Uncle Maker: (Time)Stamping Out The Competition in Ethereum

目录

  • 笔记
  • 后续的研究方向
  • 摘要
  • 引言
    • 贡献
    • 攻击的简要概述

Uncle Maker: (Time)Stamping Out The Competition in Ethereum
CCS 2023

在这里插入图片描述

笔记

本文对以太坊 1 的共识机制进行了攻击,该机制允许矿工获得比诚实同行更高的挖矿奖励。这种名为“Uncle Maker”的攻击操纵区块时间戳和难度调整算法,使矿工在区块竞赛中占据优势。作者描述了攻击的几种变体,包括一种对矿工来说没有风险的变体。他们分析了来自以太坊区块链的数据,并提供了证据,证明一些矿工多年来一直在积极运行这种攻击的变体而没有被发现,这使其成为矿工操纵主要共识机制的第一个证据。作者还提出了具体的修复建议,并提供了一个实现,作为以太坊 1 最受欢迎的客户端 geth 的补丁。

大意:

  • 这种名为 Uncle Maker 的攻击操纵了以太坊 1 共识机制中的区块时间戳和难度调整算法。
  • 与诚实的同行相比,该攻击允许矿工获得更高的采矿奖励。
  • 描述了攻击的几种变体,包括无风险的攻击。
  • 来自以太坊区块链的数据提供了证据,表明一些矿工多年来一直在积极运行这种攻击的变体,而没有被发现。
  • 建议对以太坊 1 最受欢迎的客户端 geth 进行具体修复和补丁,以减轻攻击。

后续的研究方向

  1. 对其他矿池的进一步分析:调查其他矿池是否也在执行类似的攻击,或者不同矿池是否存在 Uncle Maker 攻击的变体。

  2. 研究攻击对整个网络的影响:分析 Uncle Maker 攻击对以太坊网络的影响,例如其对交易确认时间、网络拥塞和整体安全性的影响。

  3. 制定更强大的缓解策略:探索其他缓解技术来应对 Uncle Maker 攻击和其他类似攻击。这可能涉及对共识机制进行更改、改进分叉选择规则或实施可靠的时间戳机制。

  4. 调查其他攻击媒介:探索针对共识机制的其他潜在攻击媒介,例如时间戳操纵,并分析它们对不同加密货币的影响。

  5. 评估建议的 geth 补丁的有效性:评估以更自然的方式实施攻击的 geth 补丁的有效性。确定此实现是否降低了攻击的可检测性,以及它是否会产生任何意外后果。

  6. 探索时间戳操纵的影响:调查时间戳操纵在共识机制中的更广泛影响,包括它们在其他类型的攻击中的潜在用途以及它们对区块链系统的安全性和可信度的影响。

  7. 研究矿工的经济动机:分析矿工执行 Uncle Maker 攻击背后的经济动机以及它如何影响他们的盈利能力。考虑此类攻击对采矿生态系统的长期影响。

  8. 检查过渡到权益证明 (PoS) 的影响:评估过渡到 PoS 在缓解 Uncle Maker 攻击和其他与工作量证明相关的攻击方面的有效性。分析 PoS 共识机制对安全性和性能的影响。

  9. 研究时间戳操作在其他环境中的使用:探索时间戳操作在区块链以外的其他领域的潜在用途,例如分布式系统、共识协议或其他加密应用程序。

  10. 开发检测和预防机制:设计和实施工具和算法,以实时检测和防止时间戳操纵和其他类似攻击。这可能涉及使用机器学习、异常检测或加密技术。

摘要

我们提出并分析了对以太坊1共识机制的攻击,该机制允许矿工与诚实的同行相比获得更高的挖矿奖励。这种攻击是新颖的,因为它依赖于操纵块时间戳和难度调整算法(DAA),以便在发生块竞争时给矿工带来优势。我们称我们的攻击为制造叔叔,因为它会导致更高的叔叔拦截率。我们描述了攻击的几种变体。其中一个对矿工来说是无风险的。

