AMA:簡析區塊鏈節點運營的門檻、方法和難點

運行節點要符合加密世界無處不在的精神：去信任，要驗證。

原文標題：《詳解區塊鏈節點：如何有效地運營自己的節點？》

撰文：SupraOracles

區塊鏈節點通過它們的連接、交互組成網絡，該網絡通過共識機制將新區塊添加到鏈上，本文將解釋如何有效地運營自己的區塊鏈節點。

在深入講解如何運行節點之前，我們有必要了解一下什么是區塊鏈節點。通常在計算機網絡中節點可以是計算機或任何涉及在計算機網絡內接收和發送數據的設備，因此在區塊鏈網絡中每個賬本參與者都是一個節點。

基于 P2P（點對點）網絡的原理，公有鏈技術本質上是去中心化跟開源的，在大多數網絡中，公有鏈沒有專用服務器，不是一個授權機構，依賴于用戶之間的共識。節點通常通過共享狀態信息、對其協議的治理進行投票以及驗證傳入交易的新塊來在網絡內進行通信。

Beosin：SEAMAN合約遭受漏洞攻擊簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，2022年11月29日，SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時，都會將SEAMAN代幣兌換為憑證代幣GVC，而SEAMAN代幣和GVC代幣分別處于兩個交易對，導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣，接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣，此時會觸發合約將能使用的SEAMAN代幣兌換為GVC，兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD，接下來在BUSD-GVC交易對中將BUSD兌換為GVC，攻擊者通過多次調用transfer函數觸發_splitlpToken()函數，并且會將GVC分發給lpUser，會消耗BUSD-GVC交易對中GVC的數量，從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD，獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），將持續關注資金走向。[2022/11/29 21:10:04]

來自不同地理位置的多樣化和分散的節點有助于建立一個更強大的共識機制。如果有足夠多的節點維護他們的區塊鏈賬本副本并繼續區塊生產，那么網絡可以無限期地運行下去。

Beosin：sDAO項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin?EagleEye 安全風險監控、預警與阻斷平臺監測顯示，BNB鏈上的sDAO項目遭受漏洞攻擊，Beosin分析發現由于sDAO合約的業務邏輯錯誤導致，getReward函數是根據合約擁有的LP代幣和用戶添加的LP代幣作為參數來計算的，計算的獎勵與用戶添加LP代幣數量正相關，與合約擁有總LP代幣數量負相關，但合約提供了一個withdrawTeam的方法，可以將合約擁有的BNB以及指定代幣全部發送給合約指定地址，該函數任何人都可調用。而本次攻擊者向其中添加了LP代幣之后，調用withdrawTeam函數將LP代幣全部發送給了指定地址，并立刻又向合約轉了一個極小數量的LP代幣，導致攻擊者在隨后調用getReward獲取獎勵的時候，使用的合約擁有總LP代幣數量是一個極小的值，使得獎勵異常放大。最終攻擊者通過該漏洞獲得的獎勵兌換為13662枚BUSD離場。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶，將持續關注資金走向。[2022/11/21 7:53:09]

也正因此，由于每一個用戶對于整個網絡的安全性和完整性都至關重要，成為某個加密項目社區的一員不僅是件令人興奮的事，也是一種責任。

慢霧：GenomesDAO被黑簡析:據慢霧區hacktivist消息，MATIC上@GenomesDAO項目遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

通常來說，節點分兩種主要類型：一種是存儲完整賬本的全節點（full node），這種節點通過驗證數據來保證區塊鏈上數據的安全性和正確性；另一種是輕節點 (lightweight node)，即每個參與的用戶。每一個輕節點都需要連接到一個全節點，以便同步網絡的當前狀態并能夠參與運行。

慢霧：跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息，據慢霧區消息，跨鏈互操作協議Nomad橋遭受黑客攻擊，導致資金被非預期的取出。慢霧安全團隊分析如下：

1. 在Nomad的Replica合約中，用戶可以通過send函數發起跨鏈交易，并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根，其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時，先將可信根設置為0，隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0，這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息，由于未經過prove因此此消息映射返回的根是0，而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效，導致了攻擊者任意構造的消息可以正常執行，從而竊取Nomad橋的資產。

綜上，本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0，且在進行可信根修改時并未將舊根失效，導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

首先，要部署區塊鏈節點，新節點運營商必須要達到硬件和軟件要求門檻，例如兼容的操作系統、足夠的可用磁盤空間、RAM 內存和網速。接著，運營商需根據他們所期望的參與程度下載所需的核心軟件。

慢霧：Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報，Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下：

1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。

2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。

3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。

4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。

針對該事件，慢霧給出以下防范建議：本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格，慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/6/16 4:32:58]

