火星链 火星链
Ctrl+D收藏火星链

ROLL:以太坊使用Rollup技术的安全风险在哪里?

作者:

时间:1900/1/1 0:00:00

通过破坏Infrua,基本上可以破坏所有Rollup。文|Qingzhou以太坊已经确认了以Rollup为中心的2.0路线图,这让Rollup成为了炙手可热的技术,也可以说已经成为了layer2扩容的主流技术。如果与零知识证明证明搭配起来,Rollup会是layer2技术里解决方案的集大成者。但正所谓“没有绝对安全的系统”,Rollup同样存在一定安全隐患,以太坊研究者论坛的开发者已经在讨论此事。1月20日,以太坊开发者「jchancehud」发布了关于虚拟Rollup攻击的讨论。以下为关于虚拟Rollup攻击的讨论。经白计划团队整理,有所修改和批注。Rollup的安全风险原因

模拟Rollup攻击的基本原理是:只要虚拟状态有效,任何以太坊节点都可以向OptimisticRollup协调员撒谎。而协调员只有在尝试发送交易或切换以太坊供应商时才会发现这一点。OptimisticRollup是通过在以太坊网络上使用calldata存储块信息来进行。这各过程允许任何人操作以太坊节点并下载Rollup状态。但实际上,有些人不会操作他们自己的以太坊节点,而是依靠托管解决方案。需要验证有效性如果要快速低成本地构建有效的Rollup链,需要做的是进行交易、构建状态并将其存储在以太坊网络以外的其他位置。当Rollup协调员从以太坊节点接收状态历史记录时,协调员可以通过重播状态交易来确定数据是否有效。然而,协调员不能确定链上是否存在该状态,最好的办法是询问以太坊节点。如果出现人为攻击如果想象一个名为Untrust的以太坊节点服务。Untrust为以太坊dapp提供了低成本的基础架构。如果他们选择不信任,则可以查看特定的Rollup并创建虚构的历史记录。他们甚至可以通过从某些真实交易中提取通信数据并将其与虚拟交易混合来创建半虚拟历史。这样,他们将创建一个完全不同的当前状态哈希,但只有在使用Untrust的Rollup运算符去提交一个块的情况下,这才会被发现。这种类型的攻击并不是特别强大。攻击者无法伪造签名,不能直接窃取资金,但可以在Rollup中撒谎自己的活动。想象一下,Untrust变得更加复杂。他们决定攻击名为MoneyMover的Rollup。当收到对MoneyMover地址的请求时,它们会从运行完全独立的以太坊网络的节点返回信息。在这个独立的以太坊网络中,Untrust镜像了大多数交易,并在需要时注入自己的交易。现在说Untrust找到一个使用MoneyMoverRollup付款的网站。该网站运行自己的MoneyMover协调员,该协调员连接Untrust以访问以太坊网络。Untrust可能会在其镜像网络中创建虚构的交易,MoneyMover协调员将其解释为有效。由于MoneyMover协调员未与任何对等方连接,因此确定链上存在的唯一方法是询问以太坊节点。Untrust在其镜像网络上进行了一次虚构的交易,该网站运营的MoneyMover协调员将其检测为有效付款。Untrust现在无需付费即可访问该网站。网站只会在他们提交交易或切换到其他以太坊供应商时才发现这种虚构的付款。实际可能出现的风险

以太坊未确认交易为198650笔:金色财经消息,据OKLink数据显示,以太坊未确认交易198650笔,当前全网算力为636.12TH/s,全网难度为8.49P,当前持币地址为62,174,082个,同比增加103109个,24h链上交易量为1,126,429ETH,当前平均出块时间为13s。[2021/9/6 23:02:28]