我们的攻击不同于过去的攻击,如自私的采矿[30],这些攻击已被证明是有利可图的,但从未在实践中观察到:我们分析了以太坊区块链的数据,并表明以太坊的一些矿工多年来一直在积极运行这种攻击的变体,但没有被检测到,这是矿工操纵主要共识机制的第一个证据。我们提供了我们的证据,以及对攻击者以牺牲诚实矿工为代价获得的利润的估计。

由于几个区块链仍在运行以太坊1的协议,我们建议进行具体的修复,并将其作为geth的补丁来实现。

引言

比特币[56]和以太坊[11]等加密货币依靠精心设计的激励计划来鼓励挖矿,这在面对对手时保持了系统的完整性。因此,加密货币的激励机制是其安全性所固有的。的确在比特币之后出现的无数加密货币中,以及随后的学术文献中,提出并实施了对区块链奖励机制的许多更改。做出这些改变是为了确保矿工没有动机利用系统牟利[43,49,58]。

2022年9月15日,以太坊过渡到一种新的权益证明(PoS)机制,而不是工作证明(PoW)。我们提出了对后一种机制的激励驱动攻击,也称为以太坊1。当以太坊1仍然活跃时,该攻击被披露给了以太坊基金会(EF)。我们注意到以太坊1仍被加密货币使用,如以太坊经典[14]、以太坊PoW[60]和以太坊博览会[27]。这些显然在矿工中很受欢迎:截至2023年3月1日,他们的综合哈希率是整个以太坊1生态系统峰值哈希率的12.5%[55]。

在我们的攻击中,矿工更改自己区块的时间戳,以略微增加这些区块的挖掘难度。虽然这种难度的增加似乎适得其反,但事实上,如果区块链出现分叉,这些区块更有可能被选中。由于以太坊1中的共识机制有利于难度较高的区块链,因此以这种方式创建的区块在与难度较低的区块的区块竞赛中占主导地位。矿工可以利用这一事实创建区块,以赢得竞争对手同时创建的尚未看到的区块,或者更积极地替换竞争对手已经知道的区块。

这种攻击是新颖的,因为它依赖于时间戳操作和难度调整机制之间新的、未经探索的交互。它对矿工特别有吸引力,因为它总是比遵循协议设计者制定的“诚实”规则更有利可图,这意味着我们的攻击策略主导了诚实策略。

众所周知,以太坊共识(以及其他区块链机制)中存在激励漏洞,但在实践中尚未观察到。以太坊中的大多数经济操纵和攻击都集中在以太坊的应用层,例如利用智能合约中的漏洞、提前运行和利用套利机会[72,78]。

目前已知的其他时间戳攻击要么是高度理论化的,成功概率很低[5],要么是快速修复的有针对性的漏洞[74]。

通过对以太坊区块链数据的检查,我们提供了强有力的证据,证明我们讨论的一种攻击变体已经由矿工实施了大约两年的时间。在我们的研究结果早期公布后,以太坊当时第二大矿池F2Pool的联合创始人之一承认以这种方式操纵区块时间戳(见第5节)。据我们所知,这是首次在实践中观察到矿工对共识协议的这种操纵。

贡献

我们在PoW以太坊1上提出了一个攻击向量,它依赖于时间戳操作,而不是传统的操作,如阻止[30,62]。

我们描述了这种攻击的几种变体,包括一种风险较小的变体。与根据诚实协议进行采矿相比,这种变体保证至少能获得相同的绝对和相对利润,同时减少竞争对手的利润。

通过调查以太坊区块链,我们表明该攻击是在野外执行的,从而首次提供了主要加密货币中存在共识篡改的证据。

为了证明攻击向量的可行性,我们提供了一种攻击变体的实现,作为以太坊1最受欢迎的客户端Go Ethereum(geth)的补丁。

最后,我们提出了几种缓解技术,包括针对geth的补丁,它可以防止一种形式的攻击。

我们的贡献摘要见表1。
在这里插入图片描述

攻击的简要概述

如果区块开采过快,以太坊1的DAA会导致开采难度略有增加,如果区块开采太慢,则会导致开采困难略有下降。这是通过基于与其父块的时间戳的差异来改变当前正在挖掘的块的难度来实现的。难度以9秒的离散倍数变化(见等式(1))。

