GRAND:為什么Polkadot的GRANDPA協議不夠安全？_RAN

本文將討論Polkadot為解決拜占庭容錯問題而提出的共識協議——GRANDPA協議。在本文中，我們默認讀者已經熟悉拜占庭容錯問題，所以我們將直接介紹Polkadot的GRANDPA協議是如何解決拜占庭容錯問題的。首先，我們將簡潔明了地介紹GRANDPA協議的主要內容。然后，我們將討論可能導致GRANDPA協議失效的攻擊方式。最后，我們會就如何解決上述安全漏洞，提出可能的解決方法。

概率確定性與可證明確定性

經由Casper FFG（Friendly Finality Gadget）協議啟發，GRANDPA是一種新的、拜占庭容錯的(BFT)、確定性工具的（Finality Gadget）共識協議。確定性工具（Finality Gadget）是一套經由一定提議機制而最終確定一條區塊鏈上內容的機制。由“確定性工具”最終確認的鏈上內容，具有最終性，即不可逆。

Twitter Inc. 已更名為 X Corp.，注冊地在內華達州:4月19日消息，Twitter Inc.已經告知法院，更名為 X Corp.，該實體在內華達州注冊成立，而非 Twitter 以前的注冊地特拉華州。據上周提交的法庭文件顯示，Twitter Inc.已經并入 X Corp.，自身不復存在。該公司的主要營業地仍是舊金山，即 Twitter 的總部所在地。該文件顯示，X Corp.有一個名為 X Holdings Corp.的母公司，該公司也在特拉華州的文件中記錄了這次合并。馬斯克就此次更名表示，我的目標是打造萬能應用程序 X，并重申 Twitter 是實現這一目標的加速器。（《華爾街日報》）[2023/4/19 14:12:52]

正如Polkadot Wiki上所說：“那種運行純粹中本聰式POW共識協議的區塊鏈，只能達到概率確定性并完成最終共識。”與之相對，像GRANDPA或Casper FFG之類擁有確定性工具機制的協議，則可以為我們提供更強大的保證，稱為可證明確定性。GRANDPA的確定性工具機制帶來的可證明確定性，保證了經過一定共識機制運作之后，那些被最終確認的區塊里的內容將永不可逆。

SushiSwap：將為用戶提供已收回資金的索賠申領網站:4月12日消息，SushiSwap 發布 RouteProcessor2 漏洞和用戶退款更新表示：對于已經回收的白帽資金，團隊將制作一個 Merkle Claim 合約和一個網站，以移除任何剩余的 RouteProcessor2 批準并將用戶資金返還至其錢包；對于無法收回的黑帽資金，Sushi 團隊將建立一個索賠流程，用戶可以選擇加入，將根據具體情況管理索賠。黑帽資金將需要更長的時間來處理，因為團隊將根據鏈上數據手動驗證索賠的合法性，然后相應地進行支付。[2023/4/12 13:58:46]

Polkadot的GRANDPA

Polkadot，是通過一個提名權益證明（NPoS）系統，將BABE用作其區塊生成機制的（BABE，即著名的Blind Assignment for Blockchain Extension，即區塊鏈擴展盲分配）。這個系統使用提名權益證明機制（NPoS），顧名思義，這個系統會通過一個提名過程選出驗證者。在這個區塊鏈系統中，為了從一個普通的參與者變成一個提名者，參與者需要先將其代幣作為抵押品。這之后，這個升級為提名者的參與者，就可以提名他/她認可的節點作為驗證者了。當被他/她提名的驗證者偏離協議，他/她抵押的權益就將被削減，作為懲罰；相反，當被他/她提名的驗證者遵守協議時，他/她也會獲得報酬，作為獎勵。另外值得一提的是，在這個區塊鏈系統中，當選了的驗證者在共識協議中的投票權是同等的。

有人以5261 ETH的價格在Blur平臺一次性賣出87個CryptoPunks:金色財經報道，據“麻吉大哥”黃立成在社交媒體轉發信息顯示，有人以5261 ETH（約合9,575,000 美元）的價格在Blur平臺一次性賣出87個CryptoPunks。對此，黃立成直言Blur出了問題并稱協議正在消亡，同時呼吁Blur平臺必須要修復這種漏洞。[2023/4/2 13:40:45]

有了GRANDPA（GHOST-based Recursive Ancestor Deriving Prefix Agreement）作為它的確定性工具機制，Polkadot的中繼鏈包含兩個不同的協議，分別對應兩種不同類型的網絡。我們要討論的是第一個協議。這個協議對應的網絡，是部分同步的，并且最多可以有1/3的參與者是惡意的。我們生活中遇到的網絡，通常都是部分同步的。這是一個分布式系統的專業術語，簡而言之，是指：網絡在大多數情況下是同步的，當網絡不同步時，經過一定時間，也會回到同步的狀態（同步也是分布式系統的專業術語，這個可以暫時理解成日常用語里的“同步”）。

