区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > KuCoin > 正文

VERS:Calibra首席研究员:LibraBFT算法尚存在安全与活性漏洞,Twins系统可尝试解决_Xpansion Game

作者:

时间:

写在前面:原文作者是LibraCalibra数字货币钱包项目的首席研究员DahliaMalkhi,在这篇文章中,她介绍了Calibra团队最新研发的Twins拜占庭容错系统检测方法,以用于检测LibraBFT算法的相关安全及活性漏洞。

以下是译文:

使用拜占庭容错算法设计分布式协议并非是一件易事。

BFT模型是一个分布式系统,其中故障节点可以任意的、完全无约束的方式运行。然而,当拜占庭节点的偏离行为不可检测时,它们很可能成功地破坏了BFT协议。也就是说,最强大的拜占庭攻击实际是来自内部:攻击者发送具有正确格式的消息,并且它们与其他节点的交互似乎也遵循了协议。

Animoca Brands:用户可通过注册Mocalist成员参与NFT项目Mocaverse:1月4日消息,Animoca Brands公布了其旗下NFT项目Mocaverse的完整资格标准和Mocalist注册活动。Mocalist旨在奖励Mocaverse和Animoca Brands的支持者和社区成员,将从Realm Ticket NFT的持有者中选出。Realm Ticket NFT则是可交易的ERC-1155代币,通过持有Animoca生态代币/NFT或成为社区贡献者的方式获得。每张Realm Ticket NFT都将被计为一次单独的Mocalist注册,获胜者将被添加到Mocalist并有权获得一次免费铸造和一次可选的付费铸造。[2023/1/4 9:51:53]

实际上,在对BFT协议的几种已知攻击中中,拜占庭节点以简单的方式偏离了正确的行为:它们表现为模棱两可、省略消息,以及删除内部状态变量等。

Localbitcoins 用户承认经营未经许可的加密业务或将面临5年监禁:金色财经报道,美国司法部 (DOJ) 对使用 Localbitcoins 和 Paxful 等服务在未经许可的情况下买卖加密货币的交易者采取行动。美国司法部称,来自西雅图市的Hien Ngoc Vo在德克萨斯州休斯顿经营着一家未经许可的加密货币业务。并使用Paxful和Localbitcoins买卖比特币,他通过收取 5-30% 的交易百分比从销售中获利。在交易过程中,Vo没有要求客户提供任何形式的身份证明,也没有要求他们购买加密货币的目的。

美国司法部表示,Vo将面临最高5年的联邦监狱监禁和最高 250,000美元的罚款。[2022/6/5 4:03:44]

Calibra的Twins解决方案

利用这种洞察力,Calibra开发了Twins,一种用于BFT测试的“重要”方法。

Acala基金会向Acala上首个流动性挖矿计划分配100万ACA:2月9日,官方消息,Acala基金会向Acala Kickoff Rewards计划分配100万ACA的流动性挖矿奖励。从UTC时间2月10日凌晨2:00开始,激励计划将应用于Acala Swap上选定的流动性对,并延长六个月,以包括更新的流动性对。激励计划为流动性提供者提供了从LCDOT/DOT、LCDOT/aUSD和ACA/aUSD开始的多个奖励池中获得ACA奖励的机会。Acala Swap是一种基于Acala的AMM风格的无需信任交易所。[2022/2/9 9:40:09]

Twins系统地生成有趣的拜占庭行为,这些行为可以被有效地枚举和测试,它放弃了对协议的无趣偏离,例如发送格式错误的消息或发送不合理的消息,而诚实的接收者很容易拒绝这些消息。

声音 | Calvin Ayre:BTC会归零唯一的问题是需要多长时间:策略师Bleeding Crypto发推称,从我最近的民意调查来看,到目前为止,919人中有21%的人认为我们将再次看到比特币达到1万美元。我会和River(@riverish333)一起做节目来谈论这种可能性。我很想听听别人的观点。AyreGroup、CoinGeek创始人Calvin Ayre评论称,BTC会归零,唯一的问题是需要多长时间。要么扩容要么死亡,情况就是如此,而BTC不能扩容。[2020/2/23]

最重要的是,没必要去开发攻击逻辑来使用Twins测试。节点执行未经修改的正确代码来攻击系统。Twins测试人员只是通过部署攻击节点的两个实例,而不是一个实例来“错误配置”系统。两个实例使用相同的标识,因此,对于系统的其余部分节点而言,“孪生”节点显示为单个“行为不正常”的节点。

声音 | Calvin Ayre:以太坊没有理由存在了:Coingeek创始人Calvin Ayre发推特称,以太坊既没有规模也不安全(经常被黑)。既然BSV拥有开源令牌、智能合约和足够的规模,而且是安全的,那么以太坊就没有理由存在了。同样的道理也适用于两个同样没有效用的假比特币。[2018/12/28]

关于有趣的拜占庭行为

为了演示如何覆盖有趣的拜占庭行为,让我们设计一个简单的服务:一个只有一个条目的键-值存储。我们希望键-值存储能够容忍n=3f+1台服务器中的f台拜占庭式服务器,这与解决共识所需的数量相同。

为了简化任务,我们将让客户端在请求更新存储值时签署更新。因此,拜占庭服务器将无法编造非法值,因为它无法伪造客户端的签名,但它可能会用过时的值响应查询,或者它根本不会响应。

