FOR:简析区块链节点运营的门槛、方法和难点

运行节点要符合加密世界无处不在的精神：去信任，要验证。

原文标题：《详解区块链节点：如何有效地运营自己的节点？》

撰文：SupraOracles

区块链节点通过它们的连接、交互组成网络，该网络通过共识机制将新区块添加到链上，本文将解释如何有效地运营自己的区块链节点。

在深入讲解如何运行节点之前，我们有必要了解一下什么是区块链节点。通常在计算机网络中节点可以是计算机或任何涉及在计算机网络内接收和发送数据的设备，因此在区块链网络中每个账本参与者都是一个节点。

基于 P2P（点对点）网络的原理，公有链技术本质上是去中心化跟开源的，在大多数网络中，公有链没有专用服务器，不是一个授权机构，依赖于用户之间的共识。节点通常通过共享状态信息、对其协议的治理进行投票以及验证传入交易的新块来在网络内进行通信。

Beosin：SheepFarm项目遭受攻击事件简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，BNB链上的SheepFarm项目遭受漏洞攻击，Beosin分析发现由于SheepFarm合约的register函数可以多次调用，导致攻击者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函数增大自身的gems，再利用upgradeVillage函数在消耗gems的同时累加yield属性，最后调用sellVillage方法把yield转换为money后再提款。本次攻击导致项目损失了约262个BNB，约7.2万美元。Beosin Trace追踪发现被盗金额仍在攻击者账户，将持续关注资金走向。[2022/11/16 13:10:39]

来自不同地理位置的多样化和分散的节点有助于建立一个更强大的共识机制。如果有足够多的节点维护他们的区块链账本副本并继续区块生产，那么网络可以无限期地运行下去。

慢雾：Inverse Finance遭遇闪电贷攻击简析:据慢雾安全团队链上情报，Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下：

1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。

2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。

3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。

4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。

针对该事件，慢雾给出以下防范建议：本次攻击的原因主要在于使用了不安全的预言机来计算LP价格，慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/6/16 4:32:58]

也正因此，由于每一个用户对于整个网络的安全性和完整性都至关重要，成为某个加密项目社区的一员不仅是件令人兴奋的事，也是一种责任。

Grim Finance 被黑简析：攻击者通过闪电贷借出 WFTM 与 BTC 代币:据慢雾区情报，2021 年 12 月 19 日，Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。

1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币，并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。

2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作，而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中，depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币，本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。

3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性，攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时，恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押，此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。

4. 由于攻击者对 GrimBoostVault 合约重入了多次，因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。

此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁，导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议：对于用户传入的参数应检查其是否符合预期，对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。[2021/12/19 7:49:04]

通常来说，节点分两种主要类型：一种是存储完整账本的全节点（full node），这种节点通过验证数据来保证区块链上数据的安全性和正确性；另一种是轻节点 (lightweight node)，即每个参与的用户。每一个轻节点都需要连接到一个全节点，以便同步网络的当前状态并能够参与运行。

Force DAO 代币增发漏洞简析:据慢雾区消息，DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现： 在用户进行 deposit 操纵时，Force DAO 会为用户铸造 xFORCE 代币，并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度，当用户的授权额度不足时 transferFrom 函数返回 false，而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行，xFORCE 代币被顺利铸造给用户，但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法，但外部合约在对其进行调用时并未严格的判断其返回值，最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查，以避免此问题的发生。[2021/4/4 19:45:30]

首先，要部署区块链节点，新节点运营商必须要达到硬件和软件要求门槛，例如兼容的操作系统、足够的可用磁盘空间、RAM 内存和网速。接着，运营商需根据他们所期望的参与程度下载所需的核心软件。

Harvest.Finance被黑事件简析:10月26号，据慢雾区消息 Harvest Finance 项目遭受闪电贷攻击，损失超过 400 万美元。以下为慢雾安全团队对此事件的简要分析。

1. 攻击者通过 Tornado.cash 转入 20ETH 作为后续攻击手续费；

2. 攻击者通过 UniswapV2 闪电贷借出巨额 USDC 与 USDT；

3. 攻击者先通过 Curve 的 exchange_underlying 函数将 USDT 换成 USDC，此时 Curve yUSDC 池中的 investedUnderlyingBalance 将相对应的变小；

4. 随后攻击者通过 Harvest 的 deposit 将巨额 USDC 充值进 Vault 中，充值的同时 Harvest 的 Vault 将铸出 fUSDC，而铸出的数量计算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

计算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的变化将导致 Vault 铸出更多的 fUSDC；

5. 之后再通过 Curve 把 USDC 换成 USDT 将失衡的价格拉回正常；

6. 最后只需要把 fUSDC 归还给 Vault 即可获得比充值时更多的 USDC；

7. 随后攻击者开始重复此过程持续获利；

其他攻击流程与上诉分析过程类似。参考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻击主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采用的是 Curve y池中的报价(即使用 Curve 作为喂价来源)，导致攻击者可以通过巨额兑换操控预言机的价格来控制 Harvest Finance 中 fToken 的铸币数量，从而使攻击者有利可图。[2020/10/26]

