• [ ]
• [ ] ​

Спасибо Ambition 3, Теренс 3, Артем 9, команда исследования протокола Титания для обсуждения и обратной связи

TL;DR

В этом документе классифицируются методы атак на PoS Ethereum и предлагаются контрмеры, в частности, против особенно опасной атаки 51%. Основные моменты заключаются в следующем:

1. Классификация методов атаки: Введены два показателя: скрытность атаки и устойчивость к атакам, чтобы проанализировать известные методы атак.
2. Риски 51% атаки: Он подчеркивает особую опасность, представляемую атаками, где злоумышленник контролирует более 51% доли стейкинга, и объясняет, почему это так.
3. Предложения по новым защитам: Предлагаются два новых механизма для борьбы с высокой вероятностью 51% атаки: обнаружение близкого голосования, которое обнаруживает потенциал для такой атаки, и эмергентная динамическая финализация, которая задерживает финализацию, когда риск повышается.
4. Заботы и будущие вызовы: Он рассматривает возможные проблемы с предлагаемыми механизмами и обсуждает направления будущих исследований.

Цель этого предложения - усилить безопасность PoS Ethereum, в частности, укрепив защиту от опасного 51% атаки.

1. Классификация существующих методов атак

Известно несколько методов атак на PoS Ethereum с потенциальными результатами, на которые злоумышленники могут реально нацелиться, включая реорганизацию, двойное завершение и задержку завершения. Решающим фактором в этом анализе является коэффициент стейкинга, необходимый для атаки, указывающий на минимально необходимую ставку, которая служит барьером для входа. Однако не менее важна устойчивость атаки, которая измеряет, насколько непрерывно злоумышленник может поддерживать атаку. Если атака носит устойчивый характер, она может нанести значительный ущерб. Кроме того, скрытность атаки также важна, поскольку она показывает, насколько скрытно злоумышленник может выполнить атаку. Если протокол не может обнаружить атаку, становится трудно определить, необходимы ли защитные меры. Более высокие значения для обоих показателей указывают на более негативный прогноз с точки зрения протокола. К анализируемым методам репрезентативных атак относятся:

1. Задержка окончательности 33% атака
2. Атака с двойной окончательностью 34%
3. Краткий реорганизация и цензура 51% атака (контроль над будущим)
4. Краткая переорганизация и цензурирование 66% атаки (контроль над прошлым и будущим)

A: Задержка окончательности 33% атака

Задержка финала — это атака, которая может быть выполнена с коэффициентом стейкинга 33%. Злоумышленник препятствует завершению, не предоставляя 33 % аттестаций. Защитной мерой во время этой атаки является механизм утечки бездействия. Этот механизм выявляет валидаторов, которые либо не могут аттестовать, либо аттестуют против большинства, уменьшая ETH в стейкинге таких неактивных валидаторов. Во время атаки 33% активируется утечка бездействия, в результате чего ETH злоумышленника снижается и падает ниже суммы, необходимой для поддержания задержки завершения. Следовательно, устойчивость атаки относительно низкая и временная, что упрощает ее обнаружение из-за утечки бездействия.

B: Атака с двойной окончательностью 34%

Двойная завершенность относится к атаке, в которой злоумышленник отправляет аттестации для завершения двух ветвей одновременно. Для достижения двойной финальности атакующему требуется коэффициент стейкинга 34%. Злоумышленник участвует в двойном голосовании за 34% аттестаций, работая над завершением обоих форков. Защитные меры во время этой атаки включают в себя рубящий механизм. Поскольку двойное голосование запрещено, злоумышленник потеряет свои ETH в стейкинге, что делает атаку легко обнаруживаемой (низкая необнаруживаемость). Кроме того, существенный штраф за рубящий удар означает, что атака, скорее всего, произойдет только один раз; Если бы у злоумышленника был бюджет для атаки несколько раз, он, скорее всего, выбрал бы атаку 66%. Таким образом, устойчивость к атакам для этого метода также очень низкая.

C: Short-reorg & censoring 51% attack (control over future)

Когда злоумышленник имеет долю стейкинга в 51%, он может манипулировать алгоритмом выбора вилки. Атаки A и B были направлены на Casper FFG (устройство окончательности), в то время как эта атака направлена на LMD GHOST (алгоритм выбора вилки). В этом сценарии злоумышленник может свободно создавать самую тяжелую ветвь в LMD GHOST, заставляя честных валидаторов следовать за веткой злоумышленника, что приводит к окончательному решению. Это позволяет злоумышленнику цензурировать конкретные транзакции и осуществлять краткосрочную реорганизацию (reorg) для максимизации их добываемой величины (MEV) без взимания штрафов за срезание.

