COIN:硬核：不持有代幣也能對 PoS 網絡發起攻擊？

本文為DecentralizedSystemsLab發表的討論使用最長鏈規則的PoS系統安全性的文章。按照某種劃分方法，PoS系統可以分為鏈式結構型和拜占庭容錯型；文章所闡述的漏洞是鏈式結構型系統中出現的，因此跟Cosmos的Tendermint這樣的拜占庭容錯型PoS共識算法無關；Casper不使用最長鏈規則，而是LatestMessageDrivenGhost，因此也跟這里講的漏洞無關。

這些漏洞已經影響了超過26類PoS型加密貨幣。通過這些漏洞，一個攻擊者只需使用少量權益就能摧毀任何運行相關軟件的網絡節點。

在這次公開披露之前，我們從2018年10月開始有規劃地通知受影響的加密貨幣開發團隊。大部分團隊已經部署了應對措施。

權益證明類加密貨幣，特別是那些基于鏈上PoSv3的加密貨幣，它們與比特幣很相似，都使用未花費的交易輸出模型和最長鏈共識規則。

主要的區別在于前者用代幣的所有權證明替代了工作量證明。

PoS的潛在優點包括能夠降低對環境的影響以及增強對51%攻擊的抵抗性。

美聯儲資產負債表已連續兩周縮表，總計縮減規模近千億美元:4月10日消息，據美聯儲官網最新數據顯示，截至4月4日，美聯儲資產負債表規模為8.632萬億美元，較3月28日的8.706萬億美元減少約740億美元。算上此前一周（3月21日-3月28日）縮表240億美元，美聯儲自硅谷銀行事件后已連續兩周縮表，總計縮減規模約為980億美元。[2023/4/10 13:54:06]

很多加密貨幣實際上是比特幣代碼庫的分叉并且加入了PoS的功能。

但是，由于它們盲目復制了比特幣的一些設計理念，留下了安全隱患，因此出現了一些在原先代碼庫中并不存在的新漏洞。

我們將這些漏洞稱為「虛假權益」攻擊。

從本質上講，該攻擊之所以有效是因為PoSv3的程序在簽發珍貴資源之前對網絡數據驗證不足。

因此，一個攻擊者只需使用很少的權益份額，就能用虛假數據填滿某個節點的硬盤和內存，致使其崩潰。

我們認為所有基于UTXO和最長鏈原則的權益證明模型都容易受到這類「虛假權益」攻擊的影響。經過調查研究，我們已經發現了一批存在漏洞的加密貨幣，并在文末附上了列表。

L1區塊鏈Aptos代幣價格創歷史新高:金色財經報道，Layer 1 區塊鏈 Aptos 的代幣自年初以來一直飆升，周三創下歷史新高。數據顯示，代幣 APT 達到 16.46 美元，自 1 月 1 日以來上漲了 350%。APT 最近以 16.22 美元易手，在過去 24 小時內漲幅超過 25%。該代幣的漲勢超過了市值最大的兩種加密貨幣比特幣和以太幣的近期走勢。比特幣在 2023 年上漲了 30%，而以太幣上漲了 34%。

Aptos 由兩名 Ex-Meta 員工創立，自 10 月啟動主網以來，其 APT 代幣分發受到了一些審查。投資者和 Aptos 基金會收到了發行的 10 億代幣中的近一半。來自 Aptos NFT 市場 Topaz 的數據顯示，Aptomingos 和 Aptos Monkeys 等收藏品在周一吸引了數萬筆交易量。根據Topaz的數據，在過去 24 小時內，Aptomingos 的交易量增長了 250% 。[2023/1/26 11:30:10]

接下來，我們將詳細解釋這些漏洞和攻擊手法，因為它們會產生一些不易察覺的后果。

報告：2022年L2資金流入強勁，ETH計價增長119%:1月11日消息，Binance Research發布的一則報告回顧了2022年的市場。報告顯示，2022年L2資金流入強勁，以ETH計價TVL增長119%，以美元計價TVL下降28%，降幅顯著低于整個DeFi市場的76%。

全年NFT銷售額219億美元，同比增長10.6%。主要歸功于2022年上半年的強勁銷售，下半年相對平靜。“X-to-Earn”背后的炒作逐漸消失，人們對元宇宙的興趣也在減弱。[2023/1/11 11:06:38]