针对所有区块链，你都可以在运行节点上配置所需的设备、内存要求和处理能力。市场上有门槛较低的链，但也有其他一些链因为网络设计导致节点运行困难而昂贵。当然，昂贵的节点运行要求运营商的大量财务投入，可以在成本上筛掉一些试图投机的恶意节点。

例如，比特币的网络允许用户运行全节点或轻节点。对于比特币全节点来说，必须下载存储区块链历史记录并保存在本地文件中，在撰写本文时，其硬盘内存需超过 380 GB。

[如图]区块链节点通过它们的连接、交互和在全节点的情况下共同组成网络

再拿以太坊举个例子，根据复杂程度不一，可运行的节点为：全节点、轻节点和存档节点。

全节点更具独立性，对自己的数字资产拥有更完整的主权，不像轻节点那样需要依赖其他节点访问区块链。全节点可以连接到区块链的主网络，也可以在测试网或其他安全环境上运行，以测试和开发新软件。

轻节点对没有强大硬件或带宽能力的用户很友好，因为不需要下载以太坊的完整历史、钱包余额或智能合约代码。可以在手机或其他更小、功能更弱的设备上运行，但它们可以通过检验区块头的状态根，从而验证数据的有效性。

[如图]全节点对网络负有更大的责任，需要更复杂的硬件和软件，但他们的努力在金钱方面得到了更直接的回报。

就运营商资源而言，以太坊存档节点可能是运行难度最高的节点之一。它们需要更多的硬件设备来运行，也需要使用大容量的 RAM 和磁盘空间。即便使用先进的设备，新的以太坊存档节点同步也需要花费数周时间，如果使用速度较慢的 HDD 硬盘同步存档节点，则该节点将无法实现完全同步，因为新块生成的速度将超过这类计算机同步的速度。另外，如果客户端的节点版本出现任何错误，则该节点需要重新同步。无形的时间消耗，增加了整个运营成本。

当然，为了防止节点脱机，运行节点时应该进行定期检测，可以向兼容节点发送请求或从区块链请求数据。不然的话，如果遇到节点崩溃的情况需要手动重启设备，这很可能会之前通过验证或挖掘新块产生的收入都将丢失。

节点运营商通常会有带宽限制与硬件性能方面的问题。很多节点运营商会向互联网提供商获取无流量限制的服务，值得注意是要警惕网络被其他不明原因占用的情况。在早期的比特币网络中，病签名曾被上传到区块链，导致 Windows 用户的病软件检测到病后仍遇到了问题。虽然用户的设备并没有受到感染，但他们运营节点的整体性能受到了损害。

为了解决技术以及操作门槛跟效率问题，许多区块链节点运营服务公司（BaaS）应运而生。节点运营商部署必要的资本和资源来连接其基础设施，并维护其与所需区块链相关的功能。

[如图]区块链服务提供商托管运行企业和其他实体的节点，为节点运营者提供诸多好处，降低了节点运营者的时间成本或专业知识要求。

根据每个客户的需求，区块链服务提供商可以达成对已集成公链的完全访问，只要运营者满足最低要求，包括在所需网络上的最低投资。服务提供商则会承担节点操作相关的繁琐内容，让客户可以专注于他们本身的专业领域而不用在操作上耗费精力。

目前市场上比较流行的区块链服务提供商有 Blockdaemon、Infura、GetBlock、Alchemy、QuickNode、Figment 等等。

启动和维护节点有助于区块链的去中心化。在某些网络上，运行一个节点可以为运营商提供回报，因为该节点会因验证新交易和参与产生新区块的投票过程而获得报酬。

但同时，区块链节点运营也会消耗大量时间和资源，在投入和产出比上，对矿工或验证者来说是有利可图的。全节点的报酬丰厚，因为它们验证区块并存储整个区块链账本，因此验证节点可以产生可预期的收入。

尽管运行轻节点不会产生加密回报，但它仍然有助于增强用户和其他节点之间的信任、安全和隐私。拥有自己的节点意味着您无需信任第三方网络的状态或提交给网络进行验证的交易的真实性。

为了更好地说明这一点，假设您是一家仅接受实物黄金作为服务付款交易站的所有者，现在您想验证黄金是否是真实的并且确认具体的数量，您是会将其发送给检查员网络，还是安排在内部进行所有验证？换句话说，运行你自己的节点符合加密世界无处不在的精神：去信任；要验证。

标签：区块链FORUSDANC区块链工程专业学什么Force For Fast TokenFLUSD价格Feast Finance

TRX热门资讯