作者:NEST爱好者_九章天问如果问我区块链上,有什么攻击是不可避免的,我会回答:堵塞攻击和51%攻击。51%攻击我们下次再谈,今天单论这堵塞攻击。所谓堵塞攻击,是用交易占据区块,使其他人的交易无法打包。有人把堵塞攻击比作区块链上的DDOS攻击:不是寻找系统漏洞,而是“合规”地占用资源,令系统停摆。二者确有相似之处,抽象出来:一是“合规”,即攻击是系统允许的;二是非漏洞,即任何系统都可能被攻击,再完美也一样;三是抢占资源,攻击者占用系统资源,其他人被动排除在外。仔细看这些特点,似乎并不是一个纯粹的技术问题,也不是一个单纯的安全问题。堵塞攻击是一个经济学问题,或者博弈问题。现以以太坊网络为例,我们先研究堵塞攻击的最佳逻辑,其次则研究对抗堵塞攻击的思路。
动态 | “影子银行”案被告Reginald Fowler对经营无牌汇款业务的指控认罪:金色财经报道,涉嫌为加密货币初创企业提供“影子银行”服务的Reginald Fowler已对经营无牌汇款业务的指控认罪。他承认涉嫌通过Crypto Capital为交易所提供银行服务。据悉,Crypto Capital是支付处理器,服务于Bitfinex、QuadrigaCX和CEX.io等交易所。[2020/1/18]
动态 | “与时共创”金色财经年度榜单投票超40万次:12月1日金色财经发起“与时共创”年度榜单,截止目前报名企业700余家,参与投票人数已超过35万人次,累计投票达40万票以上,日均投票超60000次,成为行业最具影响力评奖活动。
“与时共创”金色财经年度榜单面向政策支持、投资机构、技术底层、产业应用、服务机构等10多大项,细分到20多小项,覆盖行业方方面面。榜单的评选将根据专家评审团及大众的支持率来选出相应的企业上榜,奖励上榜企业在过去一年中于区块链业界出色成就,表彰其与时代共同进步的努力,实现赋能实体,创新引领未来的美好愿景。查看原文参与投票。[2019/12/6]
假设一个区块的gaslimit上限是1000万,最小的单笔交易是2万,则堵塞一个区块有两种方案:第一种是用大量高gasprice的小型交易区堵塞区块;第二种是用一笔高gasprice的大型交易来堵塞。比如gasprice都是1000,则两种方案计算出来的gas成本是一致的,这是从自己的立场出发计算的结果。但从矿工和竞争者的角度看,二者是有差异的。先说竞争者,即希望突破堵塞攻击的交易者。如果是小型交易,则竞争者完全可以通过一笔更高的gasprice,抢在攻击者之前打包,比如用2000的gaceprice去竞争,原则上一定排在诸多的gasprice为1000的小型交易前面;但对于一笔大型交易,由于矿工考虑最大化gas的组合,而不是最高gasprice的交易优先,则竞争者可能就被阻挡在外。这是因为,大型交易的总gas为1000万*1000,而包含小型交易的gas为2万*2000+其余交易,这里其余交易是备选的第三方交易,一般gasprice较低。在这两个交易组合里,理性的矿工会选择大型交易的组合,从而使竞争者即使出了更高的gasprice,由于其单笔交易的gas较低也会被排除在外。因此堵塞攻击从有效性来讲,高gasprice的大型交易更有优势。根据当前以太坊网络的交易情况,一个1000倍gasprice的大型交易的手续费为,1000w*1000=10ETH,以来堵塞一个区块,那么堵塞10分钟的成本在500ETH。如果外部激励足够大,堵塞1个小时也就是3000ETH,这很可能是值得的。注意到,1000倍gasprice只是基于一个统计数据的假设,并没有基于一个链上应用来分析。
动态 | “PayPal宣布退出Libra”登上微博热搜榜:“PayPal宣布退出Libra”登上微博热搜榜,现以719118的搜索热度排名第18位。此前,PayPal已正式宣布退出Libra协会。该公司表示,PayPal已决定不再进一步加入Libra协会,并将致力于继续推进该公司现有的使命和业务优先事项。[2019/10/5]
动态 | “2019深圳国际区块链应用大会”将于4月9日-10日举行:由工信部、 深圳市政府主办的“2019深圳国际区块链应用大会”将于4月9日、4月10日举行。该区块链大会将与“2019第七届中国电子信息博览会”同馆同时召开,为区块链技术在智能科技、物联网、人工智能等行业落地寻求广泛的合作。[2019/3/20]
考虑一个链上应用,比如DeFi,其经济性存在对区块的依赖,即在N个区块内,需要完成一笔交易,否则会造成X个ETH的损失。如果该应用不做任何设计的话,按照之前的假设,10*N个ETH的堵塞攻击即可造成X个ETH的损失。这里有几种情况:1.X个ETH的损失可以变成攻击者的收益,则当X>10N时,攻击便是一种完全理性的激励。2.X个ETH的损失并不能变成攻击者的收益,则此种情况和X<10N一样,便成为一种恶意行为:通过破坏该应用的有效性使得资产从该应用中流出。这两种情况应当分开考虑应对方案,但不管哪种情况,核心是如何使得堵塞攻击失效:总有一笔交易能够在临界条件触发前完成,这就是我们说的“一笔交易的胜利”。对于第一种情况,应用需要做两种设计:首先应当根据经济规模或某种异常条件提升N的大小,变成N1;其次提升完成一笔交易的激励收益:比如完成一笔交易的收益从a个ETH提升到b个ETH,其中b>a,并且b>10eth,即堵塞一个区块的成本变成bETH,总成本从10*NETH变成b*N1ETH,只要b*N1ETH>X,则攻击的外部激励失效。
苏州加快布局区块链产业 “链谷”将开放百个应用场景:据6月12日新华日报,苏州同济区块链研究院院长马小峰说:“未来三年,苏州链谷将开放100个应用场景,为创新创业提供更广阔的产业环境”,“作为全国第二大工业城市,苏州发展区块链有产业基础方面的优势,但也同样面临挑战。”苏州正加快布局区块链产业,抢占行业风口。去年,苏州高铁新城出台国内首个区块链产业发展扶持政策“苏九条”,发布国内首个开源区块链自主系统“梧桐链”,全力建设国内首个区块链技术试验场,打造国际化社区“链谷”。[2018/6/12]
对于第二种情况,应对恶意攻击的最好办法,即是安排一种停机机制,包含两种含义:其一是攻击造成的成本几何级数提升,使得攻击者无法达到目的,从而放弃攻击,比如NEST系统的beta系数设计,是目前区块链行业内第一个内置停机系统的设计,我们可以借鉴,比如让临界区块数N可以级数提升。其次,根据“一笔交易的胜利”难度自动调整应用的可执行性,当完成“一笔交易的胜利”变得非常紧迫时,可以让应用暂时不能执行,使得攻击者失去了攻击目标。这两种安排由于比较开放,需要更深入的边界条件的分类研究。当然,以上分析都是假设矿工是完全理性且只考虑打包的gas收益,不考虑可能的黑名单、自愿牺牲部分利益抵制堵塞攻击等行为,通过这些人性化的安排,也可以间接实现抗攻击的目的,但我们更倾向于在应用端进行设计。由于当前链上应用还在探索期,没有人认真思考过堵塞攻击的攻防,这对未来应用的发展十分不利,想想当年FOMO3D的结局,希望不要在DeFi行业发生。我们以此文提醒行业,小心堵塞攻击,在开发应用合约时,尽可能用各种巧妙的方案来争取“一笔交易的胜利”。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。