硬核：不持有代幣也能對 PoS 網絡發起攻擊？_COIN:POS

本文為DecentralizedSystemsLab發表的討論使用最長鏈規則的PoS系統安全性的文章。按照某種劃分方法，PoS系統可以分為鏈式結構型和拜占庭容錯型；文章所闡述的漏洞是鏈式結構型系統中出現的，因此跟Cosmos的Tendermint這樣的拜占庭容錯型PoS共識算法無關；Casper不使用最長鏈規則，而是LatestMessageDrivenGhost，因此也跟這里講的漏洞無關。

這些漏洞已經影響了超過26類PoS型加密貨幣。通過這些漏洞，一個攻擊者只需使用少量權益就能摧毀任何運行相關軟件的網絡節點。

在這次公開披露之前，我們從2018年10月開始有規劃地通知受影響的加密貨幣開發團隊。大部分團隊已經部署了應對措施。

權益證明類加密貨幣，特別是那些基于鏈上PoSv3的加密貨幣，它們與比特幣很相似，都使用未花費的交易輸出模型和最長鏈共識規則。

主要的區別在于前者用代幣的所有權證明替代了工作量證明。

PoS的潛在優點包括能夠降低對環境的影響以及增強對51%攻擊的抵抗性。

一個包含185 ETH的休眠預挖礦地址在8.1年后將25枚ETH轉入Kraken:金色財經報道，數據顯示，北京時間今日下午4:31，一個包含185 ETH (302,096美元) 的休眠預挖礦地址在8.1年后剛剛被激活，將25枚ETH轉入Kraken。[2023/9/7 13:24:29]

很多加密貨幣實際上是比特幣代碼庫的分叉并且加入了PoS的功能。

但是，由于它們盲目復制了比特幣的一些設計理念，留下了安全隱患，因此出現了一些在原先代碼庫中并不存在的新漏洞。

我們將這些漏洞稱為「虛假權益」攻擊。

從本質上講，該攻擊之所以有效是因為PoSv3的程序在簽發珍貴資源之前對網絡數據驗證不足。

因此，一個攻擊者只需使用很少的權益份額，就能用虛假數據填滿某個節點的硬盤和內存，致使其崩潰。

我們認為所有基于UTXO和最長鏈原則的權益證明模型都容易受到這類「虛假權益」攻擊的影響。經過調查研究，我們已經發現了一批存在漏洞的加密貨幣，并在文末附上了列表。

接下來，我們將詳細解釋這些漏洞和攻擊手法，因為它們會產生一些不易察覺的后果。

青見科技與天擇微鏈科技達成戰略合作:據官方消息，馬欄山天擇微鏈科技有限公司與陜西青見科技有限公司（星舟）以及湖南胖大星科技有限公司達成戰略合作。天擇微鏈為國內首家主板上市的國有控股節目制作類公司中廣天擇傳媒股份有限公司旗下子公司，在“合作共贏，共同發展”的原則下，多方將運用各自的資本優勢、運營優勢以及平臺優勢，致力于數字藏品實體與投資概念發展。

微鏈科技旗下“數字V島”將于11月2日12:00發布國內首個賦能于實體，具有一定投資屬性的數字資產藏品。[2022/11/1 12:05:08]

雖然事后看來這些漏洞本身很簡單，但是想要一勞永逸地解決它們還是很困難，而且現有的解決方案可能會導致分叉。

背景

在深入了解這些漏洞的細節之前，我們將簡要介紹一些關于鏈上PoS機制原理的背景知識。

權益證明挖礦

與PoW挖礦類似，PoS挖礦也要將區塊頭的哈希值與難度目標進行比較。

PoS的目標是確保每個權益者挖出下一個區塊的概率與他們質押的代幣量成正比。

數字人民幣試點已擴大至北京全域:金色財經報道，數字人民幣試點已擴大到北京全域，累計落地40余萬個場景。 人民銀行營業管理部黨委委員、副主任劉玉苓介紹，北京在全國率先開展金融科技創新監管試點，在創新應用數量、技術應用場景及申請主體多元化方面保持領先優勢。（北京日報）[2022/9/23 7:16:17]

