欢迎大家来到 Beosin 出品的 “跨链桥安全研究” 系列文章,在上一篇文章里(跨链桥安全研究 (三) | 多边形战士 Polygon 安全透析,如何预防 “潘多拉魔盒” 的开启?),我们详细对 Polygon 跨链桥协议进行专业的技术分析。今天,Beosin 团队将 Polkadot 生态进行安全透析。
Polkadot 是一种异构多链的跨链技术,主要由中继链、平行链、转接桥构成。其中,平行链负责具体的业务场景实现,其允许并行处理交易,且每条平行链都有一个独特的状态转换函数(STF)。中继链则负责整个网络的共识验证,只要一条链的逻辑代码可以编译为 Wasm 并遵守 Relay Chain API,那么其就可以作为平行链被接入到 Polkadot 网络生态中。而转接桥负责连接 polkadot 生态和外部的独立区块链(如:以太坊等)。具体的系统架构如下图所示:
混合共识
Polkadot 整个网络的共识出块过程主要为:
平行链阶段:
收集人(Collator)会收集平行链上的交易打包生成候选区块,将其发送给该平行链的验证者。其中,候选块可能是无效的,它必须经过有效性检查才能被包含到中继链中。
中继链提交阶段:
验证者将通过平行链注册代码公开的验证函数对候选区块进行验证。如果验证成功,则该验证者将其传递给网络中的其他验证者继续进行验证。否则,将该候选块判定为无效块。当该候选块被超过一半的验证者验证通过时,验证者会生成一个包含:平行链 ID、收集人 ID 和签名、候选块执行前平行链的状态根、候选块执行后平行链的状态根等信息的候选收据,该收据最终会被包含在中继链的状态中。
- 可用性和不可用性子协议
- 二级 GRANDPA 批准有效性检查
- 调用拜占庭容错终结性小工具来巩固链条
在传统的 PoS 系统中,区块生成取决于代币的持有量而不是算力,质押的代币数量越多成为验证者的概率就越大,对区块链系统造成的影响也就越大。因此,必须采取一定的措施降低这种可能的中心化风险,而如果由专业的人员和设备来维护系统中验证者候选人的数量,会增加运营成本。所以针对拥有大量验证者的系统,则更倾向于在链下建立一个候选验证者池并从候选随机筛选出验证者,Polkadot 采用的验证者选择算法是 NPoS。
首先介绍一下共识算法中的概率确定性和可证明的确定性,一个运行 PoW 的中本聪区块链就只能实现概率确定性并达成最终的共识。其中,概率确定性是指在给定的区块后,我们可以根据其后连接的区块数量计算出其在最长链上的概率。
最终的共识指的是,在未来的某个时刻,所有节点都会就一组数据达成一致,但这种最终的共识可能需要很长时间,并且无法确定需要多少时间。但类似 GRANDPA(GHOST-based Recursive ANcestor Deriving Prefix Agreement)或以太坊的 Casper FFG 之类的确定性工具,可以为区块的确定性提供更强大的保证。并且在经过拜占庭协议一些过程后,可以形成不可逆的共识,称为可证明的确定性。
Polkadot 为了同时保证概率确定性和可证明的确定性,而采用了 BABE(Blind Assignment for Blockchain Extension)和 GRANDPA 算法相结合的混合共识算法。其中,BABE 算法负责区块的生成,GRANDPA 算法则负责区块链中区块的确定。
GRANDPA
GRANDPA 与其他拜占庭容错算法的不同之处在于,验证人是对区块链投票,而不是对区块投票,所以该算法每轮可以确定好几个最终区块。但与其他拜占庭算法一样复杂度为 O(n²),意味着如果节点增加一倍,系统中为了形成共识发送的消息将会增加四倍。Polkadot 将区块的生成和最终确定性分离,这种方式提高了整个共识系统的效率,提高了区块生成的效率(BABE 为 O(n)),并在一轮中可以最终确认链上的好几个区块。
GRANDPA 会选择验证人投票数最多且可以被认为是最终区块的最高区块号,以 Kusama 节点中的日志为例:
发现上一轮中,GRANDPA 最终确定了三个区块(664254 到 664256),这三个区块可能的情况如下:
上图中左侧深灰色方块是之前被最终确定的区块,右侧的灰色椭圆形代表验证人,验证人给新一轮候选区块投票,确定了其中三个候选区块。可以发现,使用 GRANDPA 算法确定的区块所在链可能包含分叉。
具体的算法过程为:
1、被指定为 “主节点” 的节点,将广播该轮可以被最终确定的最高候选区块;
2、每个验证人为自己认为的最高候选区块 “预投票”;
3、每个验证人将根据投票集,计算出最终确定的最高区块。如果预投票集延长了之前已经被最终确认的区块链,则所有验证人将该链进行 “预提交”;
4、所有验证人等待接收到足够数量的 “预提交”,在新确定的链上提交消息。
注意,GRANDPA 与其他拜占庭容错算法相比,主要区别为:在关键路径上没有视图的变化。尽管该算法每轮都会更新最高区块,但是视图更改是在异步网络下开启新一轮,因此在部分同步网络中,即使在未分配最高区块的情况下,协议也会不断更新。
BABE
BABE 是一种概率确定性的区块生成算法,该算法将时间划分为多个 epoch,每个 epoch 又分为多个 slot,最后选择一个或多个验证人在每个 solt 间隔创建区块。在 Polkadot 中,每个 slot 的持续时间为 6 秒,即 Polkadot 上的目标出块时间。
每个 solt 由可由验证随机函数 VRF(verifiable random function)生成一个主领导者,该函数将 epoch 随机种子、slot 编码和创建者的私钥作为输入,使得每个节点可以为每个 slot 生成唯一的伪随机值。如果存在低于某个指定阈值的 slot,则验证者有权在该 slot 中创建区块。这种方式安全性较高,但是容易出现某些 slot 没有领导者,而有些 slot 有多个主领导者的情况。
- slot 存在多个验证人:所有验证人都会产生一个候选区块并将其广播到网络,最先被网络中大部分节点接收到的区块获胜。
- slot 没有验证人:Polkadot 会在后台通过 round-robin 方法选择一个验证人,由其生成一个次级区块。因此,solt 必然存在一个区块,主要区块或者是次级区块。在临时性分叉的链中,既可能存在主要区块,也有次级区块。
分叉选择算法
当系统中存在分叉时,BABE 将在 GRANDPA 最终确定的链后继续出块,当最终确定的链上存在分叉时,BABE 将选择包含最主要区块的链。
如上图所示,黑色区块代表已经被 GRANDPA 最终确认的区块,黄色区块代表为完全的区块。其中,标记为 “1” 的块是主要块,标记为 “2” 的块是次级块。因此,即使最上面的链包含最多的区块也不会被选择,因为其包含的主要块最少。但是最后那条链即使包含最多主要块同样不会被选择,因为其没有在 GRANDPA 最终确定后的链上继续出块。最终被选择的链为倒数第二条,同时满足上述两个条件。
跨链消息传递
XCM
Polkadot 拥有三种类型的跨链消息传递协议:UMP、DMP 和 XCMP。
其中,UMP(向上消息传递)允许平行链将消息发送到区块链系统的中继链;DMP(向下消息传递)允许中继链将消息向下传递到其中一条平行链。而 XCMP 则允许平行链之间的消息传递。XCM 是一种消息格式用于上述三种跨链消息的传递。
不使用链上原生消息格式是因为,链之间缺乏兼容性,如果用户打算将消息发送到多个目的地系统,则需要针对每个目的系统编写合约。而且如果目的系统的智能合约升级,区块链可能会引入新功能或更改现有功能,并因此改变其交易格式。为了解决这些问题,Polkadot 使用 XCM 作为一种通用的消息格式。XCM 中包含的 “消息” 实际上只是在 XCVM 上运行的程序,该程序由一个或多个 XCM 指令构成。
跨链消息传递流程
下面以 Moonbeam 和 Polkadot 之间的资产传递为例,介绍生态中的跨链消息传递过程:
1、首先主要 DApp 以平行链的形式接入,此时中继链上的原生代币需要在平行链上注册;
2、Alice 通过一个 XCM 希望将其在 Polkadot 上一定数量的 DOT 转移到 Moonbeam 上的账户;
3、Polkadot 将执行 XCM 消息转移相同数量的 DOT 到 Moonbeam 在 Polkadot 上的账户上;
4、当上述资产被成功存入后,XCM 信息中的第二部分将被传送至 Moonbeam;
