GRAND:为什么Polkadot的GRANDPA协议不够安全？

本文将讨论Polkadot为解决拜占庭容错问题而提出的共识协议——GRANDPA协议。在本文中，我们默认读者已经熟悉拜占庭容错问题，所以我们将直接介绍Polkadot的GRANDPA协议是如何解决拜占庭容错问题的。首先，我们将简洁明了地介绍GRANDPA协议的主要内容。然后，我们将讨论可能导致GRANDPA协议失效的攻击方式。最后，我们会就如何解决上述安全漏洞，提出可能的解决方法。

概率确定性与可证明确定性

经由Casper FFG（Friendly Finality Gadget）协议启发，GRANDPA是一种新的、拜占庭容错的(BFT)、确定性工具的（Finality Gadget）共识协议。确定性工具（Finality Gadget）是一套经由一定提议机制而最终确定一条区块链上内容的机制。由“确定性工具”最终确认的链上内容，具有最终性，即不可逆。

泰国暹罗商业银行正开发数字泰铢应用程序:金色财经报道，暹罗商业银行(SCB)宣布一直在与Ayudhya银行(Krungsri)和2C2P泰国合作，为该国的数字泰铢开发央行数字货币应用程序。该举措是泰国央行零售CBDC试点的一部分，该试点与国内支付服务提供商在监管沙盒中运营，并将在整个夏季运行。

该应用程序结合了数字支付服务、KYC验证和充值程序。目前，它仅限于约10,000人的精选参与者群体，其中包括所有支付提供商的用户和商户，以及来自SCB集团的约3,000名员工。然而，泰国央行没有立即推出数字货币的计划。[2023/8/3 16:16:22]

正如Polkadot Wiki上所说：“那种运行纯粹中本聪式POW共识协议的区块链，只能达到概率确定性并完成最终共识。”与之相对，像GRANDPA或Casper FFG之类拥有确定性工具机制的协议，则可以为我们提供更强大的保证，称为可证明确定性。GRANDPA的确定性工具机制带来的可证明确定性，保证了经过一定共识机制运作之后，那些被最终确认的区块里的内容将永不可逆。

西雅图风投基金Pioneer Square Labs完成2000万美元募资，拟投资生成式AI市场:金色财经报道，西雅图风投基金Pioneer Square Labs宣布旗下创投工作室完成2000万美元募资，拟投资生成式AI市场，新资金将用于投资生成式AI市场。Pioneer Square Labs此前曾投资过加密行业，去年八月参投了去中心化通新平台Satellite约1050万美元的种子轮融资，但据其常务董事Greg Gottesman透露，最新募资可能不会用于加密货币或元宇宙市场投资，而是将专注于生成式AI领域，并称该技术可能会对未来每一项业务产生深远影响。[2023/5/19 15:13:40]

Polkadot的GRANDPA

Polkadot，是通过一个提名权益证明（NPoS）系统，将BABE用作其区块生成机制的（BABE，即著名的Blind Assignment for Blockchain Extension，即区块链扩展盲分配）。这个系统使用提名权益证明机制（NPoS），顾名思义，这个系统会通过一个提名过程选出验证者。在这个区块链系统中，为了从一个普通的参与者变成一个提名者，参与者需要先将其代币作为抵押品。这之后，这个升级为提名者的参与者，就可以提名他/她认可的节点作为验证者了。当被他/她提名的验证者偏离协议，他/她抵押的权益就将被削减，作为惩罚；相反，当被他/她提名的验证者遵守协议时，他/她也会获得报酬，作为奖励。另外值得一提的是，在这个区块链系统中，当选了的验证者在共识协议中的投票权是同等的。

美国白宫：SBF去年造访白宫主要是关于大流行病，也涉及加密相关的一般信息:1月4日消息，针对SBF在2022年期间四次访问美国白宫，白宫新闻秘书KarineJean-Pierre在周二的新闻发布会上回应，白宫官员与SBF之间的所有会议都主要集中在非营利性的大流行病防范计划上，不过，对话也可能涉及到加密行业和加密货币交易所的“一般信息”。

根据最近公开的白宫记录，SBF最近一次访问白宫是在2022年9月9日，主要是游说立法者通过数字商品消费者保护法(DCCPA)，以调整加密货币监管框架。（Decrypt）[2023/1/4 9:51:08]

有了GRANDPA（GHOST-based Recursive Ancestor Deriving Prefix Agreement）作为它的确定性工具机制，Polkadot的中继链包含两个不同的协议，分别对应两种不同类型的网络。我们要讨论的是第一个协议。这个协议对应的网络，是部分同步的，并且最多可以有1/3的参与者是恶意的。我们生活中遇到的网络，通常都是部分同步的。这是一个分布式系统的专业术语，简而言之，是指：网络在大多数情况下是同步的，当网络不同步时，经过一定时间，也会回到同步的状态（同步也是分布式系统的专业术语，这个可以暂时理解成日常用语里的“同步”）。