為了達成這一目標，鏈式結構型PoS機制的哈希值不僅取決于區塊頭，還取決于權益所有者通過區塊中一筆特殊的「coinstake」交易所質押的代幣數量。

本文會涉及一些關于PoS挖礦的具體細節，更詳細的解釋可以在Earlz的博客中找到。

本文重點從1）coinstake交易和2）coinstake交易所花費的UTXO這兩方面來闡述PoS機制。

工作量證明在節約區塊驗證資源方面起到的作用

眾所周知，PoW在比特幣共識機制中扮演至關重要的作用，不過它還有一個不那么受重視的作用，就是控制對節點有限資源的訪問，例如磁盤、帶寬、內存和CPU。

在免許可型公鏈網絡中，一個節點是不能信任其它對等節點的。

泰國證交會：泰國將禁止持牌公司從事加密貨幣存款和貸款業務:9月15日消息，泰國證交會：泰國將禁止持牌公司從事加密貨幣存款和貸款業務。（金十）[2022/9/15 6:57:40]

因此，為了防止資源耗竭型攻擊，比特幣節點要先檢查區塊的工作量證明，再決定是否花費更多硬盤或內存資源存儲這個區塊。

但是，事實表明，檢查權益證明比起驗證工作量證明要復雜的多，對環境也更為敏感。

因此，許多鏈式結構PoS機制在有效驗證上投入的資源嚴重不足。

為了理解資源耗竭型漏洞產生的原因，我們必須詳細說明一下區塊在被驗證之前是如何存儲的。

一個節點不僅要追蹤當前時刻最長的鏈，還要追蹤一整棵分叉鏈樹（因為任何一條分叉鏈都有可能成為最長鏈，在這種情況下，節點需要「重組」才能切換到新的最長鏈上)。

舉例來說，不當升級、雙花攻擊，或者臨時網絡分區都有可能引發這種情況。

驗證這些非主鏈上的區塊是非常困難的。

要完全驗證某個區塊，你需要上一個區塊中未花費的代幣集合。

CZ：Binance存在全球控股實體總部，將于適當時間公布:7月19日消息，Binance首席執行官CZ在做客Decrypt播客時，針對Binance是否存在總部表示，我們有一家全球控股公司，一個用于集中交易的全球控股實體。我們會在適當的時候宣布其位置。這很簡單。沒那么復雜。

此前21年CZ表示Binance總部的候選名單有五個國家，其中一些在歐洲，但拒絕進一步透露細節。據悉，Binance在巴林、迪拜和巴黎等城市設有辦事處。[2022/7/19 2:23:26]

比特幣保存的是最長鏈頂端區塊時候的UTXO集合，但是不會保存之前區塊時候的UTXO集合狀態。在完全驗證分叉鏈上的區塊主要有兩種方法：

1、將當前視圖「回滾」到分叉起始點之前

2、存儲之前每一區塊時候的UTXO狀態

*校對注：將一條鏈上的所有區塊所包含的交易都處理完之后就會形成一個UTXO的集合，這個集合就是該鏈的最新狀態。因此，哪怕在同一條鏈上，#100區塊時候的狀態與#101區塊時候的狀態也是不同的。上文的意思是，雖然每一個區塊上都有可能形成分叉，但比特幣軟件不會把每一個區塊時候的狀態都專門保存一個副本，而是只保存最新的UTXO集合；若是每一個區塊時候的狀態都要專門保存，這會變成很大一筆存儲開銷。