以上的攻击是仅当协调员未运行其自己的以太坊节点时,此攻击才有意义。有一些情况是有问题的:1.协调员数据的下游使用者无法知道他们接收的数据是否存在,他们不能信任协调员正在使用的eth节点,因为使用者没有自己运行该节点。2.欺诈证明者尤其容易受到这种攻击,因为它们仅在检测到欺诈行为时才会提交交易。恶意的eth节点可能会从区块链数据中剥离无效交易,并仅返回不同的状态哈希。欺诈证明者将无法得知状态哈希是虚构的,并且永远不会提交欺诈声明。3.eth节点操作员向Rollup协调员说谎,以诱使他们要么提交无效的状态交易,要么提交无效的欺诈声明。一旦发生这种情况,恶意的eth节点运营商就可以充当有效的交易对手并收集抵押的资金。解决方案1在工作量证明链的背景下,协调员可以请求块数据并检查其是否足够困难。检查当前难度的至少一半应该可以使大多数攻击因为财务问题无法实现。在权益证明链中,这个过程变得不可行,因为恶意的eth节点可能会从未投票的地址提供签名。他们可以通过在查询时质押抵押金额来做到这一点。解决方案2一个不太优雅的解决方案是:对信誉良好的节点不断签名,并发布已存在于链上的Rollup状态哈希的列表。该列表可以在IPFS之类的服务上发布。协调员节点可以包括一个已知的信誉良好的公共密钥的预设列表。如果出现以下情况,协调员会知道Rollup数据是真实的:1.所有状态交易均有效。2.所有状态散列均由信誉良好的来源进行签名。这将确保Rollup数据有效且非虚构,并且将允许Rollup节点使用任何以太坊节点来同步数据。以上是「jchancehud」讨论的Rollup安全攻击的可能性。主要是因为Rollup是链下状态,容易在很多状态里出现信息同步不及时的情况,据「jchancehud」表示的,需要验证链下状态是否有效的一方需要同步其他以太坊全节点的数据才可以确认最终安全性,这意味着很多平台需要运行一个以太坊节点。对于上文举出的虚拟攻击方式,以太坊的layer2解决方案团队SKALELabs首席技术官「KonstantinKladko」表示,“这真的很有趣!我认为这表明,通过破坏Infrua,可以基本上破坏所有Rollup。”当然,这是代表着那些通过Infura来与以太坊通讯的产品,Infura承担着很大的以太坊节点服务规模,此前也有关于Infura是否会是以太坊网络最大单点漏洞的讨论。而对于这个单点安全风险,主要是以多节点负载均衡的方式处理,尽力规避。而对于「jchancehud」的讨论,最有趣的是开发者「adlerjohn」提出,这种虚拟的“攻击”似乎不仅适用于optimisticRollup,而且还适用于zkRollup,实际上也适用于任何智能合约。这一推论很可能是基于“只要存在信息不对称危险”的协作过程,就会面临「jchancehud」所说的攻击风险。所以「adlerjohn」提出,在比特币的白皮书第8节,有如何验证信息对错的方式,即验证者确定最长链,信任最长链,这个方式描述了一种众所周知的方案,这个该方案可用于防止Sybil节点提供虚假信息,这样可以不要求大多数计算是诚实的。

1confirmation创始人:如果没有以太坊 比特币就不会有现在的市值:金色财经报道,加密货币风险投资公司1confirmation创始人Nick Tomaino表示,如果没有以太坊,比特币就不会有现在的市值,因为所有像DeFi和NFT这样的创新,所有把新人带到这个领域的创新,都是以太坊。[2021/6/4 23:09:50]

比特币白皮书的第8节此外,「adlerjohn」提出,Rollup的状态根可以作为事件发出,甚至可以存储在以太坊状态中,也可以进行伪造交易的查询。

比特币白皮书的第7节另外,「adlerjohn」还提到了关于optimisticRollup方案中,还可以包含名为“最小可行合并共识”的设计,该设计可以通过发布有序数据来实现数据可用性,可以让多个侧链、分片使用。白计划注:最小可行合并共识的解读在如下链接https://ethresear.ch/t/minimal-viable-merged-consensus/5617但可以预见的是,使用「adlerjohn」提出的方式,是存在较大的设计难度的。在讨论的最后,「jchancehud」回复「adlerjohn」表示,不能确定这种攻击预测是否适用于ZKRollup。但因为ZK证明更难生成,至少会更加困难。如果Rollup被广泛采用,那么这样考虑Rollup尤其重要。Rollup协调员可以在使用节点之前验证节点中的所有区块头,这是另一种潜在的解决方案,尽管时间和带宽昂贵。但用户最好运行自己知道可以信任的eth轻节点。如果已经解决验证问题,运行轻节点还可以查询事件。讨论在最后,我们会发现为了实现安全性、可扩展性、效率,这些方案按工程化的思路是可以尝试的,但实施过程一定是困难的,因为不同开发者的讨论思路最后还要合成代码,以及包含网络结构、客户端、语言、操作界面等多个挑战。时间戳向前,区块不停,我们继续期待吧。

