撰文:Noah Citron
編譯:PANews,王爾玉
11月8日,a16z Crypto推出了以太坊輕客戶端Helios,基于Rust語言進行編寫,提供完全無需信任的以太坊訪問。以下是PANews對官方新聞的翻譯。
我們使用區塊鏈的主要原因之一是無需信任。藉此,我們可自主掌控自己的財富和數據。多數情況下,以太坊等區塊鏈的確兌現了這一承諾:我們的資產真正屬于我們自己。
但我們也為了追求方便而做了一些妥協。其中之一即我們使用了中心化的RPC(遠程調用)服務器。用戶往往會通過Alchemy等中心化提供商訪問以太坊。這些公司在云服務器上運行高性能節點,幫助大家輕松訪問鏈上數據。當錢包查詢其代幣余額或檢查一項待處理交易是否已納入區塊時,幾乎總會用到這些中心化提供商。
當前系統的問題在于用戶需要信任這些提供商,而無法驗證查詢結果是否正確。
Helios是我們開發的基于Rust的以太坊輕客戶端,它能提供完全無需信任的以太坊訪問。Helios使用了以太坊切換至PoS后促成的輕客戶端協議,它能將來自不受信任的中心化RPC提供商的數據轉換至安全可驗證的本地RPC中。結合中心化RPC,Helios可在不運行完整節點的情況下驗證數據的真偽。
難以兼顧便捷性與去中心化是一個常見痛點,我們的客戶端(公眾可在其基礎上繼續構建)能實現約兩秒內完成同步,且無需存儲,用戶可通過任何設備(包括手機和瀏覽器插件)訪問安全的鏈上數據。但依賴中心化基礎設施到底有什么潛在陷阱呢?本文將梳理此類陷阱,介紹我們的設計方案,并提供一些思路,幫助大家為代碼庫添磚加瓦。
AMD 全部 Zen 2 處理器寄存器存在漏洞,攻擊者可訪問敏感信息:7月25日消息,Google 信息安全部門發現 AMD 處理器寄存器漏洞(CVE-2023-20593),影響全部 Zen 2 處理器,攻擊者可在虛擬機內監聽宿主機數據。其中該漏洞在特定的微架構情況下,使 Zen 2 處理器中的一個寄存器可能無法正確地寫入 0,導致來自另一個進程或線程的數據被存儲在 YMM 寄存器中,可能允許攻擊者訪問敏感信息。目前 AMD 已發布微碼補丁更新,如果無法應用更新,可以設置chicken bit DE_CFG,但可能會帶來一些性能損失。[2023/7/25 15:57:02]
一個(理論性)產物潛伏在黑暗森林中。它沒有在以太坊交易內存池(Mempool)中尋找獵物,而是通過模擬我們依賴的中心化基礎設施來設置陷阱。落入該陷阱的用戶并沒有犯任何錯誤:他們只是訪問了常去的去中心化交易所,設定了合理的滑點,并像往常一樣買賣代幣……他們沒做錯任何事,但仍然遭遇了一種新型三明治攻擊,這是一種精心設置在以太坊黑暗森林入口處——RPC提供商——的陷阱。
詳細說明之前,我們先來看一下去中心化交易所是如何處理交易的。用戶執行兌換交易時會向智能合約提供幾個參數:要兌換的代幣,兌換金額,以及最重要的,用戶推進交易必須接收的最小代幣數量。最后一項參數指明了兌換必須達到的“最小產出”,否則會撤銷交易。這通常被稱為“滑點”,因為它有效設定了從交易發送至內存池到交易被納入區塊之間可能出現的最大價差。如果滑點設置太低,用戶有可能只能接收到較少代幣。這種情況也可能導致三明治攻擊,攻擊者可將用戶的出價夾在兩個惡意交易之間。這些交易會推高現貨價格,迫使用戶以不太好的價格進行交易。然后,攻擊者會立即出售代幣,獲取小額利潤。