由于节点之间的时钟并不完全同步,时间戳本质上是“廉价的谈话”。它们可以由矿工根据需要设置,但仍然需要单调增长,而且不能太远。这允许区块创建者稍微改变区块的难度。这样的小变化并不会使挖掘变得更加困难,但会影响在挖掘相同高度的两个冲突块的情况下,哪些块节点选择扩展。选择难度较高的区块作为主链,如图1所示。

我们后来展示了F2Pool本质上是在操纵块时间戳,而不是挖掘时间戳是其父块之后9秒的倍数的块。这种形式的操作不是最优的,可以从区块链数据中发现,但每当F2Pool挖掘出冲突的区块时,它就占据了上风。这反过来又为他们提供了更高的区块奖励,并允许他们从冲突的区块中“抢夺”高费用交易。

在无风险制造者(RUM)攻击中,我们利用以太坊DAA中的这个漏洞来主动替换另一个矿工已经挖掘并发布的区块。只有当替换一个区块就像在上面诚实挖掘一样容易时,我们才会有选择地进行攻击。我们在第3节中对攻击进行了详细解释。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/206953.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

mysql数据库中int字段长度,即int(1)和int(10)的区别

1.起因 为什么想起来看这个问题,是最近有同事问mysql的init类型的字段长度的问题,他问int(1)和int(10)是什么意思,是字段长度越大,能存储的数字越大么?咋一问,还有点懵,从惯性思维来看&#xf…

React 中虚拟DOM是什么,为什么需要它?

注意:本节主要讲React中的虚拟DOM,但是虚拟DOM并不是React中特有的内容。 1. React 中虚拟 DOM是什么? 虚拟DOM是对真实DOM的描述,虚拟DOM是JS对象,实际上就是 JSX 通过 babel 转换成 React.createElement()&#xff…

来自OpenAI的官方解释:ChatGPT中的GPTs与Assistants API的区别是什么?有什么差异?

本文原文来自DataLearnerAI的官方网站: 来自OpenAI的官方解释:ChatGPT中的GPTs与Assistants API的区别是什么?有什么差异? | 数据学习者官方网站(Datalearner)https://www.datalearner.com/blog/1051701996595465 OpenAI发布的产…

图解算法数据结构-LeetBook-查找01_第一个只出现一次的字符

某套连招动作记作仅由小写字母组成的序列 arr,其中 arr[i] 第 i 个招式的名字。请返回第一个只出现一次的招式名称,如不存在请返回空格。 示例 1: 输入:arr “abbccdeff” 输出:‘a’ 示例 2: 输入&…

3D Web轻量引擎HOOPS Communicator如何实现对大模型的渲染支持?

除了读取轻松外,HOOPS Communicator对超大模型的支持效果也非常好,它可以支持30GB的包含70万个零件和3.5亿个三角面的Catia装配模型! 那么它是如何来实现对大模型的支持呢? 我们将从以下几个方面与大家分享:最低帧率…

python核心阶段(五)—— 面向对象三大特性

1.封装 概念:封装主要是指将一些属性和相关方法封装在一个对象中,对外隐藏内部具体实现细节 作用:1)使用起来更加方便,类似于提供了一个工具箱 2)保证数据的安全(设置私有属性) 3&am…

高精度加法,减法,乘法,除法(下)(C语言)

前言 上一篇博客我们分享了高精度加法,减法,这一期我将为大家讲解高精度乘法和高精度除法。那让我们开始吧! 对加法和减法感兴趣的话就点我 文章目录 1,乘法2,除法3,尾声 1,乘法 让我们想想我们平时做数学…

openpyxl读取Excel文件忽略单元格公式仅读取所显示的值

目录 前言解决方案先不加:看读取信息加上参数:看读取信息完整代码 前言 我们在读取Excel文件时,假如某行或者某列是利用公式生成的,但是我们在利用openpyxl进行读取时,发现读取到的是公式,而非显示的值 解…

[⑧ADRV902x]: Digital Pre-Distortion (DPD)学习笔记

前言 DPD 数字预失真技术,是一种用于抑制功率放大器非线性失真的方法。 它通过在信号输入功率放大器(PA)之前插入一个预失真模块,对输入信号进行适当的调制,以抵消功率放大器引起的非线性失真,使功率放大器…

