khách hàng ánh sáng Helios: thực hiện truy cập Ethereum không cần tin cậy
Vào ngày 8 tháng 11, một công ty đầu tư tiền điện tử đã ra mắt khách hàng ánh sáng Helios của Ethereum. Khách hàng này được viết bằng ngôn ngữ Rust, nhằm cung cấp truy cập Ethereum hoàn toàn không cần tin cậy.
Một trong những lợi thế lớn của blockchain là không cần phải tin tưởng. Thông qua công nghệ blockchain, chúng ta có thể tự chủ kiểm soát tài sản và dữ liệu của mình. Các blockchain như Ethereum thực sự đã thực hiện được lời hứa này trong hầu hết các trường hợp: tài sản của chúng ta thực sự thuộc về chính chúng ta.
Tuy nhiên, để thuận tiện, chúng tôi cũng đã thực hiện một số thỏa hiệp. Một trong số đó là việc sử dụng máy chủ RPC (gọi từ xa) tập trung. Người dùng thường truy cập Ethereum thông qua các nhà cung cấp tập trung. Những công ty này vận hành các nút hiệu suất cao trên máy chủ đám mây, giúp mọi người dễ dàng truy cập dữ liệu trên chuỗi. Khi ví kiểm tra số dư token hoặc kiểm tra xem giao dịch đang chờ có được đưa vào khối hay không, hầu như luôn sử dụng các nhà cung cấp tập trung này.
Vấn đề hiện tại của hệ thống là người dùng cần tin tưởng những nhà cung cấp này mà không thể xác minh kết quả truy vấn có đúng hay không.
Helios là một khách hàng ánh sáng Ethereum dựa trên Rust, có khả năng cung cấp truy cập Ethereum hoàn toàn không cần tin cậy. Nó sử dụng giao thức khách hàng ánh sáng được thúc đẩy sau khi Ethereum chuyển sang PoS để chuyển đổi dữ liệu từ các nhà cung cấp RPC tập trung không đáng tin cậy thành RPC cục bộ có thể xác minh an toàn. Kết hợp với RPC tập trung, Helios có thể xác minh tính xác thực của dữ liệu mà không cần chạy nút đầy đủ.
Khách hàng ánh sáng này có thể hoàn tất đồng bộ trong khoảng hai giây mà không cần lưu trữ, người dùng có thể truy cập dữ liệu trên chuỗi an toàn từ bất kỳ thiết bị nào (bao gồm cả điện thoại di động và tiện ích trình duyệt). Nhưng những rủi ro tiềm ẩn nào có thể có khi phụ thuộc vào cơ sở hạ tầng tập trung? Tiếp theo, chúng tôi sẽ khám phá những rủi ro này, giới thiệu thiết kế của Helios và cung cấp một số ý tưởng để giúp các nhà phát triển đóng góp cho kho mã.
Rủi ro tiềm ẩn của cơ sở hạ tầng tập trung
Trong hệ sinh thái Ethereum, có một phương thức tấn công lý thuyết. Cuộc tấn công này không tìm kiếm mục tiêu trong bộ nhớ giao dịch, mà là thiết lập bẫy thông qua việc mô phỏng cơ sở hạ tầng trung tâm mà chúng ta phụ thuộc. Nạn nhân không làm gì sai: họ chỉ đơn giản truy cập vào sàn giao dịch phi tập trung như mọi khi, thiết lập trượt hợp lý và thực hiện giao dịch token. Tuy nhiên, họ có thể gặp phải một loại tấn công sandwich mới, đó là một cái bẫy được thiết lập tinh vi tại nhà cung cấp RPC.