FTX尋求在破產案中追回40億美元:金色財經報道,破產的加密貨幣交易所 FTX 周三在一份法庭文件中表示,希望從破產的 Genesis Global Capital 收回近 40 億美元的資金。該動議稱,Genesis 在 11 月 FTX 破產前的幾周內“大部分償還”了向 FTX 附屬實體 Alameda Research 提供的近 80 億美元貸款。根據周三提交的文件,在多家 FTX 公司申請破產前的 90 天內, Alameda Research 向 Genesis 償還了 18 億美元的貸款,并承諾向 Genesis 提供 2.73 億美元。Genesis 還從 FTX 又撤回了 16 億美元,而 Genesis Global Capital International 同期又撤回了 2.13 億美元。[2023/5/4 14:41:19]
只要這個最小產出參數設置在公允值附近,你就不會受到三明治攻擊。但如果你的RPC提供商沒有提供去中心化交易所智能合約的準確報價呢?如此一來,用戶可能會被蒙蔽,并以較低的最小產出參數簽署兌換交易,更糟的是,用戶還可能將交易直接發送給惡意的RPC提供商。提供商可以不將這筆交易廣播至公共內存池(數十個機器人在其中競相開展三明治攻擊),而私下扣留并將被攻擊的交易包直接發送給Flashbots,以從中牟利。
造成這一攻擊的根本原因是信任他人來幫助你獲取區塊鏈狀態。為解決該問題,有經驗的用戶通常會運行自己的以太坊節點,這項工作需要耗費大量時間和資源,至少需要一臺持續在線的設備,數百GB的存儲空間,以及大約一天的時間以從頭開始同步。這個過程顯然比過去簡化了。Ethereum on ARM等團體一直在不懈努力,幫助大家通過低成本硬件運行節點(例如帶有外部硬盤驅動器的樹莓派微型電腦)。但即便要求大幅降低,運行節點對于多數用戶仍然很困難,特別是使用移動設備的用戶。
英國央行購買了超10億英鎊英國國債 低于限額:9月29日消息,英國央行稱,開展了英國國債購買操作并接納了10.25億英鎊的要約,低于購買上限。英國央行此前宣布,最初將以每次不超50億英鎊的幅度購買英國國債。今日實際收到了25.88億英鎊的要約,但央行“行使了裁量權,部分要約沒有獲得分配”。(金十)[2022/9/29 6:00:03]
需要注意的是,中心化RPC提供商攻擊雖然完全可能發生,但通常只是簡單的釣魚攻擊,我們說的那種攻擊尚未發生。盡管Alchemy等大型提供商的過往記錄讓我們沒有理由懷疑他們,但在將不熟悉的RPC提供商添加至錢包前,多做一些研究仍然是值得的。
以太坊推出輕客戶端協議,為快速的區塊鏈交互和通過最低硬件需求驗證RPC端點開辟了令人興奮的可能性。在The Merge后的一個月里,一批彼此獨立的輕客戶端(Lodestar、Nimbus和基于JavaScript的Kevlar)相繼涌現,它們各辟蹊徑,只為了同一目標:無需信任的高效訪問,且不必使用完整節點。
我們的解決方案Helios是一個以太坊輕客戶端,可在大約兩秒內完成同步,不需要存儲,并提供完全無需信任的以太坊訪問。與所有以太坊客戶端一樣,Helios由執行層和共識層組成。但與多數其他客戶端不同,Helios將這兩層緊密耦合,用戶只需安裝和運行單個軟件即可。(Erigon也在朝著這個方向發展,他們在其歸檔節點中直接加入了一個共識層輕客戶端)。
Aptos Labs擬將Anchorage Digital作為主網啟動時的首選機構托管方:金色財經報道,Aptos Labs擬將Anchorage Digital作為主網啟動時的首選機構托管方,Anchorage 是美國第一家聯邦特許加密銀行,它將通過允許機構在 Aptos 上構建,包括通過 NFT、DeFi 和社交媒體以及其他 Web3 來支持 Layer 1 項目。Aptos 正在為 Web3 構建其可升級性和實用性,從而使開發人員能夠更好地搭建面向未來需求和消費者的應用程序,并進一步加速 Web3 的廣泛應用。(coindesk)[2022/9/27 5:55:10]
