区块链真的去中心化吗?深入解析安全隐患与集中化风险

本文基于Trail of Bits受DARPA委托进行的研究,揭示了区块链技术中存在的意外集中化风险。报告指出加密安全性不等于系统安全,比特币节点中超过20%运行易受攻击的旧版本,实际51%攻击成本远低于理论值,并分析了Tor网络占比特币流量55%带来的风险。

区块链是否去中心化?- Trail of Bits博客

研究背景

区块链技术能够以有用的方式推动当前技术的边界。然而,要做出涉及激动人心的创新技术的良好风险决策,人们需要通过可重复方法和开放数据获得的可靠事实。

我们认为区块链和加密货币的固有风险一直被描述不足,且经常被那些试图在这十年淘金热中获利的人忽视甚至嘲笑。针对近期的市场动荡和价格暴跌,加密货币支持者指出该技术的基本面是健全的。但事实真的如此吗?

过去一年中,Trail of Bits受国防高级研究计划局(DARPA)委托,研究区块链的基本属性及其相关的网络安全风险。DARPA希望了解这些安全假设,并确定区块链实际去中心化的程度。

研究方法

为回答DARPA的问题,Trail of Bits研究人员对先前的学术工作和从未被汇总过的真实世界发现进行了分析和元分析,在某些情况下用新数据更新了先前的研究。他们还进行了创新工作,构建了新工具并开展了原创研究。

最终报告是对当前区块链技术已知情况的宏观概述。这些发现是否会影响金融市场不在报告范围内:Trail of Bits的工作完全专注于理解和减轻安全风险。

报告还包含大量支持性分析材料的链接。我们的发现是可复现的,研究是开源且可自由分发的,因此您可以自行深入研究。

关键发现

  1. 区块链不可篡改性可能被破坏:不是通过利用加密漏洞,而是通过破坏区块链实现、网络和共识协议的属性。我们证明部分参与者可以获得对整个系统的过度集中控制:

  2. 加密安全性不等于系统安全:虽然加密货币中使用的加密在所有方面都是安全的,但它并不能像支持者吹捧的那样保证安全性。

  3. 比特币流量未加密:节点之间网络路由上的任何第三方(如互联网服务提供商、Wi-Fi接入点运营商或政府)都可以观察并选择丢弃他们希望的任何消息。

  4. Tor网络的主导地位:Tor现在是比特币最大的网络提供商;截至2022年3月,约55%的比特币节点只能通过Tor访问。恶意的Tor出口节点可以修改或丢弃流量。

  5. 过时软件的普遍存在:超过五分之一的比特币节点运行已知易受攻击的旧版本比特币核心客户端。

  6. 破坏区块链所需的实体数量相对较少:比特币只需4个,以太坊只需2个,大多数权益证明网络不到12个。

  7. 51%攻击实际成本降低:当节点对网络有过时或不正确的视图时,这会降低执行标准51%攻击所需的哈希率百分比。2021年上半年,对比特币进行51%攻击的实际成本接近哈希率的49%——这可以通过网络延迟大幅降低。

  8. Sybil成本问题:为了使区块链达到最佳分布,必须存在所谓的Sybil成本。目前没有已知的方法可以在无需使用集中化可信第三方(TTP)的情况下,在像比特币或以太坊这样的无许可区块链中实施Sybil成本。在发现无需TTP即可强制执行Sybil成本的机制之前,无许可区块链几乎不可能实现令人满意的去中心化。

报告中的新颖研究

  • 比特币共识网络和网络拓扑分析
  • 软件延迟对利用区块链所需哈希率影响的更新分析(我们未设计该理论,但将其应用于最新数据)
  • 权益证明区块链中中本系数的计算(同样,理论已知,但我们应用于最新数据)
  • 软件集中性分析
  • 以太坊智能合约相似性分析
  • 矿池协议、软件和身份验证分析
  • 结合支持我们论点的来源调查(学术性和经验性),证明区块链缺乏去中心化

资助声明

本博客文章所指的研究由Trail of Bits进行,基于DARPA根据合同号HR001120C0084支持的工作(分发声明A,批准公开发布:无限分发)。本材料中表达的任何意见、发现和结论或建议均为作者的观点,不一定反映美国政府或DARPA的观点。

如果您喜欢这篇文章,请分享: Twitter | LinkedIn | GitHub | Mastodon | Hacker News

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次