USDT第三方支付

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

以太坊已经确认了以Rollup为中央的2.0路线图,这让Rollup成为了炙手可热的手艺,也可以说已经成为了layer2扩容的主流手艺。若是与零知识证实证实搭配起来,Rollup会是layer2手艺里解决方案的集大成者。

但正所谓“没有绝对平安的系统”,Rollup同样存在一定平安隐患,以太坊研究者论坛的开发者已经在讨论此事。1月20日,以太坊开发者「jchancehud」公布了关于虚拟Rollup攻击的讨论。

以下为关于虚拟Rollup攻击的讨论。经白设计团队整理,有所修改和批注。

Rollup的平安风险缘故原由

模拟Rollup攻击的基本原理是:只要虚拟状态有用,任何以太坊节点都可以向Optimistic Rollup协调员说谎。而协调员只有在实验发送买卖或切换以太坊供应商时(意味着同步全节点状态)才会发现这一点。

Optimistic Rollup是通过在以太坊网络上使用calldata存储块信息来举行。这各历程允许任何人操作以太坊节点并下载Rollup状态。但现实上,有些人不会操作他们自己的以太坊节点,而是依赖托管解决方案(例如Infura)。

需要验证有用性

若是要快速低成本地构建有用的Rollup链,需要做的是举行买卖、构建状态并将其存储在以太坊网络以外的其他位置。当Rollup协调员从以太坊节点吸收状态历史记录时,协调员可以通过重播状态买卖来确定数据是否有用。然而,协调员不能确定链上是否存在该状态,最好的设施是询问以太坊节点。

若是泛起人为攻击

若是想象一个名为Untrust的以太坊节点服务。Untrust为以太坊dapp提供了低成本的基础架构。若是他们选择不信托,则可以查看特定的Rollup并建立虚构的历史记录。他们甚至可以通过从某些真实买卖中提取通讯数据并将其与虚拟买卖夹杂来建立半虚拟历史。

这样,他们将建立一个完全差别的当前状态哈希,但只有在使用Untrust的Rollup运算符去(向链上)提交一个块的情形下,这才会被发现(这将是敲诈性的)。

这种类型的攻击并不是稀奇壮大。攻击者无法伪造署名,不能直接窃取资金,但可以在Rollup中说谎自己的流动。

想象一下,Untrust变得加倍庞大。他们决议攻击名为MoneyMover的Rollup。

当收到对MoneyMover地址的请求时,它们会从运行完全自力的以太坊网络的节点返回信息。在这个自力的以太坊网络中,Untrust镜像了大多数买卖(使账户余额看起来相似),并在需要时注入自己的(假)买卖。

现在说Untrust找到一个使用MoneyMoverRollup付款的网站。该网站运行自己的MoneyMover协调员,该协调员毗邻Untrust以接见以太坊网络。

Untrust可能会在其镜像网络中建立虚构的买卖,MoneyMover协调员将其解释为有用(只要状态买卖有用)。由于MoneyMover协调员未与任何对等方毗邻,因此确定链上存在的唯一方式是询问以太坊节点(在本例中为Untrust)。

Untrust在其镜像网络上举行了一次虚构的买卖,该网站运营的MoneyMover协调员将其检测为有用付款。Untrust现在无需付费即可接见该网站。网站只会在他们提交买卖或切换到其他以太坊供应商(即要与其他节点同步数据)时才发现这种虚构的付款。

现实可能泛起的风险

以上的攻击是仅当协调员未运行其自己的以太坊节点时,此攻击才有意义。有一些情形是有问题的:

1.协调员数据的下游使用者无法知道他们吸收的数据是否(在链上)存在,他们不能信托协调员正在使用的eth节点,由于使用者没有自己运行该节点。

2.敲诈证实者(去证实恶意买卖的一方)尤其容易受到这种攻击,由于它们仅在检测到敲诈行为时才会提交买卖。恶意的eth节点可能会从区块链数据中剥离无效买卖,并仅返回差别的状态哈希。敲诈证实者将无法得知状态哈希是虚构的,而且永远不会提交敲诈声明。

3.eth节点操作员向Rollup协调员说谎,以诱使他们要么提交无效的状态买卖,要么提交无效的敲诈声明。一旦发生这种情形,恶意的eth节点运营商就可以充当有用的买卖对手并网络抵押的资金。