В атаках A и B существовали механизмы, направленные на снижение потенциала атакующего при возникновении. В атаке A утечка неактивности снижает долю ставки атакующего ниже порога в 33%, делая атаку невозможной. В атаке B треть их доли ставки сокращается в течение этой эпохи, что делает повторные атаки практически невозможными.

Однако на данный момент не существует алгоритмических защитных мер против атаки C. Даже если есть слот с 51-процентным коэффициентом голосования, нет способа различить, является ли это свидетельство злонамеренным или легитимным несогласием среди честных валидаторов. Это означает, что уровень недоступности для атаки значительно высок. Как только атака будет успешной, злоумышленник может продолжать атаку настойчиво, пока не будет принято решение о жесткой вилке через социальный уровень, что приведет к очень высокой устойчивости атаки.

D: Short-reorg & цензурирование 66% атака (контроль над прошлым и будущим)

В атаке короткого переупорядочения и цензуры на 66%, злоумышленник может свободно манипулировать завершением, перезаписывая прошлые цепи и завершая новые ветви. Характеристики атаки D аналогичны атаке C, обе обладают высокой незаметностью и высокой устойчивостью.

Важно отметить, что после проведения атаки 51%, злоумышленник может использовать полученную прибыль для проведения атаки 66%. Потенциальные выгоды от атаки 51% значительно превышают выгоды от атаки 33% и 34%, и поскольку они не несут никаких штрафов, таких как утечка бездействия или сокращение, успешная попытка может в экспоненциальной степени увеличить их доминирование.

Сводка по методам атаки

Следующая таблица содержит сводку характеристик анализируемых представительных методов атаки:

Из этой таблицы можно наблюдать интересную тенденцию: атаки на уровнях 33% и 34% (A и B) легко обнаруживаются и проявляют низкую устойчивость, в то время как атаки на уровне 51% и выше (C и D) сложно обнаружить и имеют высокую устойчивость, что иллюстрирует явное разделение.

2. Потенциальное влияние 51% атаки

Я хотел бы подчеркнуть важность учета худшего сценария в отношении безопасности PoS Ethereum. Проще говоря, есть реальная возможность того, что Ethereum может столкнуться с ситуацией, описанной как 'игра окончена'. Если такой сценарий произойдет, все прошлые действия и данные в бесчисленных экосистемах станут недействительными.

Ссылаясь на ранее приведенную таблицу, атаки A и B имеют низкий уровень как невозможности обнаружения атаки, так и устойчивости атаки. С точки зрения злоумышленника, существует высокая вероятность того, что их действия будут выявлены, и такие атаки обычно короткоживущие.

В отличие от этого, атаки C и D проявляют высокие уровни как скрытности атаки, так и устойчивости. Для злоумышленников эти действия менее вероятно будут обнаружены, что позволяет им поддерживать атаку в течение более длительного периода и потенциально получать огромную прибыль. При рассмотрении, на какую из двух атак, C или D, сосредоточиться, мы должны в первую очередь обратить внимание на коэффициент ставки в качестве барьера для атаки. Хотя обе атаки могут причинить значительный ущерб, атака C, которая требует меньшего абсолютного количества для выполнения, более реалистично нацелена (особенно учитывая ее потенциал привести к атаке D). В свете этих соображений обсуждение будет посвящено защитным мерам против короткой реорганизации и цензурирования атак 51%.

Как упоминалось выше, ключевая проблема с быстрой реорганизацией и цензурой атак 51% заключается в их высоком уровне необнаруживаемости и устойчивости атак, что подразумевает, что потенциальный ущерб может быть значительным.

Давайте поглубже погрузимся в устойчивость атаки. Причина устойчивости этих атак заключается в том, что единственная доступная защитная мера - это хардфорк через социальное согласие, что занимает значительное время (как это было продемонстрировано в случае с DAO, когда открытие взлома и хардфорк заняли месяц). В течение этого интервала блоки и эпохи, завершенные злоумышленником, накапливаются в легитимной цепи. Честные валидаторы рискуют быть наказанными за аттестацию блоков на нелегитимной цепи, которая стала меньшинством, несмотря на то, что она является канонической. Основная проблема заключается в том, что количество необходимых эпох для завершения фиксировано; следовательно, даже в чрезвычайных ситуациях завершение происходит за те же две эпохи (примерно 13 минут), как и в нормальных условиях.