Để hiểu được loại tấn công này, chúng ta cần hiểu cách mà các sàn giao dịch phi tập trung xử lý giao dịch. Khi người dùng thực hiện việc trao đổi, họ sẽ cung cấp cho hợp đồng thông minh một vài tham số: mã thông báo muốn trao đổi, số tiền trao đổi, và điều quan trọng nhất, số lượng mã thông báo tối thiểu mà người dùng chấp nhận. Tham số cuối cùng chỉ định "sản lượng tối thiểu" mà giao dịch phải đạt được, nếu không giao dịch sẽ bị hủy bỏ. Điều này thường được gọi là "trượt giá", vì nó thiết lập hiệu quả chênh lệch giá tối đa có thể xảy ra từ lúc giao dịch được gửi đến mempool cho đến khi giao dịch được đưa vào khối.
Nếu nhà cung cấp RPC không cung cấp báo giá chính xác cho hợp đồng thông minh của sàn giao dịch phi tập trung, người dùng có thể bị dẫn dắt để ký giao dịch trao đổi với tham số đầu ra tối thiểu thấp hơn. Tệ hơn nữa, người dùng có thể gửi giao dịch trực tiếp cho nhà cung cấp RPC độc hại. Nhà cung cấp có thể không phát sóng giao dịch này tới bộ nhớ công cộng mà giữ lại một cách riêng tư và gửi gói giao dịch bị tấn công trực tiếp đến một dịch vụ cụ thể, từ đó thu lợi.
Nguyên nhân cơ bản gây ra cuộc tấn công này là tin tưởng người khác để giúp lấy trạng thái blockchain. Để giải quyết vấn đề này, người dùng có kinh nghiệm thường chạy nút Ethereum của riêng họ, nhưng điều này cần tốn nhiều thời gian và tài nguyên. Mặc dù việc chạy nút hiện nay đã được đơn giản hóa hơn so với trước đây, nhưng đối với hầu hết người dùng, đặc biệt là những người sử dụng thiết bị di động, vẫn còn rất khó khăn.
Cần lưu ý rằng mặc dù các cuộc tấn công từ nhà cung cấp RPC tập trung có thể xảy ra trong lý thuyết, nhưng thực tế vẫn chưa xảy ra. Hồ sơ trong quá khứ của các nhà cung cấp lớn là đáng tin cậy, nhưng vẫn là một ý tưởng khôn ngoan để thực hiện thêm một số nghiên cứu trước khi thêm các nhà cung cấp RPC không quen thuộc vào ví.
Helios: Truy cập Ethereum hoàn toàn không cần tin cậy
Sau khi Ethereum ra mắt giao thức khách hàng ánh sáng, đã mở ra những khả năng mới cho việc tương tác nhanh chóng với blockchain và xác thực các điểm cuối RPC với yêu cầu phần cứng tối thiểu. Trong một tháng sau The Merge, nhiều khách hàng ánh sáng độc lập đã lần lượt xuất hiện, mỗi cái có những đặc điểm riêng, nhưng mục tiêu thì nhất quán: đạt được truy cập hiệu quả mà không cần tin tưởng, và không cần sử dụng nút đầy đủ.
Helios là một khách hàng ánh sáng Ethereum, có thể hoàn thành đồng bộ trong khoảng hai giây, không cần lưu trữ và cung cấp quyền truy cập Ethereum hoàn toàn không cần tin tưởng. Giống như tất cả các khách hàng Ethereum khác, Helios bao gồm lớp thực thi và lớp đồng thuận. Nhưng khác với hầu hết các khách hàng khác, Helios kết hợp chặt chẽ hai lớp này, người dùng chỉ cần cài đặt và chạy một phần mềm duy nhất.
Cách hoạt động của Helios như sau: Lớp đồng thuận sử dụng một hàm băm khối chuỗi tín hiệu đã biết và kết nối một RPC không đáng tin cậy để đồng bộ hóa đến khối hiện tại theo cách có thể xác minh được. Lớp thực thi kết hợp các khối chuỗi tín hiệu đã được xác minh với RPC lớp thực thi không đáng tin cậy để xác minh thông tin khác nhau về trạng thái trên chuỗi, chẳng hạn như số dư tài khoản, lưu trữ hợp đồng, biên lai giao dịch và kết quả gọi hợp đồng thông minh. Các thành phần này phối hợp làm việc cùng nhau, cung cấp cho người dùng một RPC hoàn toàn không cần tin cậy mà không cần chạy nút đầy đủ.