雖然事后看來這些漏洞本身很簡單，但是想要一勞永逸地解決它們還是很困難，而且現有的解決方案可能會導致分叉。

背景

在深入了解這些漏洞的細節之前，我們將簡要介紹一些關于鏈上PoS機制原理的背景知識。

權益證明挖礦

與PoW挖礦類似，PoS挖礦也要將區塊頭的哈希值與難度目標進行比較。

PoS的目標是確保每個權益者挖出下一個區塊的概率與他們質押的代幣量成正比。

colletID完成350萬美元融資，SeventySix Capital等參投:11月10日消息，基于NFT的實體產品身份識別公司colletID宣布已完成350萬美元融資，美國體育行業風投公司 SeventySix Capital、歐洲體育投資公司Hellen』s Rock Capital、以及瑞士和日本加密銀行Sygnum/SBI等參投，該公司于2021年12月進行了種子輪融資，目前仍處于pre-A輪融資階段。

colletID為實體產品開辟了數字維度，通過將小型NFT標簽放入實體產品中，讓每一個產品獲得唯一身份，然后再將這個唯一身份通過智能合約存儲為非同質化代幣，也就是區塊鏈上的NFT，繼而為每個產品創建出一個數字孿生身份。[2022/11/10 12:41:46]

為了達成這一目標，鏈式結構型PoS機制的哈希值不僅取決于區塊頭，還取決于權益所有者通過區塊中一筆特殊的「coinstake」交易所質押的代幣數量。

本文會涉及一些關于PoS挖礦的具體細節，更詳細的解釋可以在Earlz的博客中找到。

本文重點從1）coinstake交易和2）coinstake交易所花費的UTXO這兩方面來闡述PoS機制。

以太坊市值占比為18.0%，以太坊網絡Gas費22gwei:金色財經報道，據CoinGecko數據顯示，當前加密貨幣市值為10357.66億美元，24小時交易量為1060.27億美元，當前比特幣市值占比為38.3%，以太坊市值占比為18.0%，以太坊網絡Gas費22 gwei。[2022/10/27 11:45:57]

工作量證明在節約區塊驗證資源方面起到的作用

眾所周知，PoW在比特幣共識機制中扮演至關重要的作用，不過它還有一個不那么受重視的作用，就是控制對節點有限資源的訪問，例如磁盤、帶寬、內存和CPU。

在免許可型公鏈網絡中，一個節點是不能信任其它對等節點的。

因此，為了防止資源耗竭型攻擊，比特幣節點要先檢查區塊的工作量證明，再決定是否花費更多硬盤或內存資源存儲這個區塊。

但是，事實表明，檢查權益證明比起驗證工作量證明要復雜的多，對環境也更為敏感。

因此，許多鏈式結構PoS機制在有效驗證上投入的資源嚴重不足。

為了理解資源耗竭型漏洞產生的原因，我們必須詳細說明一下區塊在被驗證之前是如何存儲的。

一個節點不僅要追蹤當前時刻最長的鏈，還要追蹤一整棵分叉鏈樹（因為任何一條分叉鏈都有可能成為最長鏈，在這種情況下，節點需要「重組」才能切換到新的最長鏈上)。

舉例來說，不當升級、雙花攻擊，或者臨時網絡分區都有可能引發這種情況。

驗證這些非主鏈上的區塊是非常困難的。

要完全驗證某個區塊，你需要上一個區塊中未花費的代幣集合。

比特幣保存的是最長鏈頂端區塊時候的UTXO集合，但是不會保存之前區塊時候的UTXO集合狀態。在完全驗證分叉鏈上的區塊主要有兩種方法：

1、將當前視圖「回滾」到分叉起始點之前

2、存儲之前每一區塊時候的UTXO狀態

*校對注：將一條鏈上的所有區塊所包含的交易都處理完之后就會形成一個UTXO的集合，這個集合就是該鏈的最新狀態。因此，哪怕在同一條鏈上，#100區塊時候的狀態與#101區塊時候的狀態也是不同的。上文的意思是，雖然每一個區塊上都有可能形成分叉，但比特幣軟件不會把每一個區塊時候的狀態都專門保存一個副本，而是只保存最新的UTXO集合；若是每一個區塊時候的狀態都要專門保存，這會變成很大一筆存儲開銷。

