為什么Polkadot的GRANDPA協議不夠安全？_ADO:AND

本文將討論Polkadot為解決拜占庭容錯問題而提出的共識協議——GRANDPA協議。在本文中，我們默認讀者已經熟悉拜占庭容錯問題，所以我們將直接介紹Polkadot的GRANDPA協議是如何解決拜占庭容錯問題的。首先，我們將簡潔明了地介紹GRANDPA協議的主要內容。然后，我們將討論可能導致GRANDPA協議失效的攻擊方式。最后，我們會就如何解決上述安全漏洞，提出可能的解決方法。

概率確定性與可證明確定性

經由Casper FFG（Friendly Finality Gadget）協議啟發，GRANDPA是一種新的、拜占庭容錯的(BFT)、確定性工具的（Finality Gadget）共識協議。確定性工具（Finality Gadget）是一套經由一定提議機制而最終確定一條區塊鏈上內容的機制。由“確定性工具”最終確認的鏈上內容，具有最終性，即不可逆。

Coinbase主管：Richard Heart受指控錢包此前已向Tornado Cash轉移2690萬美元:7月31日消息，Coinbase主管發推稱Conor，Richard Heart受指控錢包此前已向Tornado Cash轉移2690萬美元，目前持有3500萬枚DAI。[2023/7/31 16:09:36]

正如Polkadot Wiki上所說：“那種運行純粹中本聰式POW共識協議的區塊鏈，只能達到概率確定性并完成最終共識。”與之相對，像GRANDPA或Casper FFG之類擁有確定性工具機制的協議，則可以為我們提供更強大的保證，稱為可證明確定性。GRANDPA的確定性工具機制帶來的可證明確定性，保證了經過一定共識機制運作之后，那些被最終確認的區塊里的內容將永不可逆。

Polkadot的GRANDPA

歐盟和Meta同意在7月對歐盟在線內容規則實施壓力測試:金色財經報道，歐盟產業主管埃里·布雷頓（Thierry Breton）6月24日發布推文稱，Meta公司和歐盟已經同意在7月對歐盟的在線內容規則實施壓力測試。“與Meta首席執行官馬克·扎克伯格在門羅公園就歐盟數字規則進行了富有成效的討論，”布雷頓在推文中說，“1000名Meta員工正在研究《數字服務法》（DSA）。”布雷頓在6月早些時候曾表示，Meta公司必須展示其計劃采取的措施，以在8月25日之后遵守被稱為《數字服務法》（DSA）的歐盟在線內容規則，否則將面臨嚴厲制裁。[2023/6/24 21:57:30]

Polkadot，是通過一個提名權益證明（NPoS）系統，將BABE用作其區塊生成機制的（BABE，即著名的Blind Assignment for Blockchain Extension，即區塊鏈擴展盲分配）。這個系統使用提名權益證明機制（NPoS），顧名思義，這個系統會通過一個提名過程選出驗證者。在這個區塊鏈系統中，為了從一個普通的參與者變成一個提名者，參與者需要先將其代幣作為抵押品。這之后，這個升級為提名者的參與者，就可以提名他/她認可的節點作為驗證者了。當被他/她提名的驗證者偏離協議，他/她抵押的權益就將被削減，作為懲罰；相反，當被他/她提名的驗證者遵守協議時，他/她也會獲得報酬，作為獎勵。另外值得一提的是，在這個區塊鏈系統中，當選了的驗證者在共識協議中的投票權是同等的。

20家公司完成英國央行的“CBDC樣本錢包概念證明”項目招標申請:1月5日消息，英國央行(BOE)的“CBDC樣本錢包概念和研究證明”項目共收到28份招標申請，但有8家供應商在提問階段后沒有繼續進行。完成申請的有9家中小企業和11家大公司。英國央行表示，它希望為核心分類賬、移動錢包應用程序和商家網站創建一個后端服務器。它尚未承諾開發樣本錢包，只會使用概念驗證 (PoC) 來擴展其知識。該項目合同將于1月31日授予選定的申請人。作為回應，英國央行還回答了申請人提出的 70 多個問題。

上月報道，英國央行正為“CBDC樣本錢包概念證明”項目進行招標。[2023/1/5 10:23:31]

有了GRANDPA（GHOST-based Recursive Ancestor Deriving Prefix Agreement）作為它的確定性工具機制，Polkadot的中繼鏈包含兩個不同的協議，分別對應兩種不同類型的網絡。我們要討論的是第一個協議。這個協議對應的網絡，是部分同步的，并且最多可以有1/3的參與者是惡意的。我們生活中遇到的網絡，通常都是部分同步的。這是一個分布式系統的專業術語，簡而言之，是指：網絡在大多數情況下是同步的，當網絡不同步時，經過一定時間，也會回到同步的狀態（同步也是分布式系統的專業術語，這個可以暫時理解成日常用語里的“同步”）。

