在本文中,我们简要讨论了通常被认为仅次于PoS协议的黑云——的远程攻击。内容还包括两个当前或预期的解决方案:弱主观性和前向安全密钥。最后,我们在最后明确提出了自由选择的新规则,使得远程反击成本更高;这种终端的自由选择可以与现有的几种方案相结合,作为防止远程反击的附加措施。
本文是关于区块链协议及相关主题的系列文章之一。我们致力于创造高质量的区块链科技内容;关于当前技术水平的更全面的概述,请参考我们关于第2层方法、随机性、碎片化论文等的文章。(编者按:中文版结束)。
此外,请关注我们的推特或重新加入近协议频道,以防止错过内容修订。远程反击在PoW中,自由选择最长链的规则可以获得一个非常令人失望的属性:除非蓄意攻击者控制了整个网络高达50%的计算能力,否则他无法化败为胜。
但是PoS里没有这个功能。尤其是在区块制作者构建区块并取回质押令牌后,用于创建区块的密钥在很长一段时间内都没有价值;此时,攻击者可以尝试出售这些密钥,令牌金额几乎高于创建块时承诺的金额。与PoW不同的是,PoS没有强制块间延迟的机制,所以在出售密钥后,攻击者需要在几分钟内使用一个熟练的主链中的伪链,最后被自由选择规则拒绝。
防止上述问题的方法有两种:弱主观性拒绝定期检查整个网络节点最近的块,要求那些“重组太旧记录”的块。只要块被足够频繁地检查,使得身份包括在承诺的令牌被释放的时间段内的一次以上的检查,节点将有一天自由地选择攻击者创建的最长的链,因为对手出售的来自放置安全存款的检查者的私钥不能开始创建“太远”的块(因此节点不会拒绝接受这些块)。弱主观法的缺点是,虽然网络中长期不存在的节点会被攻击者忽悠,但对于第一次重新加入网络的节点,没有足够的信息来识别哪个链是重新创建的,因此新节点不会倾向于自由选择攻击者创建的较长的链。
为了防止这种情况,新节点必须以某种方式理解关于链下主链的科学知识,本质上就是拒绝他们在信任网络中自由选择一个主体。Forward-secure密钥的另一种方法是拒绝块创建者在短时间内或在块外之后立即密封他们用于构建块的密钥;每次构建块时都可以创建一个新的密钥对,或者可以通过一个前向安全密钥结构来完成,该结构允许在公钥一致的情况下转换私钥。这种方法依赖于节点的真诚和严格遵守协议。
因为一旦区块创建者告诉某人可能在未来某个时间点出售他们的密钥,密钥值就不为零,区块创建者就没有动力来密封密钥。且不说在某个时间点,不会有很大比例的块创建者不愿意更改自己的文件,移除私钥是不现实的;这个协议,依靠的是大部分参与者的真诚回应,和依靠大部分参与者的理性达成的协议没有什么区别。PoW建立在大部分参与者都是理性的,会发号施令的前提下,它在最后的自由选择规则和外部女巫的反击也依赖于这个假设。
我们在最后建议的自由选择规则是指右图:B区块在主链中有足够的前置位置,所以大部分(或全部)到位检验员在B生产的时候就已经投入了保证金。攻击者需要知道这些块的生产者,获得大约2/3的私钥。此时,由于密钥对于区块生产者已经毫无价值,攻击者可以以几乎高于实际区块质押的金额购买这些密钥。
由于PoS系统没有所谓的稀缺资源(PoW中缺乏计算能力),攻击者需要在极短的时间内创建一个熟练掌握主链的伪链。我们在最后一定要有一个自由选择的规则,这样用户(包括第一终端网络的用户)才会把攻击者创建的链当成主链——,不管攻击者构建的伪链有多长,有多少刻意的检查者背书他的签名。
本文最后建议的自由选择规则的步骤是:从创世纪块开始,对于每个块,通过以下规则自由选择其子块作为下一个合法块:1 .主链使用当前块后,拍摄状态快照。2.列出当前时刻持有人令牌的所有账户,做一个对照表(公钥持有人金额)。
3.对于每个候选子块,根据比较表,在子块及其相应的子树(子块后面的块)中找到已经签署了至少一个事务的公钥,并对其进行检查。4.(检查)计算已在每个候选子块及其相应子树中签署至少一个事务的公钥移动的令牌总量;自由选择令牌总数最少的子块作为合法的下一个块。
从图中的例子来看,当前块是B,候选子块是C1和C2;C1的子树是所有合规主链上的一个区块,而C2的子树是攻击者创建的。从块B的状态快照开始,计算已签署至少一个事务(包括令牌移动和质押令牌事务)的公钥移动的令牌总数作为主链的分数(C1);由攻击者创建的链(C2)的分数是以完全相同的方式计算的,但是由于没有纠错维护,C2及其子树中的所有事务都是由攻击者创建的。从块B的状态快照开始,假设在主链(C1)上,已签署一个或多个事务的公钥移动的令牌总量被计算为P;在攻击者创建的链(C2)上,只有攻击者购买的密钥没有创建事务。
如果这些公钥移动的令牌总量是Q,有一天qp会正式成立。如果攻击者创建的链期望获得更高的分数,则C2及其子树中的事务总量必须小于从B块状态快照计算的P,因此攻击者还必须获得帐户中总量小于(p-q)的密钥(并且这些密钥没有在主链C1及其子树中签署事务)(否则,这些信用被计为P)。但是攻击者此时很困惑,因为这些密钥持有者在主链中还没有开始任何交易,所以他们的账户在快照状态下还是有资金的,所以攻击者拿不到比快照状态下金额更高的这些密钥。
本文来源:开云app下载入口-www.advev.com
