POS共识区块链中的权益流损攻击
0x01 Absert
本文描述了一种在没有检查点(checkpointing)的情况下对权益证明(PoS)区块链的攻击,即权益流损攻击(Stake-bleeding Attack)。该攻击利用交易费用、“脱离上下文”的处理交易的能力、以及标准最长链规则来完全支配区块链。攻击行为随着诚实交易的数量和攻击者持有权益的增加而增加,并且可以由任何控制不变权益的攻击者发起。
根据目前区块链协议的统计概况,在经过了之前几年区块链操作的情况下可以发起攻击;因此,这在PoS协议的可行性范围之内。最重要的是,它证明了交易费用和报酬与PoS协议的安全性紧密相关。
0x02 Proof-of-Stake
权益证明(PoS)区块链协议被设想为解决基于工作量证明(PoW)的区块链系统中矿工节点巨大能源需求的解决方案。
PoS是在比特币论坛的讨论中提出的,并采纳了以下原则:生产新区块链区块的权利应授予权益相关者,其概率与他们当前的权益成正比,正如区块链本身所记录的那样。可以想象,这样的区块链可以在不消耗大量实际资源的情况下产生理想的分类账本属性:无需花费大量能源来运行该协议。这样的协议自然会以系统中权益诚实大多数的假设取代了哈希能力诚实大多数的假设。
目前有许多PoS协议,例如PPCoin和NXT。最近还开始严格地对PoS设置中的安全性进行分析,从而产生了具有正式保证的协议,例如Algorand,Ouroboros,Snow White 和Ouroboros Praos,将这些协议分为两类:
1)将某种形式的最长链规则应用于区块链的最终共识协议。在此设置中,块的不变性会随着在其顶部创建的块数而逐渐增强。
2)逐块BA协议,该协议通过完全执行拜占庭协议(BA)来实现每个单个块的不变性,然后再继续生产任何后续块。
在上面列出的PoS协议中,Algorand是逐块BA协议,而所有其他协议都旨在最终达成共识。
0x03 Long-Range Attack
所有这些协议都必须面对远程攻击的问题,额外的后期腐败(posterior corruption)表明,仅检查时间戳不足以应对远程攻击。实际上,攻击者可以尝试破坏在系统历史记录中某个时刻拥有大量权益的帐户相对应的秘钥。假设当前此类帐户所占的权益很小(甚至为零),那么它们极易受到行贿(或简单的失误),这会使他们的秘钥暴露给攻击者。有了这样的一组(当前低风险)密钥,攻击者可以进行远程攻击,在这种情况下,所产生的区块链在时域上的密度可能与诚实生成的公共区块链不可区分。
为了解决后期腐败和其他远程攻击,已采用了多种缓解方法(有时结合使用),可以将其分为三种类型:
(i)引入某种类型的频繁检查点机制,该机制通过为节点提供相对较新的块将节点引入系统。
(ii)使用密钥演化密码学(key-evolving cryptography),该技术要求用户演化其秘钥,以使即使在完全暴露其当前秘密状态的情况下也无法伪造过去的签名。
(iii)加强严格的链密度统计(strict chain density statistics),其中在协议的任何步骤的预期参与者数量是已知的;因此,表现出显著较小参与的被替代的协议执行历史可以立即被视为对抗性的。
在上述PoS方案中,所有最终共识协议(即NXT,PPCoin,Ouroboros,Snow White和Ouroboros Praos)均采用第一种缓解策略并采取某种形式的检查点。 Ouroboros Praos采用第一种和第二种方法(密钥演变签名)来额外处理自适应破坏,而Algorand则采用第二种和第三种方法(严格的链密度统计)达到相同的目的。
但是,这带有明显的模型限制:要使任何类型的检查点正常工作,节点必须要么经常在线(因此它们采用从网络作为活动参与者接收的最近检查点块),要么在接收到可靠(受信任)信息时长时间离线后(或首次加入时)引入(重新)引入系统。这相当于系统安全运行所必需的额外信任假设,因此在分布式,无许可的设置中显然是不希望的。
类似地,强制执行严格的链密度统计需要可靠地估计协议任何阶段的参与者数量,并且还存在模型限制:协议将无法在允许任意数量的参与方被执行的环境中运行。另一方面,密钥演化密码学是一种更具算法缓解力的模型,对模型的要求最低:节点应仅具有擦除私有状态的能力。只要有可能,算法缓解措施似乎显然比模型限制措施更可取。
远程攻击的系统化表示,它们的要求以及可以减轻它们的方式,如上图所示。如果取消检查点机制,权益流损攻击将对所有当前提出的最终共识PoS协议产生不利影响。因此,在将来从这些协议中删除不希望的检查点机制时,以及设计不依赖检查点的新的最终共识PoS协议时,都必须考虑到这一点。在交易中引入上下文制约性是一种简单的算法缓解机制,因此可以将其添加到PoS区块链协议的设计库中,以放宽模型假设,例如可忽略的交易费用或频繁的检查点。
0x04 The Computational Model
即使是在为区块链协议提供许多优势的计算模型中,也可以发起权益流损攻击。
•攻击者无需控制消息传递:攻击可以在完全同步的通信和计算环境中发起,所有消息(包括攻击者生成的消息)均通过可靠的广播传递。
•攻击者不需要动态腐败:攻击可以由在执行开始时确定的固定对抗方集合发起。
•攻击者不需要引入新的参与者或停用诚实参与者:攻击可以在静态的完全参与的参与者中进行。
下面概述了一个简单,强大的计算模型,反映了上述功能。采用如此强大的模型只会扩大攻击的适用性和强度,可以在典型的区块链模型中启动,从而为攻击者提供更大的力量。
a)时间,时隙和同步性:考虑一种将时间明确地划分为称为时隙的离散单元的设置;参与方配备了指示当前时段的同步时钟。该模型还允许可靠,同步的广播:各方可以在每个时隙的开头广泛广播一条消息,然后在该时隙结束时将消息可靠地传递给所有其他方。
b)对抗性腐败:该模型涉及固定的参与方U集合。模型中的攻击者A与固定的对抗性方子集相关联。将符号A以表示对抗方子集;诚实方集表示为H。诚实方始终处于活动状态,接收其他方发送的所有消息,并遵循所考虑的协议。攻击者在每个时段都被激活,并且可以任意指挥攻击者一方的行为。请注意,攻击者发送的消息会受到广播限制-它们会同步传递到所有诚实方。