以太坊2.0项目负责人:Spadina测试网90%是成功的:9月30日消息,尽管存在参与率低的问题,但以太坊2.0项目负责人Danny Ryan表示,Spadina测试网已被证明取得了90%的成功。他表示,Spadina测试网主要是针对以太坊2.0存款和创世纪启动工具的测试,从这个角度上看,测试在很大程度上是成功的。因为在存款过程中没有发现重大问题,且客户端成功地处理了区块。而低参与率表明,很多注册成为验证者的社区成员未能及时参与,不过开发人员表示,这是“无风险”问题的表现,因为测试网激励代币没有价值,验证者们无需担心离线时,其资金被扣除。而未来在主网上验证者们这需要严肃对待否则将有面临资金扣除的风险。

与此同时,V神表示,Eth 2.0网络将逐渐增加功能,随着时间的推移,它将对整个生态系统变得更加重要。(Cointelegraph )[2020/9/30]

动态 | 以太坊未确认交易28346笔:据Etherscan.io数据显示,当前以太坊未确认交易为28346笔,与此前相比未确认笔数略有下降,当前网络拥堵情况仍未有明显改善。[2019/2/15]

动态 | 火币区块链大数据周度数据洞察:本周以太坊活跃地址数骤降25.4%:火币区块链大数据周度数据洞察今日发布,本周以太坊活跃地址数骤降25.4%,从180.2万下降至到134.5万;交易量较上周大幅下降至1138万ETH,下降幅度为18.5%,已连续下降两周;以太坊转账手续费大幅上升,从1.4万ETH上升至3.2万ETH;平均手续费为0.007ETH,上升159%。[2018/7/6]

标签:以太坊ROLLROLETH以太坊交易是什么roll币怎么用roll币是什么意思ETHV币

欧易交易所app官网下载热门资讯
BTC:DeFi笔记:算力代币,「矿圈灰度」里的博弈

这是《Kay'sDeFiNotes》系列的第6篇文章,这个系列致力于用最通俗易懂的语言提供一些关于DeFi的常识,包括不限于无常损失/AMM这样的常规概念.

1900/1/1 0:00:00
HASH:如何在比特币上构建中继服务?

我们专注于建立一个非托管的中继器—Infura交易服务(ITX),用于接收一个预签名消息(例如元交易),并将其打包到以太坊交易中,然后逐渐提高手续费,直到它被记账.

1900/1/1 0:00:00
比特币:FinCEN“拟议规则”遭美国币圈抵制,加密合规成长远议题

12月19日,美国财政部金融犯罪执法网络就新的非托管加密钱包交易报告规则征集意见。如果最终被采纳,该规则将要求受监管公司对大于3000美元的非托管钱包用户姓名和地址进行验证.

1900/1/1 0:00:00
INB:Polychain Capital CEO:Coinbase估值已达1000亿美元

编者按:本文来自巴比特资讯,作者:王佳健,星球日报经授权发布。在比特币去年飙升300%的浪潮中,加密货币交易平台Coinbase有望成为金融科技公司的下一个大型上市企业.

1900/1/1 0:00:00
DEFI:Messari:图解社交代币类别及价值捕获

编者按:本文来自链闻ChainNews,星球日报经授权发布。撰文:MasonNystrom,Messari研究员编译:LeoYoung链闻曾发文《一览社交代币生态全景图:哪些项目和平台值得关注?.

1900/1/1 0:00:00
AME:GameStop、特斯拉、茅台、比特币,全球市场都在抱团

编者按:本文来自区块律动BlockBeats,Odaily星球日报经授权转载。当下全球二级市场最火的热点,不是特斯拉,不是比特币,无疑是在此前谷歌搜索趋势几乎为零的游戏驿站GameStop.

1900/1/1 0:00:00