它如何運作呢?Helios共識層使用一個已知的信標鏈區塊哈希,并連接一個不受信任的RPC,以可驗證的方式同步至當前區塊。Helios執行層將這些經過驗證的信標鏈區塊與不受信任的執行層RPC結合,以驗證有關鏈上狀態的各種信息,例如賬戶余額、合約存儲、交易收據和智能合約調用結果。這些組件協同工作,可為用戶提供完全無需信任的RPC,且無需運行完整節點。
共識層輕客戶端符合信標鏈輕客戶端規范,并利用了信標鏈的同步委員會(在Altair硬分叉的Merge之前推出)。同步委員會是隨機選擇的512個驗證者構成的子集,服務周期約27小時。
驗證者進入同步委員會后會簽署看到的所有信標鏈區塊頭(block header)。如果超過三分之二的委員會成員簽署了一個區塊頭,則該區塊極有可能位于規范信標鏈中。如果Helios了解當前同步委員會的組成,它可以通過向不受信任的RPC查詢最近的同步委員會簽名,以有把握地追蹤鏈頭。
馬來西亞肯納格投資銀行將在2023年推出加密貨幣友好型App:金色財經報道,Watcher.Guru在社交媒體上稱,馬來西亞肯納格投資銀行有限公司將在2023年向其50多萬名客戶推出一個加密貨幣友好型App。[2022/8/24 12:45:55]
得益于BLS簽名聚合,只需一次查詢即可完成對新區塊頭的驗證。只要簽名有效且超過三分之二的委員會成員完成簽名,即可保證區塊已包含在鏈中(當然,它也可能被重組至鏈外,而追蹤區塊的最終性可提供更強的保證)。
但這個策略中顯然缺少了一個環節:如何找到當前的同步委員會。首先要獲取一個稱為弱主觀性檢查點(weak subjectivity checkpoint)的信任根。別被名字嚇到,它僅僅表示一個可以保證在過去的某個時刻被納入鏈中的舊的區塊哈希。關于檢查點確切的存在時間,背后有一些有趣的數學計算:最壞的情況分析顯示大約有兩周,而更實際的估計表明有數月。
如果檢查點太舊,理論上存在可以誘騙節點跟隨錯誤鏈的攻擊。此時,獲取弱主觀性檢查點就超出了協議的能力范圍。Helios的解決辦法是提供一個初始檢查點,將之硬編碼至代碼庫(很容易被覆蓋),它會在本地保存最新的最終區塊哈希,以便在節點同步時用作檢查點。
通過哈希操作,信標鏈區塊可方便地產生唯一的信標區塊哈希。如此便可輕松向節點查詢完整的信標區塊,然后通過對之進行哈希操作并與已知的區塊哈希進行比較,來證明區塊內容的有效性。Helios利用此屬性來獲取和驗證弱主觀性檢查點區塊內的某些字段,包括兩個至關重要的字段:當前同步委員會和下個同步委員會。最關鍵的是,輕客戶端可利用該機制快速檢閱區塊鏈歷史。
現在有了弱主觀性檢查點,我們可以獲取和驗證當前和下個同步委員會。如果當前的鏈頭和檢查點都在相同的同步委員會周期內,我們可以立即開始使用已簽名的同步委員會header來驗證新區塊。如果我們的檢查點排在若干同步委員會之后,則可以:
1.使用檢查點之后的下個同步委員會來獲取和驗證將在未來生成一個同步委員會的區塊。
2.使用此新區塊獲取下個同步委員會。
3.如果檢查點還在后面,返回步驟1。
通過上述流程,我們能以27小時為單位,快速檢閱該區塊鏈的歷史,從過去的任一區塊哈希開始,一直同步至當前的區塊哈希。
執行層輕客戶端的目標是將經過共識層驗證的信標區塊頭與不受信任的執行層RPC結合使用,提供經過驗證的執行層數據。然后便可通過Helios在本地托管的RPC服務器訪問此數據。