解决方案1

在工作量证实链的靠山下,协调员可以请求块数据并检查其是否足够难题。检查当前难度的至少一半应该可以使大多数攻击由于财政问题无法实现。

在权益证实链中,这个历程变得不可行,由于恶意的eth节点可能会从未投票的地址提供署名。他们可以通过在查询时质押抵押金额来做到这一点。

,

Usdt第三方支付接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

解决方案2

一个不太优雅的解决方案是:对信誉优越的节点不停署名,并公布已存在于链上的Rollup状态哈希的列表。该列表可以在IPFS之类的服务上公布。协调员节点可以包罗一个已知的信誉优越的公共密钥的预设列表(Rollup建立者,EF等)。

若是泛起以下情形,协调员会知道Rollup数据是真实的:

1.所有状态买卖均有用。

2.所有状态散列均由信誉优越的泉源(节点)举行署名。

这将确保Rollup数据有用且非虚构,而且将允许Rollup节点使用任何以太坊节点来同步数据。

以上是「jchancehud」讨论的Rollup平安攻击的可能性。

主要是由于Rollup是链下状态,容易在许多状态里泛起信息同步不实时的情形,据「jchancehud」示意的,需要验证链下状态是否有用的一方需要同步其他以太坊全节点的数据才可以确认最终平安性,这意味着许多平台需要运行一个以太坊节点。

对于上文举出的虚拟攻击方式,以太坊的layer2解决方案团队SKALE Labs首席手艺官「Konstantin Kladko」示意,“这真的很有趣!我以为这表明,通过损坏Infrua,可以基本上损坏所有Rollup。”

固然,这是代表着那些通过Infura来与以太坊通讯的产物,Infura承担着很大的以太坊节点服务规模,此前也有关于Infura是否会是以太坊网络最大单点破绽的讨论。而对于这个单点平安风险,主要是以多节点负载平衡的方式处置,全力规避。

而对于「jchancehud」的讨论,最有趣的是开发者「adlerjohn」提出,这种虚拟的“攻击”似乎不仅适用于optimistic Rollup,而且还适用于zkRollup,现实上也适用于任何智能合约。

这一推论很可能是基于“只要存在信息不对称危险”的协作历程,就会面临「jchancehud」所说的攻击风险。

以是「adlerjohn」提出,在比特币的白皮书第8节,有若何验证信息对错的方式,即验证者确定最长链,信托最长链,这个方式形貌了一种众所周知的方案,这个该方案可用于防止Sybil节点提供虚伪信息,这样可以不要求大多数计算是老实的。

此外,「adlerjohn」提出,Rollup的状态根可以作为事宜发出,甚至可以存储在以太坊状态中,也可以举行伪造买卖的查询(例如比特币白皮书中第7节示意可通过验证区块头举行确认)。

另外,「adlerjohn」还提到了关于optimistic Rollup 方案中,还可以包罗名为“最小可行合并共识”的设计,该设计可以通过公布有序数据来实现数据可用性,可以让多个侧链、分片使用。

白设计注:最小可行合并共识的解读在如下链接

https://ethresear.ch/t/minimal-viable-merged-consensus/5617

但可以预见的是,使用「adlerjohn」提出的方式,是存在较大的设计难度的。

在讨论的最后,「jchancehud」回复「adlerjohn」示意,不能确定这种攻击展望是否适用于ZKRollup。但由于ZK证实更难天生,至少会加倍难题。若是Rollup被普遍接纳,那么这样思量Rollup尤其主要。

Rollup协调员可以在使用节点之前验证节点中的所有区块头,这是另一种潜在的解决方案,只管时间和带宽昂贵。但用户最好运行自己知道可以信托的eth 轻节点。若是已经解决验证问题,运行轻节点还可以查询事宜。

讨论在最后,我们会发现为了实现平安性、可扩展性、效率,这些方案按工程化的思绪是可以实验的,但实行历程一定是难题的,由于差别开发者的讨论思绪最后还要合成代码,以及包罗网络结构、客户端、语言、操作界面等多个挑战。

Allbet Gaming声明:该文看法仅代表作者自己,与本平台无关。转载请注明:usdt手机钱包(www.caibao.it):以太坊使用Rollup手艺的平安风险在那里?
发布评论

分享到:

usdt无需实名买卖(www.caibao.it):黑龙江一批雪糕棒半成品外包装检出阳性 雪糕泉源是那里
1 条回复
  1. 币游
    币游
    (2021-02-04 00:19:59) 1#

     别错过这个了

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。