Sử dụng Helios trong ứng dụng thực tế
Thông qua Helios nhẹ, người dùng có thể truy cập dữ liệu chuỗi an toàn từ bất kỳ thiết bị nào (bao gồm điện thoại di động và tiện ích mở rộng trình duyệt). Điều này sẽ cho phép nhiều người truy cập dữ liệu Ethereum mà không cần tin cậy, không bị giới hạn bởi phần cứng. Người dùng có thể sử dụng Helios làm nhà cung cấp RPC trong một số ví, để truy cập các ứng dụng phi tập trung một cách không cần tin cậy, toàn bộ quá trình không cần bất kỳ thay đổi nào khác.
Ngoài ra, hỗ trợ của Rust cho WebAssembly cho phép các nhà phát triển ứng dụng dễ dàng nhúng Helios vào các ứng dụng Javascript (như ví và ứng dụng phi tập trung). Những tích hợp này sẽ nâng cao tính bảo mật của Ethereum, giảm bớt nhu cầu tin tưởng vào cơ sở hạ tầng tập trung.
Cộng đồng có thể đóng góp cho Helios theo nhiều cách, ngoài việc xây dựng thêm cho kho mã, họ còn có thể tạo ra phần mềm tích hợp Helios. Một số ý tưởng thú vị bao gồm:
Hỗ trợ lấy dữ liệu khách hàng ánh sáng trực tiếp từ mạng P2P, không phải từ RPC
Triển khai một số phương thức RPC bị thiếu
Xây dựng phiên bản Helios có thể biên dịch sang WebAssembly
Tích hợp Helios trực tiếp vào phần mềm ví
Xây dựng bảng điều khiển mạng để xem số dư token, nhúng Helios vào trang web sử dụng WebAssembly để lấy dữ liệu
Triển khai API động cơ, kết nối lớp đồng thuận Helios với nút đầy đủ của lớp thực thi hiện có.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
15 thích
Phần thưởng
15
5
Đăng lại
Chia sẻ
Bình luận
0/400
just_another_fish
· 08-13 11:39
Rút lui khỏi trung tâm hóa
Xem bản gốcTrả lời0
AirdropHunter007
· 08-13 07:00
Cuối cùng tôi cũng có thể tự kiểm soát tiền bạc rồi~
Helios khách hàng ánh sáng: đồng bộ trong hai giây để thực hiện truy cập Ethereum không tin cậy
khách hàng ánh sáng Helios: thực hiện truy cập Ethereum không cần tin cậy
Vào ngày 8 tháng 11, một công ty đầu tư tiền điện tử đã ra mắt khách hàng ánh sáng Helios của Ethereum. Khách hàng này được viết bằng ngôn ngữ Rust, nhằm cung cấp truy cập Ethereum hoàn toàn không cần tin cậy.
Một trong những lợi thế lớn của blockchain là không cần phải tin tưởng. Thông qua công nghệ blockchain, chúng ta có thể tự chủ kiểm soát tài sản và dữ liệu của mình. Các blockchain như Ethereum thực sự đã thực hiện được lời hứa này trong hầu hết các trường hợp: tài sản của chúng ta thực sự thuộc về chính chúng ta.
Tuy nhiên, để thuận tiện, chúng tôi cũng đã thực hiện một số thỏa hiệp. Một trong số đó là việc sử dụng máy chủ RPC (gọi từ xa) tập trung. Người dùng thường truy cập Ethereum thông qua các nhà cung cấp tập trung. Những công ty này vận hành các nút hiệu suất cao trên máy chủ đám mây, giúp mọi người dễ dàng truy cập dữ liệu trên chuỗi. Khi ví kiểm tra số dư token hoặc kiểm tra xem giao dịch đang chờ có được đưa vào khối hay không, hầu như luôn sử dụng các nhà cung cấp tập trung này.