比特幣的代碼庫不支持第二個方法，即使它支持，這也會增加額外的存儲成本（比特幣的節點性能依賴于大幅裁減不必要的數據)。

比特幣代碼庫目前正是采用第一種方法來處理重組的。

然而，經常回滾的代價也是很昂貴的，因此，回滾和完全驗證不會在一有分叉的時候就發生，而是等到分叉鏈上的工作量證明真的超過當前主鏈的時候才會進行。

因此，當一個對等節點第一次接收到一個非最長鏈上的區塊或區塊頭時，我們將跳過完全驗證并將這個區塊保存在本地存儲區。

在將這個區塊存儲進磁盤之前，比特幣代碼庫會基于PoW機制執行一些初步驗證（不過會忽略區塊內的交易)。

初步驗證僅針對之前的區塊頭以及當前的區塊頭，因此節點驗證起來非常快。而且這是一個非常有效的防御手段，因為生成一個有效的工作量證明來通過這個初步驗證成本很高。

例如，雖然有可能欺騙一個比特幣節點將一個非法區塊存儲在硬盤內，但是以這種方式發起資源耗竭型攻擊是一個非常不經濟的行為。

PoS機制中也存在類似的初步驗證過程，就是對coinstake交易進行驗證，將它與上一個區塊的kernel值一起進行哈希運算，看最后得到的哈希值是否超過難度目標。

計算coinstake交易的哈希值很容易，難的是驗證coinstake交易中輸入的UTXO是否合法并且未被花費；但是要檢查一筆UTXO是否沒有被花費，你就需要該筆交易發生前一個區塊時候的UTXO集合狀態；如我們上文所說，節點往往是沒有專門存儲這樣一個狀態的。

因為完全驗證coinstake交易是非常困難的，大多數鏈上PoS機制提供的是一個經驗式或者近似式的驗證方法作為替代。

事實證明這些替代性的驗證方法通常并不充分并且存在漏洞。

漏洞：「我簡直不敢相信還有非權益持有者可以攻擊的漏洞」

我們第一次研究這個漏洞的時候，發現Qtum、Particl、Navcoin、HTMLcoin和Emercoin這五種密碼學貨幣都存在這個漏洞，即，在將區塊提交至內存或硬盤之前，無法對coinstake交易進行驗證。

這五種加密貨幣的共同之處是它們都采用了比特幣的「區塊頭優先」規則，將區塊分成兩類獨立的信息——區塊體和區塊頭——進行傳播。

只有當節點確認了某個區塊的區塊頭通過了PoW驗證、并且該區塊跟在最長鏈之后，才會請求區塊體的信息。

由于coinstake交易僅存在于區塊體而非區塊頭中，節點無法做到只驗證區塊頭，于是直接將區塊頭存儲在了內部數據結構里。

因此，任何網絡攻擊者，即使不持有任何權益，也可以惡意填滿一個節點的內存。

此種攻擊的還有另一個形式，可以針對相同的代碼庫實施，不過它采用的方式略微不同，而且攻擊目標也從節點的內存資源轉向了硬盤資源。

可以說，針對節點硬盤的攻擊危害更大：如果節點因內存被填滿而崩潰，只需簡單重啟即可恢復。

但是，如果硬盤被填滿了，則需要手動干預才能恢復。

如果接收的不是區塊頭而是區塊體，需要執行初步驗證也會不同。理想情況下，因為coinstake交易就包含在區塊體中，節點軟件應該先對其進行驗證，再將區塊體提交至硬盤。

但是，如上所述，如果這個區塊是在一條分叉鏈上，節點要訪問coinstake交易所花費的UTXO會難得多。也許是出于這個原因，這些代碼庫并沒有驗證coinstake交易。

對于存在上述任意一個漏洞的加密貨幣來說，即使是不持有任何權益的人也能對它們發動攻擊。

針對內存的資源耗竭型攻擊微不足道，從技術的角度來看，我們更需要堤防的是針對硬盤的資源耗竭型攻擊。

Tags：POSOINCOIN比特幣POSI價格KuCoin Token國內怎么下載coinbase比特幣鉆石暴跌

比特幣價格