Ubuntu 安装 CUDA 和 cuDNN 详细步骤

我的Linux系统背景: 系统和驱动都已安装。 系统是centos 8。查看自己操作系统的版本信息:cat /etc/issue或者是 cat /etc/lsb-release 用nvidia-smi可以看到显卡驱动和可支持的最高cuda版本,我的是12.2。驱动版本是535.129.03 首先&#…

[足式机器人]Part2 Dr. CAN学习笔记-数学基础Ch0-9阈值选取-机器视觉中应用正态分布和6-sigma

本文仅供学习使用 本文参考: B站:DR_CAN Dr. CAN学习笔记-数学基础Ch0-9阈值选取-机器视觉中应用正态分布和6-sigma 5M1E——造成产品质量波动的六因素 人 Man Manpower 机器 Machine 材料 Material 方法 Method 测量 Measurment 环境 Envrionment DMAI…

模块电源(六):前馈电容

一、前馈电容: 前馈电容是与电阻分压的顶部电阻 并联的"可选电容器" 二、计算及仿真: 1、计算 无前馈电容时,输出电压:;有前馈电容时,输出电压:,(其中,&am…

crmeb本地开发配置代理

crmeb 是一个开源的商城系统, v5 版本是一个前后端分离的项目, 我们从git仓库中下载下来的是一个文件夹,其结构是这样的 我的系统没有使用docker ,使用的是 laragon 的系统 所以首先我们要在 nginx 中配置 之后, 我们…

WebStorm:Mac/Win上强大的JavaScript开发工具

WebStorm是JetBrains公司开发的针对Mac和Windows系统的JavaScript开发工具。它为开发者提供了一站式的代码编辑、调试、测试和版本控制等功能,帮助你更高效地进行Web开发。新版本的WebStorm 2023在性能和用户体验方面都做出了重大改进,让你的JavaScript开…

为什么感染HPV的人越来越多?劲松中西医结合医院专家发表看法

近年来,HPV感染率在我国呈现上升趋势,引起了社会的广泛关注。HPV是一种人乳头瘤病毒,主要通过性接触传播,也是引起宫颈癌的主要原因之一。那么,为什么我国的HPV感染率如此高呢? 首先,我们需要了…

深度学习疲劳检测 驾驶行为检测 - python opencv cnn 计算机竞赛

文章目录 0 前言1 课题背景2 相关技术2.1 Dlib人脸识别库2.2 疲劳检测算法2.3 YOLOV5算法 3 效果展示3.1 眨眼3.2 打哈欠3.3 使用手机检测3.4 抽烟检测3.5 喝水检测 4 最后 0 前言 🔥 优质竞赛项目系列,今天要分享的是 🚩 **基于深度学习加…

远程服务器QEMU+Ubuntu+GRUB+VNC最佳实践

远程服务器QEMUUbuntuGRUBVNC最佳实践 1. 准备2. QEMU启动安装Ubuntu2.1 服务器端2.2 本地端 3. 从服务器终端控制虚拟机GRUB与虚拟机终端 这段时间参与大量内核切换测试工作,实体机需要硬件自检太过笨重,因此主要通过QEMU验证正确性。有一个很大的问题是…

JavaSE基础50题:11. 输出一个整数的每一位

概述 输出一个整数的每一位。 如:1234的每一位是4,3,2,1 。 个位:1234 % 10 4 十位:1234 / 10 123 123 % 10 3 百位:123 / 10 12 12 % 10 2 千位: 12 / 10 1 代码 ublic sta…

【小白专用】MySQL入门(详细总结)

3. 创建数据库 使用 create database 数据库名; 创建数据库。 create database MyDB_one; create database DBAliTest; 创建数据库成功后,数据库的数量变成了6个,多了刚才创建的 dbalitest 。 4. 创建数据库时设置字符编码 使用 create database 数据…

YouTube网红营销:出海品牌扩大影响力的关键

随着数字媒体的兴起,社交媒体已成为品牌与消费者之间建立联系的重要桥梁。其中,YouTube作为全球最大的视频分享平台,不仅拥有庞大的用户群体,还聚集了众多有影响力的网红。这些网红在各自的领域内拥有强大的话语权和号召力&#x…