Vấn đề hiện tại của hệ thống là người dùng cần tin tưởng những nhà cung cấp này mà không thể xác minh kết quả truy vấn có đúng hay không.
Helios là một khách hàng ánh sáng Ethereum dựa trên Rust, có khả năng cung cấp truy cập Ethereum hoàn toàn không cần tin cậy. Nó sử dụng giao thức khách hàng ánh sáng được thúc đẩy sau khi Ethereum chuyển sang PoS để chuyển đổi dữ liệu từ các nhà cung cấp RPC tập trung không đáng tin cậy thành RPC cục bộ có thể xác minh an toàn. Kết hợp với RPC tập trung, Helios có thể xác minh tính xác thực của dữ liệu mà không cần chạy nút đầy đủ.
Khách hàng ánh sáng này có thể hoàn tất đồng bộ trong khoảng hai giây mà không cần lưu trữ, người dùng có thể truy cập dữ liệu trên chuỗi an toàn từ bất kỳ thiết bị nào (bao gồm cả điện thoại di động và tiện ích trình duyệt). Nhưng những rủi ro tiềm ẩn nào có thể có khi phụ thuộc vào cơ sở hạ tầng tập trung? Tiếp theo, chúng tôi sẽ khám phá những rủi ro này, giới thiệu thiết kế của Helios và cung cấp một số ý tưởng để giúp các nhà phát triển đóng góp cho kho mã.
Rủi ro tiềm ẩn của cơ sở hạ tầng tập trung
Trong hệ sinh thái Ethereum, có một phương thức tấn công lý thuyết. Cuộc tấn công này không tìm kiếm mục tiêu trong bộ nhớ giao dịch, mà là thiết lập bẫy thông qua việc mô phỏng cơ sở hạ tầng trung tâm mà chúng ta phụ thuộc. Nạn nhân không làm gì sai: họ chỉ đơn giản truy cập vào sàn giao dịch phi tập trung như mọi khi, thiết lập trượt hợp lý và thực hiện giao dịch token. Tuy nhiên, họ có thể gặp phải một loại tấn công sandwich mới, đó là một cái bẫy được thiết lập tinh vi tại nhà cung cấp RPC.
Để hiểu được loại tấn công này, chúng ta cần hiểu cách mà các sàn giao dịch phi tập trung xử lý giao dịch. Khi người dùng thực hiện việc trao đổi, họ sẽ cung cấp cho hợp đồng thông minh một vài tham số: mã thông báo muốn trao đổi, số tiền trao đổi, và điều quan trọng nhất, số lượng mã thông báo tối thiểu mà người dùng chấp nhận. Tham số cuối cùng chỉ định "sản lượng tối thiểu" mà giao dịch phải đạt được, nếu không giao dịch sẽ bị hủy bỏ. Điều này thường được gọi là "trượt giá", vì nó thiết lập hiệu quả chênh lệch giá tối đa có thể xảy ra từ lúc giao dịch được gửi đến mempool cho đến khi giao dịch được đưa vào khối.
Nếu nhà cung cấp RPC không cung cấp báo giá chính xác cho hợp đồng thông minh của sàn giao dịch phi tập trung, người dùng có thể bị dẫn dắt để ký giao dịch trao đổi với tham số đầu ra tối thiểu thấp hơn. Tệ hơn nữa, người dùng có thể gửi giao dịch trực tiếp cho nhà cung cấp RPC độc hại. Nhà cung cấp có thể không phát sóng giao dịch này tới bộ nhớ công cộng mà giữ lại một cách riêng tư và gửi gói giao dịch bị tấn công trực tiếp đến một dịch vụ cụ thể, từ đó thu lợi.
Nguyên nhân cơ bản gây ra cuộc tấn công này là tin tưởng người khác để giúp lấy trạng thái blockchain. Để giải quyết vấn đề này, người dùng có kinh nghiệm thường chạy nút Ethereum của riêng họ, nhưng điều này cần tốn nhiều thời gian và tài nguyên. Mặc dù việc chạy nút hiện nay đã được đơn giản hóa hơn so với trước đây, nhưng đối với hầu hết người dùng, đặc biệt là những người sử dụng thiết bị di động, vẫn còn rất khó khăn.
