@中本JJ
时间戳篡改:基于时间戳的Nakamoto式区块链存在漏洞
抽象的
中本聪共识是加密货币系统中应用最广泛的去中心化共识机制。自2008年提出以来,许多研究都提出了激励攻击,攻击者试图从中获取高于其应得份额的利润。
一个值得注意的例子是最近针对基于时间戳的 Nakamoto 共识机制(例如以太坊 1.x)的无风险叔叔制造者 (RUM) 攻击。RUM 攻击表明,拥有 25% 相对算力的攻击者可以获得 26.12% 的额外利润份额。
我们的方法
本文对Nakamoto共识中的风险给出了更全面的定义。具体而言,在RUM中,风险指的是矿工预先选择不同难度区块时产生的The Block难度风险。也就是说,如果矿工选择挖一个难度更高的区块,单位时间内生成新区块的概率就会降低。我们将这种风险称为攻击成本,即单位时间内区块生成概率的降低。本文的关键发现是,攻击成本无法完全反映基于时间戳的Nakamoto共识所面临的攻击风险,因为它仅定义了挖矿前的区块生成成本。风险的另一个方面在于,挖矿后新生成的区块可能会导致挖矿难度增加。随着挖矿难度的持续上升,具有相同算力的诚实矿工单位时间内生成的区块数量会逐渐减少。这样一来,攻击者的收益可能会降低。本文将挖矿后难度增加的风险称为难度风险。基于难度风险的概念,我们发现 RUM 攻击并非完全没有风险,因为它存在难度风险。
本文提出了一种名为最小风险控制的方法。最小风险控制旨在精确校准The Block时间戳,以最大限度地降低长期难度增长风险。在最小风险控制的指导下,我们针对基于时间戳的Nakamoto共识机制提出了两种新的激励攻击,分别称为UUM攻击和SUUM攻击。这两种攻击均具有以下特点:
与现有方案相比,预期利润显著更高,而风险并未显著增加。仅从攻击成本的定义来看,我们的攻击也是零成本的。
UUM
UUM攻击作为RUM的扩展,放宽了RUM的攻击触发条件,并扩展了攻击者的策略选择范围。因此,对于相对算力为25%的UUM攻击者,预期奖励份额可达28.41%。通过最小难度风险控制,我们证明了UUM攻击是零成本的,并且难度风险保证严格小于0.18。尽管UUM的难度风险略高于RUM(0.07),但UUM的收益更高。
SUUM
我们进一步提出了UUM的一个非平凡扩展,称为SUUM。SUUM能够更精确地控制被扣留区块的释放时机。通过这种方式,算力为25%的SUUM攻击者可以获得33.30%的预期奖励份额。我们还证明了SUUM攻击无需任何成本,并且其难度风险严格小于0.21。
实验与真实数据分析
我们通过仿真和链上数据分析验证了我们的结果。在仿真中,我们使用了一个基于时间戳的Nakamoto风格区块链的离散事件模拟器。我们的实验结果与理论分析相符。
此外,我们还使用三种主流的ETH1.x 型区块链进行了真实数据分析:以太坊 1.x(区块高度 15505647–15535776)、Ethereum Classic(23232147–23242146)和以太坊 PoW(22905613–22915612)。由于以太坊 1.x 已于 2022 年 9 月迁移至权益证明(PoS)机制,因此已被弃用。我们在 2022 年 9 月收集了约 30,000 个区块的数据。对于Ethereum Classic和以太坊 PoW,我们在 2025 年 10 月收集了 10,000 个区块的数据。总计,我们收集了约 50,000 个区块用于分析。我们的分析结果如下:
- 极有可能有四个矿池正在进行时间戳篡改攻击,其中包括一个以太坊 1.x 矿池(0x829bd8…),一个以太坊 PoW 矿池(0x9205c2…),以及两个Ethereum Classic池(0x406177… 和 0x35aa26…)。
- 所有四个矿池似乎都利用了时间戳篡改,这种方法类似于我们的最小难度风险控制机制。如图 \ref{Exp}.(f)-(g) 所示,主链区块的时间戳差异在特定时间间隔内呈现出突然的激增或缺失。我们的进一步分析表明,攻击者很可能采用了类似于我们 SUUM 攻击的策略。
