PoS的潛在優點包括能夠降低對環境的影響以及增強對51%攻擊的抵抗性。

加密貨幣投資者忽視CFTC對幣安的起訴:金色財經報道，美國商品期貨交易委員會(CFTC)起訴加密貨幣交易所幣安及其CEO趙長鵬涉嫌違反衍生品規則，這一消息對于數字資產領域的許多資深人士而言，可能已經司空見慣了。這從一些加密貨幣價格的波動中可見一斑，CFTC周一在芝加哥聯邦法院提起訴訟后，代幣價格最初下跌，但很快就穩定下來，甚至在某些情況下縮減了跌幅。許多加密貨幣倡導者認為，美國監管機構的行動只是全球監管機構對該行業的最新打壓。量子經濟學的創始人兼首席執行官Mati Greenspan表示，加密貨幣價格下跌是“對這一消息的一種下意識反應”。他補充說，考慮到代幣價格高于50天平均水平的幅度，這種回調并不那么令人驚訝。[2023/3/28 13:30:09]

很多加密貨幣實際上是比特幣代碼庫的分叉并且加入了PoS的功能。

但是，由于它們盲目復制了比特幣的一些設計理念，留下了安全隱患，因此出現了一些在原先代碼庫中并不存在的新漏洞。

我們將這些漏洞稱為「虛假權益」攻擊。

從本質上講，該攻擊之所以有效是因為PoSv3的程序在簽發珍貴資源之前對網絡數據驗證不足。

QQ音樂叫停數字藏品業務，原團隊部分成員已內部活水:11月16日消息，今日，騰訊TME旗下QQ音樂已經叫停“TME數字藏品”業務，原團隊部分成員已內部活水。TME數字藏品業務于2021年8月初在QQ音樂應用中預熱，是國內首個將NFT定義為“數字藏品”，且以音樂唱片為NFT表現形式的主流平臺，由騰訊云至信鏈提供技術支持。（界面新聞）[2022/11/16 13:11:03]

因此，一個攻擊者只需使用很少的權益份額，就能用虛假數據填滿某個節點的硬盤和內存，致使其崩潰。

我們認為所有基于UTXO和最長鏈原則的權益證明模型都容易受到這類「虛假權益」攻擊的影響。經過調查研究，我們已經發現了一批存在漏洞的加密貨幣，并在文末附上了列表。

接下來，我們將詳細解釋這些漏洞和攻擊手法，因為它們會產生一些不易察覺的后果。

雖然事后看來這些漏洞本身很簡單，但是想要一勞永逸地解決它們還是很困難，而且現有的解決方案可能會導致分叉。

背景

在深入了解這些漏洞的細節之前，我們將簡要介紹一些關于鏈上PoS機制原理的背景知識。

Tether：USDT已上線NEAR:9月12日消息，Tether官方宣布，USDT已上線NEAR。截至目前，USDT已在Algorand、Avalanche、SLP、以太坊、EOS、Kusama、Liquid Network、Omni、Polygon、Tezos、Tron、Solana和Statemine部署。[2022/9/12 13:24:46]

權益證明挖礦

與PoW挖礦類似，PoS挖礦也要將區塊頭的哈希值與難度目標進行比較。

PoS的目標是確保每個權益者挖出下一個區塊的概率與他們質押的代幣量成正比。

為了達成這一目標，鏈式結構型PoS機制的哈希值不僅取決于區塊頭，還取決于權益所有者通過區塊中一筆特殊的「coinstake」交易所質押的代幣數量。

本文會涉及一些關于PoS挖礦的具體細節，更詳細的解釋可以在Earlz的博客中找到。

本文重點從1）coinstake交易和2）coinstake交易所花費的UTXO這兩方面來闡述PoS機制。

BurnBNB：自BEP-95實時銷毀升級以來，已經銷毀超11萬枚BNB:金色財經消息，BurnBNB發推特表示，自BEP-95實時銷毀升級以來，已經銷毀了110,500枚BNB（價值44,871,050美元）。[2022/8/11 12:18:26]

工作量證明在節約區塊驗證資源方面起到的作用

眾所周知，PoW在比特幣共識機制中扮演至關重要的作用，不過它還有一個不那么受重視的作用，就是控制對節點有限資源的訪問，例如磁盤、帶寬、內存和CPU。

在免許可型公鏈網絡中，一個節點是不能信任其它對等節點的。

因此，為了防止資源耗竭型攻擊，比特幣節點要先檢查區塊的工作量證明，再決定是否花費更多硬盤或內存資源存儲這個區塊。

但是，事實表明，檢查權益證明比起驗證工作量證明要復雜的多，對環境也更為敏感。

因此，許多鏈式結構PoS機制在有效驗證上投入的資源嚴重不足。

為了理解資源耗竭型漏洞產生的原因，我們必須詳細說明一下區塊在被驗證之前是如何存儲的。

NFTScan推出Solana NFT瀏覽器:7月11日消息，NFTScan宣布推出Solana NFT瀏覽器，提供Solana上NFT項目的搜索查詢服務，用戶可以查看NFT資產的詳細信息和鏈上數據，也可以查詢任意一個錢包地址中所持有的NFT資產數據和歷史記錄。[2022/7/11 2:05:01]