3. Предложения по обнаружению и защите от 51% атак

Мы ожидаем, что в случае атаки 51 % аттестации будут демонстрировать небольшой разброс, например 50,5 % против 49,5 %, и такие близкие соревнования относительно редки во время обычной работы. Мы вводим метрику, показывающую вероятность того, что текущая эпоха будет атакована, на основе количества слотов, в которых головные голоса «близки». Более того, по мере увеличения этой метрики количество эпох, необходимых для завершения, будет расти в геометрической прогрессии. Этот механизм позволяет алгоритмически откладывать доработку во время чрезвычайных ситуаций, позволяя сообществу реагировать на злоумышленников с помощью социальных средств, не требуя хардфорка. Поскольку обычные периоды завершения остаются неизменными, эта реализация может быть легко интегрирована без ущерба для пользовательского опыта. В качестве защиты от атак 51% мы предлагаем механизм детектирования близких голосов для первого и эмерджентную динамическую финализацию для второго.

Обнаружение закрытого голосования

Когда происходит атака 51%, атакующие намеренно выбирают голову, которая кажется канонической, будучи самой тяжелой. Честные валидаторы по-прежнему могут предлагать блоки, но злоумышленники могут легко манипулировать каноническим заголовком с помощью краткосрочных реорганизаций, когда они находят предложенные блоки нежелательными. Чем ближе коэффициент стейкинга злоумышленника к 50%, тем ближе к 50% будет количество аттестаций. Такие аттестации, которые очень близки к 50% головы, будут называться «близкими голосами». В настоящее время решение о том, следует ли завершать эпоху, принимается в последнем слоте этой эпохи, куда мы добавим подсчет близких голосов.

Эмергентная динамическая финализация

Если количество близких голосов превышает определенный порог, система распознает состояние чрезвычайной ситуации и значительно увеличит количество эпох, необходимых для завершения. В результате злоумышленнику потребуется поддерживать существенное большинство голосов в течение более длительного периода, чтобы достичь завершения. В это время у сообщества будет возможность принять контрмеры. В частности, если количество слотов, классифицированных как близкие голоса в текущей эпохе, превысит определенный порог, количество необходимых эпох для завершения будет резко увеличено с обычных двух. Мы называем это режимом чрезвычайной ситуации. Хотя здесь есть много места для обсуждения того, каким должно быть это значение, нацеливаясь на значительное улучшение по сравнению с месячной задержкой в случае инцидента с DAO, можно предположить, что стоит попробовать значение, например,

. Это потребовало бы от злоумышленника продолжения атаки в течение примерно девяти дней (32 768 * 12 секунд ≈ 4 551 168 секунд ≈ 9 дней), что дало бы сообществу достаточно времени для быстрого принятия контрмер. Этот защитный механизм гарантирует, что нормальные сетевые операции не будут затронуты, и активируется только во время чрезвычайных ситуаций, тем самым обеспечивая плавное внедрение без ухудшения пользовательского опыта. Более того, поскольку он функционирует алгоритмически, он может быть выполнен немедленно, не дожидаясь решения человека, что позволяет быстро реагировать.

Формализация

Давайте определим следующие символы, где W, E, Fесть параметры:

• i: Индекс слота текущей эпохи, варьирующийся от 1 до 32
• Ci: Указывает, является ли голосование по индексу слота i близким (1) или нет (0)
• Vi: процент подтверждений на индексе слота i, выраженный в %
• F: Количество эпох, необходимых для завершения

В самой простой начальной форме мы предлагаем следующее:

Здесь определены параметры:

• W: процентное отклонение от 50%, которое считается близким голосованием
• E: Пороговое количество закрытых слотов для голосования для запуска аварийного режима
• D: Количество эпох, необходимое для завершения в режиме чрезвычайной ситуации

Предоставленные формулы определяют два показателя, указывающих на возможность атаки 51%. Во-первых, Ci указывает, считается ли конкретный слот близким голосованием, давая 1, когда |Vi−0.5|

попадает в порог W. Во-вторых, F указывает на количество эпох, необходимых для завершения. Таким образом, если количество слотов для голосования о приближении достигает порога E, требуемое количество эпох увеличивается до D, что позволяет планировать устойчивые атаки и смягчать их потенциальные последствия. Рассмотрим конкретные значения:

Итак, у нас есть:

С этими настройками, если процент аттестации Vi для любого слота находится в пределах ±1% от 50%, этот слот будет учитываться как близкое голосование. Если, например, 4 из 32 слотов являются близкими голосами, общее значение Ci будет равно 4, что требует установки значения F равным 2¹⁵Следовательно, злоумышленнику не удастся завершить цепочку примерно за девять дней, что даст сообществу достаточно времени для быстрого жесткого форка с целью восстановления законной блокчейн-сети Ethereum.