針對所有區塊鏈，你都可以在運行節點上配置所需的設備、內存要求和處理能力。市場上有門檻較低的鏈，但也有其他一些鏈因為網絡設計導致節點運行困難而昂貴。當然，昂貴的節點運行要求運營商的大量財務投入，可以在成本上篩掉一些試圖投機的惡意節點。

例如，比特幣的網絡允許用戶運行全節點或輕節點。對于比特幣全節點來說，必須下載存儲區塊鏈歷史記錄并保存在本地文件中，在撰寫本文時，其硬盤內存需超過 380 GB。

[如圖]區塊鏈節點通過它們的連接、交互和在全節點的情況下共同組成網絡

再拿以太坊舉個例子，根據復雜程度不一，可運行的節點為：全節點、輕節點和存檔節點。

全節點更具獨立性，對自己的數字資產擁有更完整的主權，不像輕節點那樣需要依賴其他節點訪問區塊鏈。全節點可以連接到區塊鏈的主網絡，也可以在測試網或其他安全環境上運行，以測試和開發新軟件。

輕節點對沒有強大硬件或帶寬能力的用戶很友好，因為不需要下載以太坊的完整歷史、錢包余額或智能合約代碼。可以在手機或其他更小、功能更弱的設備上運行，但它們可以通過檢驗區塊頭的狀態根，從而驗證數據的有效性。

[如圖]全節點對網絡負有更大的責任，需要更復雜的硬件和軟件，但他們的努力在金錢方面得到了更直接的回報。

就運營商資源而言，以太坊存檔節點可能是運行難度最高的節點之一。它們需要更多的硬件設備來運行，也需要使用大容量的 RAM 和磁盤空間。即便使用先進的設備，新的以太坊存檔節點同步也需要花費數周時間，如果使用速度較慢的 HDD 硬盤同步存檔節點，則該節點將無法實現完全同步，因為新塊生成的速度將超過這類計算機同步的速度。另外，如果客戶端的節點版本出現任何錯誤，則該節點需要重新同步。無形的時間消耗，增加了整個運營成本。

當然，為了防止節點脫機，運行節點時應該進行定期檢測，可以向兼容節點發送請求或從區塊鏈請求數據。不然的話，如果遇到節點崩潰的情況需要手動重啟設備，這很可能會之前通過驗證或挖掘新塊產生的收入都將丟失。

節點運營商通常會有帶寬限制與硬件性能方面的問題。很多節點運營商會向互聯網提供商獲取無流量限制的服務，值得注意是要警惕網絡被其他不明原因占用的情況。在早期的比特幣網絡中，病簽名曾被上傳到區塊鏈，導致 Windows 用戶的病軟件檢測到病后仍遇到了問題。雖然用戶的設備并沒有受到感染，但他們運營節點的整體性能受到了損害。

為了解決技術以及操作門檻跟效率問題，許多區塊鏈節點運營服務公司（BaaS）應運而生。節點運營商部署必要的資本和資源來連接其基礎設施，并維護其與所需區塊鏈相關的功能。

[如圖]區塊鏈服務提供商托管運行企業和其他實體的節點，為節點運營者提供諸多好處，降低了節點運營者的時間成本或專業知識要求。

根據每個客戶的需求，區塊鏈服務提供商可以達成對已集成公鏈的完全訪問，只要運營者滿足最低要求，包括在所需網絡上的最低投資。服務提供商則會承擔節點操作相關的繁瑣內容，讓客戶可以專注于他們本身的專業領域而不用在操作上耗費精力。

目前市場上比較流行的區塊鏈服務提供商有 Blockdaemon、Infura、GetBlock、Alchemy、QuickNode、Figment 等等。

啟動和維護節點有助于區塊鏈的去中心化。在某些網絡上，運行一個節點可以為運營商提供回報，因為該節點會因驗證新交易和參與產生新區塊的投票過程而獲得報酬。

但同時，區塊鏈節點運營也會消耗大量時間和資源，在投入和產出比上，對礦工或驗證者來說是有利可圖的。全節點的報酬豐厚，因為它們驗證區塊并存儲整個區塊鏈賬本，因此驗證節點可以產生可預期的收入。

盡管運行輕節點不會產生加密回報，但它仍然有助于增強用戶和其他節點之間的信任、安全和隱私。擁有自己的節點意味著您無需信任第三方網絡的狀態或提交給網絡進行驗證的交易的真實性。

為了更好地說明這一點，假設您是一家僅接受實物黃金作為服務付款交易站的所有者，現在您想驗證黃金是否是真實的并且確認具體的數量，您是會將其發送給檢查員網絡，還是安排在內部進行所有驗證？換句話說，運行你自己的節點符合加密世界無處不在的精神：去信任；要驗證。

Tags：區塊鏈USDGVCAMA區塊鏈是騙局嗎btc交易平臺usdtgvc幣多少錢FUTURAMA

瑞波幣