運行節點要符合加密世界無處不在的精神:去信任,要驗證。
原文標題:《詳解區塊鏈節點:如何有效地運營自己的節點?》
撰文:SupraOracles
區塊鏈節點通過它們的連接、交互組成網絡,該網絡通過共識機制將新區塊添加到鏈上,本文將解釋如何有效地運營自己的區塊鏈節點。
01什么是區塊鏈節點?
在深入講解如何運行節點之前,我們有必要了解一下什么是區塊鏈節點。通常在計算機網絡中節點可以是計算機或任何涉及在計算機網絡內接收和發送數據的設備,因此在區塊鏈網絡中每個賬本參與者都是一個節點。
基于P2P網絡的原理,公有鏈技術本質上是去中心化跟開源的,在大多數網絡中,公有鏈沒有專用服務器,不是一個授權機構,依賴于用戶之間的共識。節點通常通過共享狀態信息、對其協議的治理進行投票以及驗證傳入交易的新塊來在網絡內進行通信。
安全團隊:Defrost Finance被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Defrost Finance預言機被惡意修改,并且添加了假的抵押token清算當前用戶,損失超1300萬美元。攻擊者通過setOracleAddress函數修改了預言機的地址,隨后使用joinAndMint函數鑄造了100,000,000個H20代幣給0x6f31地址,最后調用liquidate函數通過虛假的價格預言機獲取了大量的USDT。后續攻擊者通過跨鏈的方式將被盜資金轉移到了以太坊的0x4e22上,目前有490萬美元的DAI在0x4e22地址上,有500萬美元的DAI在0xfe71地址上,剩余300萬美元的ETH被轉移到了0x3517地址上。[2022/12/25 22:06:35]
來自不同地理位置的多樣化和分散的節點有助于建立一個更強大的共識機制。如果有足夠多的節點維護他們的區塊鏈賬本副本并繼續區塊生產,那么網絡可以無限期地運行下去。
Beosin:SEAMAN合約遭受漏洞攻擊簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,2022年11月29日,SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時,都會將SEAMAN代幣兌換為憑證代幣GVC,而SEAMAN代幣和GVC代幣分別處于兩個交易對,導致攻擊者可以利用該函數影響其中一個代幣的價格。
攻擊者首先通過50萬BUSD兌換為GVC代幣,接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣,此時會觸發合約將能使用的SEAMAN代幣兌換為GVC,兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD,接下來在BUSD-GVC交易對中將BUSD兌換為GVC,攻擊者通過多次調用transfer函數觸發_splitlpToken()函數,并且會將GVC分發給lpUser,會消耗BUSD-GVC交易對中GVC的數量,從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD,獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),將持續關注資金走向。[2022/11/29 21:10:04]
也正因此,由于每一個用戶對于整個網絡的安全性和完整性都至關重要,成為某個加密項目社區的一員不僅是件令人興奮的事,也是一種責任。
慢霧:Harmony Horizon bridge遭攻擊簡析:據慢霧安全團隊消息,Harmony Horizon bridge 遭到黑客攻擊。經慢霧 MistTrack 分析,攻擊者(0x0d0...D00)獲利超 1 億美元,包括 11 種 ERC20 代幣、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊鏈攻擊者將大部分代幣轉移到兩個新錢包地址,并將代幣兌換為 ETH,接著將 ETH 均轉回初始地址(0x0d0...D00),目前地址(0x0d0...D00)約 85,837 ETH 暫無轉移,同時,攻擊者在 BNB 鏈暫無資金轉移操作。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/6/24 1:28:30]
02如何運營區塊鏈節點?
通常來說,節點分兩種主要類型:一種是存儲完整賬本的全節點,這種節點通過驗證數據來保證區塊鏈上數據的安全性和正確性;另一種是輕節點(lightweightnode),即每個參與的用戶。每一個輕節點都需要連接到一個全節點,以便同步網絡的當前狀態并能夠參與運行。
慢霧:DEUS Finance 二次被黑簡析:據慢霧區情報,DEUS Finance DAO在4月28日遭受閃電貸攻擊,慢霧安全團隊以簡訊的形式將攻擊原理分享如下:
1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。
3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作,兌換出了9547716.9個的DEI,由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。
4.在進行Swap操作后,攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸,由于borrow函數中用isSolvent進行借貸檢查,而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。
5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC,獲利離場。
針對該事件,慢霧安全團隊給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/4/28 2:37:18]
首先,要部署區塊鏈節點,新節點運營商必須要達到硬件和軟件要求門檻,例如兼容的操作系統、足夠的可用磁盤空間、RAM內存和網速。接著,運營商需根據他們所期望的參與程度下載所需的核心軟件。
慢霧:Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報,9月12日,Avalanche上Zabu Finance項目遭受閃電貸攻擊,慢霧安全團隊進行分析后以簡訊的形式分享給大家參考:
1.攻擊者首先創建兩個攻擊合約,隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣,并將獲得的SPORE代幣抵押至ZABUFarm合約中,為后續獲取ZABU代幣獎勵做準備。
