区块链真的去中心化吗?- Trail of Bits博客
Trail of Bits博客
区块链真的去中心化吗?
Trail of Bits
2022年6月21日
darpa, press-release, research-practice, blockchain
一份新的Trail of Bits研究报告审视了分布式账本中意外的中心化现象。
区块链可以以有用的方式推动当前技术的边界。然而,为了做出涉及激动人心和创新技术的良好风险决策,人们需要通过可复制方法和开放数据获得的可靠事实。
我们认为,区块链和加密货币的固有风险一直被描述得很差,并且经常被那些试图在这十年的淘金热中获利的人忽视——甚至嘲笑。
针对最近的市场动荡和价格暴跌,加密货币的支持者指出该技术的基本面是健全的。它们真的健全吗?
过去一年,Trail of Bits受国防高级研究计划局(DARPA)委托,审查区块链的基本属性及其相关的网络安全风险。DARPA希望了解这些安全假设,并确定区块链实际上在多大程度上是去中心化的。
为了回答DARPA的问题,Trail of Bits研究人员对先前的学术工作和从未被汇总过的真实世界发现进行了分析和元分析,在某些情况下用新数据更新了先前的研究。他们还做了新颖的工作,构建了新工具并进行了原创研究。
最终的报告是对当前已知区块链技术的一个高层概述。这些发现是否影响金融市场不在报告范围内:我们在Trail of Bits的工作完全是为了理解和减轻安全风险。
报告还包含大量支持性和分析性材料的链接。我们的发现是可复制的,我们的研究是开源且可自由分发的。所以你可以自己深入研究。
关键发现
区块链的不可变性可以通过颠覆区块链实现、网络和共识协议的属性来打破,而不是通过利用加密漏洞。我们显示,一部分参与者可以获得对整个系统不当的、中心化的控制:
- 虽然加密货币中使用的加密在所有意图和目的上都是安全的,但它并不像支持者所吹捧的那样保证安全。
- 比特币流量未加密;节点之间网络路由上的任何第三方(例如,互联网服务提供商、Wi-Fi接入点运营商或政府)都可以观察并选择丢弃他们希望的任何消息。
- Tor现在是比特币最大的网络提供商;大约55%的比特币节点只能通过Tor访问(截至2022年3月)。恶意的Tor出口节点可以修改或丢弃流量。
- 超过五分之一的比特币节点运行已知易受攻击的旧版本比特币核心客户端。
- 足以破坏区块链的实体数量相对较低:比特币为四个,以太坊为两个,大多数权益证明网络不到十几个。
- 当节点对网络有过时或不正确的视图时,这会降低执行标准51%攻击所需的哈希率百分比。在2021年上半年,对比特币进行51%攻击的实际成本更接近哈希率的49%——这可以通过网络延迟大幅降低。
- 为了使区块链最优分布,必须存在所谓的Sybil成本。目前,在没有采用中心化可信第三方(TTP)的情况下,还没有已知的方法在像比特币或以太坊这样的无许可区块链中实现Sybil成本。在发现没有TTP强制执行Sybil成本的机制之前,无许可区块链几乎不可能实现令人满意的去中心化。
报告中的新颖研究
- 对比特币共识网络和网络拓扑的分析
- 更新软件延迟对利用区块链所需哈希率影响的分析(我们没有设计理论,但我们将其应用于最新数据)
- 计算权益证明区块链的Nakamoto系数(再次,理论已知,但我们将其应用于最新数据)
- 软件中心性分析
- 以太坊智能合约相似性分析
- 挖矿池协议、软件和身份验证分析
- 结合支持我们论点的来源调查(学术和轶事),即区块链缺乏去中心化
本博客文章所指的研究由Trail of Bits进行,基于DARPA根据合同号HR001120C0084支持的工作(分发声明A,批准公开发布:分发无限制)。本材料中表达的任何意见、发现和结论或建议均为作者的观点,不一定反映美国政府或DARPA的观点。
如果你喜欢这篇文章,分享它:
Twitter LinkedIn GitHub Mastodon Hacker News
页面内容
关键发现
报告中的新颖研究
最近文章
使用Deptective调查你的依赖项
系好安全带,Buttercup,AIxCC的评分回合正在进行中!
使你的智能合约超越私钥风险成熟
Go解析器中意外的安全隐患
我们从审查Silence Laboratories的首批DKLs23库中学到了什么
© 2025 Trail of Bits。
使用Hugo和Mainroad主题生成。