一個節點不僅要追蹤當前時刻最長的鏈，還要追蹤一整棵分叉鏈樹（因為任何一條分叉鏈都有可能成為最長鏈，在這種情況下，節點需要「重組」才能切換到新的最長鏈上)。

舉例來說，不當升級、雙花攻擊，或者臨時網絡分區都有可能引發這種情況。

驗證這些非主鏈上的區塊是非常困難的。

要完全驗證某個區塊，你需要上一個區塊中未花費的代幣集合。

比特幣保存的是最長鏈頂端區塊時候的UTXO集合，但是不會保存之前區塊時候的UTXO集合狀態。在完全驗證分叉鏈上的區塊主要有兩種方法：

1、將當前視圖「回滾」到分叉起始點之前

2、存儲之前每一區塊時候的UTXO狀態

*校對注：將一條鏈上的所有區塊所包含的交易都處理完之后就會形成一個UTXO的集合，這個集合就是該鏈的最新狀態。因此，哪怕在同一條鏈上，#100區塊時候的狀態與#101區塊時候的狀態也是不同的。上文的意思是，雖然每一個區塊上都有可能形成分叉，但比特幣軟件不會把每一個區塊時候的狀態都專門保存一個副本，而是只保存最新的UTXO集合；若是每一個區塊時候的狀態都要專門保存，這會變成很大一筆存儲開銷。

比特幣的代碼庫不支持第二個方法，即使它支持，這也會增加額外的存儲成本（比特幣的節點性能依賴于大幅裁減不必要的數據)。

比特幣代碼庫目前正是采用第一種方法來處理重組的。

然而，經常回滾的代價也是很昂貴的，因此，回滾和完全驗證不會在一有分叉的時候就發生，而是等到分叉鏈上的工作量證明真的超過當前主鏈的時候才會進行。

因此，當一個對等節點第一次接收到一個非最長鏈上的區塊或區塊頭時，我們將跳過完全驗證并將這個區塊保存在本地存儲區。

在將這個區塊存儲進磁盤之前，比特幣代碼庫會基于PoW機制執行一些初步驗證（不過會忽略區塊內的交易)。

初步驗證僅針對之前的區塊頭以及當前的區塊頭，因此節點驗證起來非常快。而且這是一個非常有效的防御手段，因為生成一個有效的工作量證明來通過這個初步驗證成本很高。

例如，雖然有可能欺騙一個比特幣節點將一個非法區塊存儲在硬盤內，但是以這種方式發起資源耗竭型攻擊是一個非常不經濟的行為。

PoS機制中也存在類似的初步驗證過程，就是對coinstake交易進行驗證，將它與上一個區塊的kernel值一起進行哈希運算，看最后得到的哈希值是否超過難度目標。

計算coinstake交易的哈希值很容易，難的是驗證coinstake交易中輸入的UTXO是否合法并且未被花費；但是要檢查一筆UTXO是否沒有被花費，你就需要該筆交易發生前一個區塊時候的UTXO集合狀態；如我們上文所說，節點往往是沒有專門存儲這樣一個狀態的。

因為完全驗證coinstake交易是非常困難的，大多數鏈上PoS機制提供的是一個經驗式或者近似式的驗證方法作為替代。

事實證明這些替代性的驗證方法通常并不充分并且存在漏洞。

漏洞：「我簡直不敢相信還有非權益持有者可以攻擊的漏洞」

我們第一次研究這個漏洞的時候，發現Qtum、Particl、Navcoin、HTMLcoin和Emercoin這五種密碼學貨幣都存在這個漏洞，即，在將區塊提交至內存或硬盤之前，無法對coinstake交易進行驗證。

這五種加密貨幣的共同之處是它們都采用了比特幣的「區塊頭優先」規則，將區塊分成兩類獨立的信息——區塊體和區塊頭——進行傳播。

只有當節點確認了某個區塊的區塊頭通過了PoW驗證、并且該區塊跟在最長鏈之后，才會請求區塊體的信息。

由于coinstake交易僅存在于區塊體而非區塊頭中，節點無法做到只驗證區塊頭，于是直接將區塊頭存儲在了內部數據結構里。

因此，任何網絡攻擊者，即使不持有任何權益，也可以惡意填滿一個節點的內存。

此種攻擊的還有另一個形式，可以針對相同的代碼庫實施，不過它采用的方式略微不同，而且攻擊目標也從節點的內存資源轉向了硬盤資源。

可以說，針對節點硬盤的攻擊危害更大：如果節點因內存被填滿而崩潰，只需簡單重啟即可恢復。

但是，如果硬盤被填滿了，則需要手動干預才能恢復。

如果接收的不是區塊頭而是區塊體，需要執行初步驗證也會不同。理想情況下，因為coinstake交易就包含在區塊體中，節點軟件應該先對其進行驗證，再將區塊體提交至硬盤。

但是，如上所述，如果這個區塊是在一條分叉鏈上，節點要訪問coinstake交易所花費的UTXO會難得多。也許是出于這個原因，這些代碼庫并沒有驗證coinstake交易。

對于存在上述任意一個漏洞的加密貨幣來說，即使是不持有任何權益的人也能對它們發動攻擊。

針對內存的資源耗竭型攻擊微不足道，從技術的角度來看，我們更需要堤防的是針對硬盤的資源耗竭型攻擊。

Tags：POSOINCOICOINPOSWPlatonCoinkucoin創始人EveryCoin

POL幣最新價格