2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣,隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取),而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量,而不是記錄合約實際收到的代幣數量,但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。
3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷,從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的,因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。
4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵,隨后便對ZABU代幣進行了拋售。
此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的,此類問題導致的攻擊已經發生的多起,慢霧安全團隊建議:項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化,而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]
針對所有區塊鏈,你都可以在運行節點上配置所需的設備、內存要求和處理能力。市場上有門檻較低的鏈,但也有其他一些鏈因為網絡設計導致節點運行困難而昂貴。當然,昂貴的節點運行要求運營商的大量財務投入,可以在成本上篩掉一些試圖投機的惡意節點。
例如,比特幣的網絡允許用戶運行全節點或輕節點。對于比特幣全節點來說,必須下載存儲區塊鏈歷史記錄并保存在本地文件中,在撰寫本文時,其硬盤內存需超過380GB。
區塊鏈節點通過它們的連接、交互和在全節點的情況下共同組成網絡
再拿以太坊舉個例子,根據復雜程度不一,可運行的節點為:全節點、輕節點和存檔節點。
全節點更具獨立性,對自己的數字資產擁有更完整的主權,不像輕節點那樣需要依賴其他節點訪問區塊鏈。全節點可以連接到區塊鏈的主網絡,也可以在測試網或其他安全環境上運行,以測試和開發新軟件。
輕節點對沒有強大硬件或帶寬能力的用戶很友好,因為不需要下載以太坊的完整歷史、錢包余額或智能合約代碼。可以在手機或其他更小、功能更弱的設備上運行,但它們可以通過檢驗區塊頭的狀態根,從而驗證數據的有效性。
全節點對網絡負有更大的責任,需要更復雜的硬件和軟件,但他們的努力在金錢方面得到了更直接的回報。
就運營商資源而言,以太坊存檔節點可能是運行難度最高的節點之一。它們需要更多的硬件設備來運行,也需要使用大容量的RAM和磁盤空間。即便使用先進的設備,新的以太坊存檔節點同步也需要花費數周時間,如果使用速度較慢的HDD硬盤同步存檔節點,則該節點將無法實現完全同步,因為新塊生成的速度將超過這類計算機同步的速度。另外,如果客戶端的節點版本出現任何錯誤,則該節點需要重新同步。無形的時間消耗,增加了整個運營成本。
當然,為了防止節點脫機,運行節點時應該進行定期檢測,可以向兼容節點發送請求或從區塊鏈請求數據。不然的話,如果遇到節點崩潰的情況需要手動重啟設備,這很可能會之前通過驗證或挖掘新塊產生的收入都將丟失。
03節點運營的難點
節點運營商通常會有帶寬限制與硬件性能方面的問題。很多節點運營商會向互聯網提供商獲取無流量限制的服務,值得注意是要警惕網絡被其他不明原因占用的情況。在早期的比特幣網絡中,病簽名曾被上傳到區塊鏈,導致Windows用戶的病軟件檢測到病后仍遇到了問題。雖然用戶的設備并沒有受到感染,但他們運營節點的整體性能受到了損害。
為了解決技術以及操作門檻跟效率問題,許多區塊鏈節點運營服務公司應運而生。節點運營商部署必要的資本和資源來連接其基礎設施,并維護其與所需區塊鏈相關的功能。
區塊鏈服務提供商托管運行企業和其他實體的節點,為節點運營者提供諸多好處,降低了節點運營者的時間成本或專業知識要求。
根據每個客戶的需求,區塊鏈服務提供商可以達成對已集成公鏈的完全訪問,只要運營者滿足最低要求,包括在所需網絡上的最低投資。服務提供商則會承擔節點操作相關的繁瑣內容,讓客戶可以專注于他們本身的專業領域而不用在操作上耗費精力。
目前市場上比較流行的區塊鏈服務提供商有Blockdaemon、Infura、GetBlock、Alchemy、QuickNode、Figment等等。
04節點運營是否真的有利可圖?
啟動和維護節點有助于區塊鏈的去中心化。在某些網絡上,運行一個節點可以為運營商提供回報,因為該節點會因驗證新交易和參與產生新區塊的投票過程而獲得報酬。
但同時,區塊鏈節點運營也會消耗大量時間和資源,在投入和產出比上,對礦工或驗證者來說是有利可圖的。全節點的報酬豐厚,因為它們驗證區塊并存儲整個區塊鏈賬本,因此驗證節點可以產生可預期的收入。
盡管運行輕節點不會產生加密回報,但它仍然有助于增強用戶和其他節點之間的信任、安全和隱私。擁有自己的節點意味著您無需信任第三方網絡的狀態或提交給網絡進行驗證的交易的真實性。
為了更好地說明這一點,假設您是一家僅接受實物黃金作為服務付款交易站的所有者,現在您想驗證黃金是否是真實的并且確認具體的數量,您是會將其發送給檢查員網絡,還是安排在內部進行所有驗證?換句話說,運行你自己的節點符合加密世界無處不在的精神:去信任;要驗證。
文:AlecChen 前言 以太坊向權益證明網絡的“合并”(TheMerge)計劃于9月底在主網上線。其目標是大規模解鎖區塊鏈可訪問性.
1900/1/1 0:00:00金色財經報道,8月12日消息,Cosmos開發團隊informal發布了Cosmos跨鏈安全的鏈間安全代碼v0.1,該版本為鏈間安全代碼v1的預發布版本.
1900/1/1 0:00:00撰寫:EricHu 互聯網已經從根本上改變了社會、個體和經濟。作為開啟知識轉移的工具,它迎來了信息時代,成為實現應用、網絡和服務的基本平臺.
1900/1/1 0:00:00作者:Linda鄭鄭? 通過提案直接從成熟項目國庫中獲取大量資金的方式,是否會成為一種新的搞錢方式呢?知名項目的國庫是否會成為各個項目方或投機者眼中的肥肉呢?????近日.
1900/1/1 0:00:001.金色觀察|a16z:為什么說區塊鏈的性能難以衡量?我們需要一種更細致、徹底的方法來衡量和比較區塊鏈性能——應將性能分解為多個組件,并在多個軸上進行比較權衡.
1900/1/1 0:00:00金色財經報道,Web3.0數據基礎設施初創公司BlockVision宣布完成500萬美元種子輪融資.
1900/1/1 0:00:00