Снижение предполагаемого максимального ущерба

Цель данного предложения заключается в снижении ожидаемого максимального ущерба во время атаки 51%. Оно направлено на смягчение вероятности сценария 'конец игры'. Хотя сложно обсуждать конкретные количественные изменения, возможно установить параметр D, чтобы обеспечить, чтобы длительность не превышала месяц, как в случае с событиями DAO. Важно учесть, что ожидаемое время отклика со стороны социального слоя также следует учитывать в этом аспекте.

Кроме того, различные сервисы, взаимодействующие с Ethereum, такие как другие цепочки и централизованные биржи, могут функционировать на основе этого D. Введение алгоритмических механизмов позволит окружающим экосистемам также реагировать алгоритмически.

4. Вопросы и будущая работа

Опасения по поводу новых механизмов задержки окончательности

Существует опасение, что это предложение может непреднамеренно создать новый механизм отсрочки окончательности. Например, можно случайным образом контролировать 51% доминирования над

Вероятность появления L событий среди 32 слотов можно легко рассчитать с использованием биномиального распределения. Хотя экономическое стимулирование отсрочки окончательности обычно невелико, нельзя исключить потенциальных стимулов, которые могли не быть учтены. Если такие стимулы возникают, их можно было бы решить путем введения системы репутации. Поскольку аттестации включают подписи, попытки выдать себя за других проверяющих требуют значительного времени для выполнения.

Рассмотрение процедуры реализации жесткого форка через социальный уровень

Для определения оптимальных параметров нам необходимо тщательно изучить конкретные процедуры, необходимые для выполнения хардфорка через социальный уровень.

Определение параметров W, E, D и формулы F на основе эмпирических данных

Необходимо эмпирически определить подходящие значения параметров W (определяющий диапазон для закрытых голосов), E (определяющий порог активации аварийного режима) и D (определяющий задержку финализации). Кроме того, D является компонентом формулы F, но мы также можем рассмотреть более динамичный дизайн, где увеличение количества закрытых голосов ∑iCi приведет к большему значению F.

Определение спецификаций удостоверения

Нужно определиться с требованиями к аттестациям.

• Как обращаться с обоснованиями в режиме чрезвычайной ситуации
• Поведение утечек при бездействии в аварийном режиме
• Как конкретно обновить типы данных, представленные через удостоверения.

5. Заключение

В этом предложении мы сосредоточились на особенно опасном атаке 51%, как одном из методов атаки на PoS Ethereum, обсуждая его риски и последствия, предлагая при этом новые стратегии защиты. Конкретно, мы стремились усилить устойчивость к атакам 51%, внедряя механизмы, такие как обнаружение близких голосов и внезапная динамическая финализация.

Будущие исследования должны дополнительно исследовать эффективность предложенных стратегий защиты и их применимость к другим методам атаки. Также необходимо продолжать исследование оптимизации параметров и конкретных методов реализации.

Кроме того, анализ методов атаки против различных алгоритмов консенсуса и формулирование стратегий защиты на основе социальных стимулов являются ценными направлениями для дальнейшего обсуждения. Я с нетерпением жду общения с сообществом Ethereum о ценности этих идей и обсуждения любых вопросов.

Ссылка

• Атака и защита Ethereum proof-of-stake | ethereum.org 1
• История и разветвления Ethereum | ethereum.org
• Понимание атаки DAO
• Завершено разделение цепи | Блог Ethereum Foundation

Отказ от ответственности:

1. Эта статья перепечатана с [gateЭтресеар]. Все права принадлежат оригинальному автору [Titania Research 6]. Если у вас есть возражения к этому повторному изданию, пожалуйста, свяжитесь с Gate Learnкоманда, и они решат это быстро.
2. Ответственность: Мнения и взгляды, выраженные в этой статье, являются исключительно мнениями автора и не являются инвестиционным советом.
3. Команда gate Learn перевела статью на другие языки. Копирование, распространение или плагиатирование переведенных статей запрещено, если не указано иное.