Y2K Finance：IFO期間協議獲得超38萬美元收入，共計鎖定過超2.4萬枚以太坊:11月30日消息，風險定價協議Y2K Finance在推特上表示，在IFO期間協議獲得超38萬美元收入，并主要來源于USDT與MIM短暫的脫鉤事件，但未脫鉤時平均每周也獲得了4.2萬美元收入。

此外，在IFO期間，協議總計鎖定過24066枚以太坊，價值近3000萬美元。[2022/11/30 21:12:29]

關于GRANDPA，值得注意的是：1）只有被確定性工具機制最終確認的區塊能影響區塊的生成  2）可以同時為不同高度的多個區塊投票，這與Casper FFG不同。

本文只討論Polkadot的第一個協議。它專為部分同步網絡設計，不能容忍網絡分區或DoS攻擊。另外值得注意的一點是，該協議假定在未知時間GST之后，網絡變為同步。

HyperPay錢包支持ETH合并升級并尊重后續客觀分叉結果:據官方消息，HyperPay錢包關注到當前市場對于ETH分叉的動態與討論，在尊重社區共識的前提下，HyperPay將支持ETH合并升級，但也對后續可能分叉成功的ETH鏈上資產（包括但不限于主網幣），在全面了解用戶意見的情況下，根據HyperPay錢包規則盡快開通相關分叉代幣的交易、理財等服務。

HyperPay錢包成立于2017年，是集托管理財錢包、去中心化自管錢包、HyperMate硬件錢包、共管錢包于一體的多生態數字資產錢包，為用戶提供資產存管、理財增值、消費支付等服務。[2022/8/10 12:15:11]

每個參與者都存儲一個由BABE產生的區塊樹，這個區塊樹的根區塊是創世塊。參與者可以對樹上的一個區塊投票。如果一個區塊B獲得X票，X票包括了B自己和B的子孫節點的所有票。然后，?-GHOST函數g（S）返回獲得票倉S里絕對多數的區塊中區塊高度最大的那個區塊，記作B。

然后，區塊作者著手確定這個區塊B在票倉S中獲得絕對多數的可能性。GRANDPA協議的論文《Byzantine Finality Gadgets》這樣定義：“我們說，如果至少有2t + 1張票是超額投票（即一個投票者投了多于一張票）或者投給了除B子孫區塊的其他區塊，那么區塊B在票倉S中占據大多數是不可能的；否則，區塊B在票倉S中獲得絕對多數是可能的。”此外，論文還指出，“一個區塊B在一個票倉S里獲得絕對多數是可能的，當且僅當存在一個容錯票倉T，T是票倉S的子集，并且區塊B在票倉T中占絕對多數。”

這個協議在實踐中會出現以下的幾個問題：

如果我們假設區塊B和C不一致，而t個惡意投票者加1個誠實投票者投票給了B，2t個誠實投票人投給了C，那么根據上述定義，B得到絕對多數是可能的。然而，因為誠實的投票人不會超額投票，所以票倉S里不總是有一個子票倉T使得T里有絕對多數。這就使得GRANDPA無法實現活躍性保證。接下來，我們將詳細介紹這種情況。

假設我們保持相同的情況，以B和C作為在某個回合r中產生的兩個子區塊-也就是說，BABE在此回合經歷一個分叉，并且結果產生了兩個子塊B和C。

在第r輪，t + 1個投票者（所有t個惡意投票者+ 1個誠實投票者）投票給B，其余2t誠實投票者投票給C。因此，對每個投票者i，我們的g（）函數都會從前一個回合的estimate，E_ {r-1，i} [ E_{r,v} 表示投票者v在r輪的一個estimate，這個estimate包含了所有本可以在r輪最終確定卻實際上沒有被最終確定的區塊的信息，詳見論文《Byzantine Finality Gadgets》] 中輸出一個向B、C的一個祖塊。相應地，每個參與者都預先承諾（pre-commit）該祖塊。（值得注意的是，即使是網絡上誠實的節點，也可能由于網絡延遲或異步而出現這種分裂的投票結果。一個誠實節點可以首先接收到區塊B，因此它投票給B。其他誠實節點首先接收到C，因此他們投票給C。）

現在，每個投票者i估計從第r-1輪的E_ {r-1，i}來的祖塊可能是哪個塊。由于C_ {r，i} [ C_ {r，i}表示參與者i在r輪收到的所有預先承諾（pre-commits）] 可能導致E_ {r，i}的任何子級得到多數投票，因此回合r無法完成，整個共識過程失敗。

即使可以通過修正GRANDPA中的語義定義來解決此處討論的問題，我們也可以類似地將在Tendermint協議的討論中提到的那些攻擊用于GRANDPA。最終，我們只能得出結論，GRANDPA協議在上述網絡中不安全。

Tags：ANDGRANDRANPOLAndaGoldThe Grand BanksCryptoFrancPolybius

比特幣