比特幣的代碼庫不支持第二個方法，即使它支持，這也會增加額外的存儲成本（比特幣的節點性能依賴于大幅裁減不必要的數據)。

比特幣代碼庫目前正是采用第一種方法來處理重組的。

然而，經常回滾的代價也是很昂貴的，因此，回滾和完全驗證不會在一有分叉的時候就發生，而是等到分叉鏈上的工作量證明真的超過當前主鏈的時候才會進行。

因此，當一個對等節點第一次接收到一個非最長鏈上的區塊或區塊頭時，我們將跳過完全驗證并將這個區塊保存在本地存儲區。

在將這個區塊存儲進磁盤之前，比特幣代碼庫會基于PoW機制執行一些初步驗證（不過會忽略區塊內的交易)。

初步驗證僅針對之前的區塊頭以及當前的區塊頭，因此節點驗證起來非常快。而且這是一個非常有效的防御手段，因為生成一個有效的工作量證明來通過這個初步驗證成本很高。

例如，雖然有可能欺騙一個比特幣節點將一個非法區塊存儲在硬盤內，但是以這種方式發起資源耗竭型攻擊是一個非常不經濟的行為。

PoS機制中也存在類似的初步驗證過程，就是對coinstake交易進行驗證，將它與上一個區塊的kernel值一起進行哈希運算，看最后得到的哈希值是否超過難度目標。

計算coinstake交易的哈希值很容易，難的是驗證coinstake交易中輸入的UTXO是否合法并且未被花費；但是要檢查一筆UTXO是否沒有被花費，你就需要該筆交易發生前一個區塊時候的UTXO集合狀態；如我們上文所說，節點往往是沒有專門存儲這樣一個狀態的。

因為完全驗證coinstake交易是非常困難的，大多數鏈上PoS機制提供的是一個經驗式或者近似式的驗證方法作為替代。

事實證明這些替代性的驗證方法通常并不充分并且存在漏洞。

漏洞：「我簡直不敢相信還有非權益持有者可以攻擊的漏洞」

我們第一次研究這個漏洞的時候，發現Qtum、Particl、Navcoin、HTMLcoin和Emercoin這五種密碼學貨幣都存在這個漏洞，即，在將區塊提交至內存或硬盤之前，無法對coinstake交易進行驗證。

這五種加密貨幣的共同之處是它們都采用了比特幣的「區塊頭優先」規則，將區塊分成兩類獨立的信息——區塊體和區塊頭——進行傳播。

只有當節點確認了某個區塊的區塊頭通過了PoW驗證、并且該區塊跟在最長鏈之后，才會請求區塊體的信息。

由于coinstake交易僅存在于區塊體而非區塊頭中，節點無法做到只驗證區塊頭，于是直接將區塊頭存儲在了內部數據結構里。

因此，任何網絡攻擊者，即使不持有任何權益，也可以惡意填滿一個節點的內存。

此種攻擊的還有另一個形式，可以針對相同的代碼庫實施，不過它采用的方式略微不同，而且攻擊目標也從節點的內存資源轉向了硬盤資源。

可以說，針對節點硬盤的攻擊危害更大：如果節點因內存被填滿而崩潰，只需簡單重啟即可恢復。

但是，如果硬盤被填滿了，則需要手動干預才能恢復。

如果接收的不是區塊頭而是區塊體，需要執行初步驗證也會不同。理想情況下，因為coinstake交易就包含在區塊體中，節點軟件應該先對其進行驗證，再將區塊體提交至硬盤。

但是，如上所述，如果這個區塊是在一條分叉鏈上，節點要訪問coinstake交易所花費的UTXO會難得多。也許是出于這個原因，這些代碼庫并沒有驗證coinstake交易。

對于存在上述任意一個漏洞的加密貨幣來說，即使是不持有任何權益的人也能對它們發動攻擊。

針對內存的資源耗竭型攻擊微不足道，從技術的角度來看，我們更需要堤防的是針對硬盤的資源耗竭型攻擊。

Tags：POSCOIOINCOINpos幣也會集中808Coinkucoinpro是什么coincheck交易所多久成立的

PEPE幣