下面舉一個獲取帳戶余額的簡單例子,首先簡單介紹一下以太坊是如何存儲狀態的。每個帳戶包含若干字段,如合約代碼哈希、隨機數、存儲哈希和余額。這些帳戶存儲在一個經過調整的大型Merkle-Patricia樹中,稱為狀態樹。只要知道狀態樹的根,就可以驗證Merkle證明,來證明樹中是否存在任何帳戶。這一證明無法被偽造。
Helios有一個來自共識層的經過驗證的狀態根(state root)。通過對不受信任的執行層RPC應用這一狀態根和Merkle證明請求,Helios可在本地驗證所有存儲在以太坊的數據。
我們使用不同的技術來驗證執行層使用的各種數據,藉此,我們可以驗證來自不受信任的RPC的所有數據。不受信任的RPC可拒絕提供數據訪問,但再也不能提供錯誤的結果。
難以兼顧便捷性與去中心化是一個常見痛點,通過輕量級的Helios,用戶可從任何設備(包括手機和瀏覽器插件)訪問安全的鏈上數據。這將使更多人可以訪問無需信任的以太坊數據,不論使用什么硬件。用戶可以在MetaMask中將Helios作為他們的RPC提供商,以實現無需信任地訪問各種DApp,整個過程無需任何其他更改。
此外,Rust對WebAssembly的支持使應用開發人員可輕松將Helios嵌入Javascript應用程序(如錢包和DApp)中。這些集成將提升以太坊的安全性,減少我們對中心化基礎設施的信任需求。
我們迫不及待地想知道社區對此的反應。有眾多途徑可以為Helios做貢獻,除了為代碼庫添磚加瓦外,你也可以構建集成Helios的軟件,以利用其優勢。以下是讓我們興奮的幾點思路:
支持直接從P2P網絡、而非RPC獲取輕客戶端數據
部署一些缺失的RPC方法
構建可編譯至WebAssembly的Helios版本
將Helios直接集成至錢包軟件中
構建網絡儀表板來查看代幣余額,將Helios嵌入使用WebAssembly的網站中,以獲取數據
部署引擎API,將Helios共識層連接至現有執行層的全節點上
PANews
媒體專欄
閱讀更多
比推 Bitpush News
金色早8點
蜂巢Tech
Chainlink
Block unicorn
藍狐筆記
DeFi之道
半月談
鏈小6
移動支付網消息:7月16日,中國人民銀行在官網發布了《中國數字人民幣的研發進展白皮書》(以下簡稱“白皮書”),以闡明人民銀行在數字人民幣研發上的基本立場.
1900/1/1 0:00:00作者|霍學文,北京銀行黨委書記、董事長 發表于《中國金融》2022年9月增刊習近平總書記指出,數字經濟發展速度之快、輻射范圍之廣、影響程度之深前所未有.
1900/1/1 0:00:00區塊鏈技術為每個人解鎖了前所未有的可訪問性和流動性水平然而,仍有障礙需要處理,尤其是在虛擬世界領域——種族主義和虐待仍然猖獗更好的監管框架和更有效的 DAO 可能有助于解決這個問題區塊鏈技術和加.
1900/1/1 0:00:0011月10日,波場TRON創始人、Huobi Global全球顧問委員會委員孫宇晨通過個人推特賬號表示,會與FTX一起找到解決方案,讓事態朝著積極的方向發展.
1900/1/1 0:00:00由以太坊基金會主辦的、2022年以太坊社區最期待的盛事、第6屆以太坊開發者大會DEVCON VI于2022年10月11日至14日在哥倫比亞首都波哥大舉行.
1900/1/1 0:00:00▌伊朗比特幣倡導者Ziya Sadr被伊朗安全部隊逮捕金色財經報道,據多個消息來源稱,伊朗的比特幣倡導者Ziya Sadr上個月被伊朗安全部隊逮捕.
1900/1/1 0:00:00