存储协议:客户端更新存储值的协议有两个阶段:第一阶段,客户端为获取最新version在3f+1台服务器中查询2f+1台服务器。在第二阶段,客户端请求3f+1服务器中的2f+1台服务器,将存储值更新至versionv+1。

让我们看一个例子。假设有四台服务器{A,B,C,D},其中C是拜占庭式的。第一个客户端连接到网络,向{A,B,C}查询当前version(为0)。客户端存储version=1的第一个值,并从{A,B,C}接收确认。第二个客户端查询{B,C,D}以获得当前version。我们说C是拜占庭式的,它可能说谎并返回version0,隐藏version1。这样就是没问题的,因为B服务器会返回version1。

查询协议:现在我们需要处理服务器的查询问题。问题是,当客户端查询服务器时,它可能会捕获未完成的更新。例如,假设到目前为止,version2只写到{A,C}。查询{A,C,D}的客户端将从C获得包含version2的响应。但是,如果客户端查询{B,C,D},由于C是拜占庭式的,并且它可能会隐藏version2,则仅返回version1。更糟糕的是,C可能会来回切换,使用version2来响应某些客户端,而对其他客户端则保持隐藏状态。

为了解决这个问题,我们将在查询协议中使用两个阶段:第一阶段,客户端为当前version查询2f+1台服务器,第二阶段将最高的version写回给2f+1台服务器。这样,假设客户端查询{A,C,D},并返回version2。那它就将version2写回给2f+1台服务器,比如{A,C,D},从而保证version2的更新已经完成。

注:由于解决键-值存储一直不是我们的重点,我们掩盖了上面的某些细节。另外,作为补充说明,在n=3f+1的情况下,解决键-值存储问题不需要客户端签名,请参阅此处的示例解决方案。

有趣场景的系统生成

注意我们在设计键-值存储时所做的一些事情:

我们创建了一些简单的场景,每个场景都有少量的服务器和少量的交换步骤;

在每个交换步骤中,我们选择f台服务器来进行排除:第一个客户端从阶段1和阶段2中排除{D},第二个客户端从阶段1中排除{A},依此类推;

我们允许拜占庭服务器C返回到旧状态并用旧值响应;

将上述内容放入一个结构化的场景中,我们通过拜占庭式服务器创建了以下一系列的交换,分区和“内部状态遗忘”:

Exchange1:client-1phase-1with{A,B,C};

Exchange2:client-1phase-2with{A,B,C};

Exchange3:client-2phase-1with{B,C,D};

Exchange4(partial):client-2phase-2with{A,C}(andcrash);

Exchange5:client-3with{B,C,D},Chasitsinternalstateerased.

Twins系统地生成类似上面的场景,并通过拜占庭节点的孪生实例模拟遗忘等行为。重要的是,对于相当小的场景,Twins可以有效地枚举上述场景,以暴露协议漏洞。

总结

使用拜占庭容错算法设计分布式协议并不容易。数十年来,研究人员一直在努力应对令人担忧的安全与活性漏洞,在某些情况下,这些漏洞需要花上数十年的时间才能够被人发现。

Twins是一种新的BFT测试方法,它覆盖了很多拜占庭式攻击,关于该方案的具体设计,读者可以看原论文。

Twins:White-GloveApproachforBFTTesting:https://arxiv.org/pdf/2004.10617.pdf

标签:CALVERVERSION2044 Nuclear ApocalypseMaverick ProtocolMy PandaverseXpansion Game

KuCoin热门资讯
区块链:银行业toB端落地为什么那么难?区块链的出路在哪里?_ENT

自2017年区块链开始在国内火起来以后,大家一直在讨论一个话题,就是金融行业将是区块链技术最完美的落地场景,但是几年过去了,这条路走得很艰难,甚至现在都要停滞不前了.

WEB3:这些 Web 2.5 的前浪正涌向 Web 3.0 的后浪:社区、金融和数据产品_IPWeb

撰文:WendyXiaoSchadeck,就职于风险投资公司Northzone编译:孤鸟「Web3.0」这个词曾一度让我非常困惑,因为它暗示着我们全力在构建一个「升级版」的网络.

WEB3:中共中央党校官网刊文:区块链对政府管理变革最核心的价值在于保障数据安全_WEB

本文来源:中共中央党校官网,原文刊于《行政管理改革》2020年第4期,原文标题《区块链嵌入政府管理方式变革研究》,作者:刘炼箴杨东在将信息技术应用于政府管理的背景下.

比特币:长电攻击芯动讹诈 但多个矿机企业都说“被坑”_YFBTC价格

中国四大矿机企业之一的芯动与中国芯片封测龙头企业长电科技的纠纷还在持续。5月1日、2日,双方互发声明进行解释.

比特币:巴比特专栏 | 从交互的角度,理解资产数字化_STYL价格

一、资产数字化 随着央行DECP的试运行,资产数字化这个词好像又开始重新被媒体提起了,因为央行的DECP本质上是货币的数字化,除了货币的数字化之外,未来我们还会有证券的数字化、积分的数字化等等.

ING:比特币技术周报丨 PayJoin隐私协议得到启用,BTC交易可以匿名了?_ILCoin

注:本周的比特币技术周报,我们会介绍一个使用预签名交易创建的金库契约原型,然后是BTCPay启用的payjoin交易功能,以及关于一些流行比特币基础设施项目的最新变化.