5、Moonbeam 将执行 XCM 包含的指令,在该链上铸造相同数量的 xcDOT(DOT 在 Moonbeam 上的映射币)。
资产转移
对于相互信任的链(即 Polkadot 中由同一整体共识和安全保护的平行链),可以使用 Teleporting 框架进行跨链资产转移。基本过程为:在发送方销毁资产,并在接收方铸造相应数量的资产。
WithdrawAsset:只有一个参数,类型为 MultiAssets,代表哪些资产必须从资产原产地登记册的所有权中撤出,但未指定放置资产的位置。其中,撤回和未使用的资产都被临时保存在持有登记册中,并未永久存储。
InitiateTeleport :代表中继链在执行指令时,将创建一个全新的 XCM 消息,并将其发送到目标链。
BuyExecution:使用 WithdrawAsset 提取的资产换取 XCM 指令的计算时间。Polkadot 社区中的大多数平行链为了避免 “垃圾交易” 和拒绝服务攻击,都会要求与之交互的用户支付一定的手续费。但是与以太坊交易模型不同,Polkadot 中的手续费并未被包含在协议中,但对于一些确实需要支付手续费得到系统,XCM 提供了使用资产购买执行资源的能力。主要包含以下三部分:
1 首先,需要提供部分资产 2 其次,必须协商资产交换获取到的计算时间(或权重)3 最后,执行 XCM 操作所以该函数包含以下两个参数:
1、fees:应从持有登记册中提取并用于支付费用的金额,这只是最大值,因为任何未使用的余额都会被立即返回。最终花费的金额由系统决定,该变量值只是限制它,如果解释系统需要为其所需的执行操作支付更多的费用,那么 BuyExecution 指令将导致错误。
2、weight:指定要购买的执行时间两,通常该值大于或等于 XCM 程序的总权重。
DepositAsset:
将剩余的资金存入持有登记册。实际上,扣除手续费后,我们不知道手上还剩余多少资产,可以在 assets 中使用通配符 All.into(),将剩余资产全部存入 beneficiary 标识的账户中,此处该值为 Parent.into(),代表中继链的位置。
在跨链桥系列文章中,主要介绍了 Nomad 和 Polygon 两大方案中的三种常见跨链桥项目类型,下面针对三个项目做个小结:
Nomad Bridge:
采用 optimistic-rollup 跨链技术,由 《深度 | Web3 世界的信任边界,跨链互操作性技术会影响区块链发展的未来吗?》可知,这种方式会在主链合约中维护一个状态树的根节点,如:Nomad 源码解析中提交新根时需要同时提交_oldRoot 和 newRoot,校验通过后才会更新 root 值。根节点的安全性是整个跨链桥系统的核心,文章中剖析的安全事件就在于初始化该值时存在漏洞造成了巨额损失。
Polygon PoS Bridge:
采用公证人方式进行跨链,由源码分析可知,跨链过程中重要的函数调用都是由验证者指定的特定角色进行,所以其安全性完全取决于 PoS 的验证者集合。对于这种类型的跨链桥,验证者节点的私钥安全就是整个系统的核心。经成都链安统计,2022 年上半年就发生四起因私钥泄露造成损失的跨链桥安全事件。
Polygon Plasma Bridge:
采用 Plasma 跨链技术,由 《深度 | Web3 世界的信任边界,跨链互操作性技术会影响区块链发展的未来吗?》可知,其链上并不会维护一个状态树根节点,除非用户可以提交欺诈证明,否则默认完全信任 Operator 提交的根节点,所以存在链下数据可用性问题。因此,通常需要将链下交易映射到链上进行处理,这种映射方式的安全性则是整个系统的核心。例如 Polygon Plasma Bridge 的双花漏洞中,withdraw 交易就会被映射为一个 NFT 退款凭证上链,但是由于 NFT 的 ID 生成算法存在漏洞,造成了一笔 withdraw 交易可以被映射生成为多个不同的 NFT,影响了数亿美元。
免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。本文内容仅用于信息分享,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。