加密交易所Bitso已啟動今年第二輪大規模裁員:11月30日消息，據巴西媒體Portal do Bitcoin報道，總部位于墨西哥的加密貨幣交易所Bitso在裁員約80名員工約六個月后，在新一輪裁員中仍然解雇了大量員工。Bitso拒絕具體說明受影響員工的數量以及裁員的國家或地區，但根據其前員工的說法，Bitso在墨西哥和巴西之間的裁員總數約為100人，該員工無法透露被解雇的總人數，但公司內部流傳的傳言是他們將占員工總數的25%。此前該公司擁有500至600名員工。[2022/11/30 21:11:32]

關于GRANDPA，值得注意的是：1）只有被確定性工具機制最終確認的區塊能影響區塊的生成  2）可以同時為不同高度的多個區塊投票，這與Casper FFG不同。

本文只討論Polkadot的第一個協議。它專為部分同步網絡設計，不能容忍網絡分區或DoS攻擊。另外值得注意的一點是，該協議假定在未知時間GST之后，網絡變為同步。

XRPL開發者將在Apex開發者峰會上展示新的XRP支付解決方案:9月6日消息，根據XRPL Labs開發人員Wietse Wind和Dominique Blomsma的說法，將在拉斯維加斯的Apex XRPL開發者峰會上展示一個使用尋路（pathfinding）技術的XRP支付和退款解決方案。

該解決方案提供快速尋路功能，用戶使用XRP付款，而商家收到其優先考慮的幣種。除了負責Xumm Wallet的XRPL Labs團隊之外，開源電子商務平臺nopCommerce的開發人員也參與新XRP支付解決方案的開發。（U.Today）[2022/9/6 13:12:26]

每個參與者都存儲一個由BABE產生的區塊樹，這個區塊樹的根區塊是創世塊。參與者可以對樹上的一個區塊投票。如果一個區塊B獲得X票，X票包括了B自己和B的子孫節點的所有票。然后，?-GHOST函數g（S）返回獲得票倉S里絕對多數的區塊中區塊高度最大的那個區塊，記作B。

然后，區塊作者著手確定這個區塊B在票倉S中獲得絕對多數的可能性。GRANDPA協議的論文《Byzantine Finality Gadgets》這樣定義：“我們說，如果至少有2t + 1張票是超額投票（即一個投票者投了多于一張票）或者投給了除B子孫區塊的其他區塊，那么區塊B在票倉S中占據大多數是不可能的；否則，區塊B在票倉S中獲得絕對多數是可能的。”此外，論文還指出，“一個區塊B在一個票倉S里獲得絕對多數是可能的，當且僅當存在一個容錯票倉T，T是票倉S的子集，并且區塊B在票倉T中占絕對多數。”

這個協議在實踐中會出現以下的幾個問題：

如果我們假設區塊B和C不一致，而t個惡意投票者加1個誠實投票者投票給了B，2t個誠實投票人投給了C，那么根據上述定義，B得到絕對多數是可能的。然而，因為誠實的投票人不會超額投票，所以票倉S里不總是有一個子票倉T使得T里有絕對多數。這就使得GRANDPA無法實現活躍性保證。接下來，我們將詳細介紹這種情況。

假設我們保持相同的情況，以B和C作為在某個回合r中產生的兩個子區塊-也就是說，BABE在此回合經歷一個分叉，并且結果產生了兩個子塊B和C。

在第r輪，t + 1個投票者（所有t個惡意投票者+ 1個誠實投票者）投票給B，其余2t誠實投票者投票給C。因此，對每個投票者i，我們的g（）函數都會從前一個回合的estimate，E_ {r-1，i} [ E_{r,v} 表示投票者v在r輪的一個estimate，這個estimate包含了所有本可以在r輪最終確定卻實際上沒有被最終確定的區塊的信息，詳見論文《Byzantine Finality Gadgets》] 中輸出一個向B、C的一個祖塊。相應地，每個參與者都預先承諾（pre-commit）該祖塊。（值得注意的是，即使是網絡上誠實的節點，也可能由于網絡延遲或異步而出現這種分裂的投票結果。一個誠實節點可以首先接收到區塊B，因此它投票給B。其他誠實節點首先接收到C，因此他們投票給C。）

現在，每個投票者i估計從第r-1輪的E_ {r-1，i}來的祖塊可能是哪個塊。由于C_ {r，i} [ C_ {r，i}表示參與者i在r輪收到的所有預先承諾（pre-commits）] 可能導致E_ {r，i}的任何子級得到多數投票，因此回合r無法完成，整個共識過程失敗。

即使可以通過修正GRANDPA中的語義定義來解決此處討論的問題，我們也可以類似地將在Tendermint協議的討論中提到的那些攻擊用于GRANDPA。最終，我們只能得出結論，GRANDPA協議在上述網絡中不安全。

Tags：GRANDANDRANADOThe Grand BanksLLANDfragransShadowFi

BNB