Solana联创：最新中断系错误配置的验证器混淆网络无法判断正确分叉导致:金色财经报道，Solana 联合创始人Anatoly Yakovenko在最新采访中解释了最近爆发的网络中断问题，他透露本次中断的一个原因是一个错误配置的验证器混淆了 Solana 网络，无法确定哪个分叉是正确的，最终导致网络停摆。Anatoly Yakovenko强调，Solana网络中断并不会将任何用户的资金或程序状态置于风险之中，因为 Solana 有 2,000 个不同的验证者和大约3,400 个不同的网络副本，因此如果发生严重故障，有大量备份可供选择。Anatoly Yakovenko声称，只要这些副本中的一个存活下来，就可以有效恢复整个网络。

自2020年推出以来，Solana区块链已经发生了五次重大中断，其中三次发生在2022年，每一次都是由于Solana代码或网络中的错误造成。Anatoly Yakovenko 认为，目前Solana的问题在很大程度上可以归结为人为错误，这仍然是人类编写的软件，Solana相当复杂。（decrypt）[2022/10/8 12:49:29]

关于GRANDPA，值得注意的是：1）只有被确定性工具机制最终确认的区块能影响区块的生成  2）可以同时为不同高度的多个区块投票，这与Casper FFG不同。

巴西加密货币交易所Mercado Bitcoin将扩展到墨西哥:7月22日消息，总部位于巴西的加密货币交易所 Mercado Bitcoin 最近透露，它将进军墨西哥市场，并于今年第二季度开始运营。Mercado Bitcoin 首席执行官 Reinaldo Rabelo 表示，该公司正在等待监管部门的批准，以便在墨西哥启动业务。扩张的具体细节尚不清楚，但 Rabelo 在 4 月份表示，购买加密货币交易所是进入新市场的一种更简单的方式，而不是经历建立新市场的严酷考验。[2022/7/22 2:32:02]

本文只讨论Polkadot的第一个协议。它专为部分同步网络设计，不能容忍网络分区或DoS攻击。另外值得注意的一点是，该协议假定在未知时间GST之后，网络变为同步。

每个参与者都存储一个由BABE产生的区块树，这个区块树的根区块是创世块。参与者可以对树上的一个区块投票。如果一个区块B获得X票，X票包括了B自己和B的子孙节点的所有票。然后，?-GHOST函数g（S）返回获得票仓S里绝对多数的区块中区块高度最大的那个区块，记作B。

然后，区块作者着手确定这个区块B在票仓S中获得绝对多数的可能性。GRANDPA协议的论文《Byzantine Finality Gadgets》这样定义：“我们说，如果至少有2t + 1张票是超额投票（即一个投票者投了多于一张票）或者投给了除B子孙区块的其他区块，那么区块B在票仓S中占据大多数是不可能的；否则，区块B在票仓S中获得绝对多数是可能的。”此外，论文还指出，“一个区块B在一个票仓S里获得绝对多数是可能的，当且仅当存在一个容错票仓T，T是票仓S的子集，并且区块B在票仓T中占绝对多数。”

这个协议在实践中会出现以下的几个问题：

如果我们假设区块B和C不一致，而t个恶意投票者加1个诚实投票者投票给了B，2t个诚实投票人投给了C，那么根据上述定义，B得到绝对多数是可能的。然而，因为诚实的投票人不会超额投票，所以票仓S里不总是有一个子票仓T使得T里有绝对多数。这就使得GRANDPA无法实现活跃性保证。接下来，我们将详细介绍这种情况。

假设我们保持相同的情况，以B和C作为在某个回合r中产生的两个子区块-也就是说，BABE在此回合经历一个分叉，并且结果产生了两个子块B和C。

在第r轮，t + 1个投票者（所有t个恶意投票者+ 1个诚实投票者）投票给B，其余2t诚实投票者投票给C。因此，对每个投票者i，我们的g（）函数都会从前一个回合的estimate，E_ {r-1，i} [ E_{r,v} 表示投票者v在r轮的一个estimate，这个estimate包含了所有本可以在r轮最终确定却实际上没有被最终确定的区块的信息，详见论文《Byzantine Finality Gadgets》] 中输出一个向B、C的一个祖块。相应地，每个参与者都预先承诺（pre-commit）该祖块。（值得注意的是，即使是网络上诚实的节点，也可能由于网络延迟或异步而出现这种分裂的投票结果。一个诚实节点可以首先接收到区块B，因此它投票给B。其他诚实节点首先接收到C，因此他们投票给C。）

现在，每个投票者i估计从第r-1轮的E_ {r-1，i}来的祖块可能是哪个块。由于C_ {r，i} [ C_ {r，i}表示参与者i在r轮收到的所有预先承诺（pre-commits）] 可能导致E_ {r，i}的任何子级得到多数投票，因此回合r无法完成，整个共识过程失败。

即使可以通过修正GRANDPA中的语义定义来解决此处讨论的问题，我们也可以类似地将在Tendermint协议的讨论中提到的那些攻击用于GRANDPA。最终，我们只能得出结论，GRANDPA协议在上述网络中不安全。

标签：GRANDANDRANADOThe Grand BanksIsland DogesTERRANDATADOGE

ICP热门资讯