@中本JJ
時間戳篡改:基於時間戳的Nakamoto式區塊鏈存在漏洞
抽象的
中本聰共識是加密貨幣系統中應用最廣泛的去中心化共識機制。自2008年提出以來,許多研究都提出了激勵攻擊,攻擊者試圖從中獲取高於其應得份額的利潤。
一個值得注意的例子是最近針對基於時間戳的 Nakamoto 共識機制(例如以太坊 1.x)的無風險叔叔製造者 (RUM) 攻擊。RUM 攻擊表明,擁有 25% 相對算力的攻擊者可以獲得 26.12% 的額外利潤份額。
我們的方法
本文對Nakamoto共識中的風險給出了更全面的定義。具體而言,在RUM中,風險指的是礦工預先選擇不同難度區塊時產生的The Block難度風險。也就是說,如果礦工選擇挖一個難度更高的區塊,單位時間內生成新區塊的概率就會降低。我們將這種風險稱為攻擊成本,即單位時間內區塊生成概率的降低。本文的關鍵發現是,攻擊成本無法完全反映基於時間戳的Nakamoto共識所面臨的攻擊風險,因為它僅定義了挖礦前的區塊生成成本。風險的另一個方面在於,挖礦後新生成的區塊可能會導致挖礦難度增加。隨著挖礦難度的持續上升,具有相同算力的誠實礦工單位時間內生成的區塊數量會逐漸減少。這樣一來,攻擊者的收益可能會降低。本文將挖礦後難度增加的風險稱為難度風險。基於難度風險的概念,我們發現 RUM 攻擊並非完全沒有風險,因為它存在難度風險。
本文提出了一種名為最小風險控制的方法。最小風險控制旨在精確校準The Block時間戳,以最大限度地降低長期難度增長風險。在最小風險控制的指導下,我們針對基於時間戳的Nakamoto共識機制提出了兩種新的激勵攻擊,分別稱為UUM攻擊和SUUM攻擊。這兩種攻擊均具有以下特點:
與現有方案相比,預期利潤顯著更高,而風險並未顯著增加。僅從攻擊成本的定義來看,我們的攻擊也是零成本的。
UUM
UUM攻擊作為RUM的擴展,放寬了RUM的攻擊觸發條件,並擴展了攻擊者的策略選擇範圍。因此,對於相對算力為25%的UUM攻擊者,預期獎勵份額可達28.41%。通過最小難度風險控制,我們證明了UUM攻擊是零成本的,並且難度風險保證嚴格小於0.18。儘管UUM的難度風險略高於RUM(0.07),但UUM的收益更高。
SUUM
我們進一步提出了UUM的一個非平凡擴展,稱為SUUM。SUUM能夠更精確地控制被扣留區塊的釋放時機。通過這種方式,算力為25%的SUUM攻擊者可以獲得33.30%的預期獎勵份額。我們還證明了SUUM攻擊無需任何成本,並且其難度風險嚴格小於0.21。
實驗與真實數據分析
我們通過仿真和鏈上數據分析驗證了我們的結果。在仿真中,我們使用了一個基於時間戳的Nakamoto風格區塊鏈的離散事件模擬器。我們的實驗結果與理論分析相符。
此外,我們還使用三種主流的ETH1.x 型區塊鏈進行了真實數據分析:以太坊 1.x(區塊高度 15505647–15535776)、Ethereum Classic(23232147–23242146)和以太坊 PoW(22905613–22915612)。由於以太坊 1.x 已於 2022 年 9 月遷移至權益證明(PoS)機制,因此已被棄用。我們在 2022 年 9 月收集了約 30,000 個區塊的數據。對於Ethereum Classic和以太坊 PoW,我們在 2025 年 10 月收集了 10,000 個區塊的數據。總計,我們收集了約 50,000 個區塊用於分析。我們的分析結果如下:
- 極有可能有四個礦池正在進行時間戳篡改攻擊,其中包括一個以太坊 1.x 礦池(0x829bd8…),一個以太坊 PoW 礦池(0x9205c2…),以及兩個Ethereum Classic池(0x406177… 和 0x35aa26…)。
- 所有四個礦池似乎都利用了時間戳篡改,這種方法類似於我們的最小難度風險控制機制。如圖 \ref{Exp}.(f)-(g) 所示,主鏈區塊的時間戳差異在特定時間間隔內呈現出突然的激增或缺失。我們的進一步分析表明,攻擊者很可能採用了類似於我們 SUUM 攻擊的策略。