Cần lưu ý rằng mặc dù các cuộc tấn công từ nhà cung cấp RPC tập trung có thể xảy ra trong lý thuyết, nhưng thực tế vẫn chưa xảy ra. Hồ sơ trong quá khứ của các nhà cung cấp lớn là đáng tin cậy, nhưng vẫn là một ý tưởng khôn ngoan để thực hiện thêm một số nghiên cứu trước khi thêm các nhà cung cấp RPC không quen thuộc vào ví.
Helios: Truy cập Ethereum hoàn toàn không cần tin cậy
Sau khi Ethereum ra mắt giao thức khách hàng ánh sáng, đã mở ra những khả năng mới cho việc tương tác nhanh chóng với blockchain và xác thực các điểm cuối RPC với yêu cầu phần cứng tối thiểu. Trong một tháng sau The Merge, nhiều khách hàng ánh sáng độc lập đã lần lượt xuất hiện, mỗi cái có những đặc điểm riêng, nhưng mục tiêu thì nhất quán: đạt được truy cập hiệu quả mà không cần tin tưởng, và không cần sử dụng nút đầy đủ.
Helios là một khách hàng ánh sáng Ethereum, có thể hoàn thành đồng bộ trong khoảng hai giây, không cần lưu trữ và cung cấp quyền truy cập Ethereum hoàn toàn không cần tin tưởng. Giống như tất cả các khách hàng Ethereum khác, Helios bao gồm lớp thực thi và lớp đồng thuận. Nhưng khác với hầu hết các khách hàng khác, Helios kết hợp chặt chẽ hai lớp này, người dùng chỉ cần cài đặt và chạy một phần mềm duy nhất.
Cách hoạt động của Helios như sau: Lớp đồng thuận sử dụng một hàm băm khối chuỗi tín hiệu đã biết và kết nối một RPC không đáng tin cậy để đồng bộ hóa đến khối hiện tại theo cách có thể xác minh được. Lớp thực thi kết hợp các khối chuỗi tín hiệu đã được xác minh với RPC lớp thực thi không đáng tin cậy để xác minh thông tin khác nhau về trạng thái trên chuỗi, chẳng hạn như số dư tài khoản, lưu trữ hợp đồng, biên lai giao dịch và kết quả gọi hợp đồng thông minh. Các thành phần này phối hợp làm việc cùng nhau, cung cấp cho người dùng một RPC hoàn toàn không cần tin cậy mà không cần chạy nút đầy đủ.
Sử dụng Helios trong ứng dụng thực tế
Thông qua Helios nhẹ, người dùng có thể truy cập dữ liệu chuỗi an toàn từ bất kỳ thiết bị nào (bao gồm điện thoại di động và tiện ích mở rộng trình duyệt). Điều này sẽ cho phép nhiều người truy cập dữ liệu Ethereum mà không cần tin cậy, không bị giới hạn bởi phần cứng. Người dùng có thể sử dụng Helios làm nhà cung cấp RPC trong một số ví, để truy cập các ứng dụng phi tập trung một cách không cần tin cậy, toàn bộ quá trình không cần bất kỳ thay đổi nào khác.
Ngoài ra, hỗ trợ của Rust cho WebAssembly cho phép các nhà phát triển ứng dụng dễ dàng nhúng Helios vào các ứng dụng Javascript (như ví và ứng dụng phi tập trung). Những tích hợp này sẽ nâng cao tính bảo mật của Ethereum, giảm bớt nhu cầu tin tưởng vào cơ sở hạ tầng tập trung.
Cộng đồng có thể đóng góp cho Helios theo nhiều cách, ngoài việc xây dựng thêm cho kho mã, họ còn có thể tạo ra phần mềm tích hợp Helios. Một số ý tưởng thú vị bao gồm: