1703865002
1703865003
如果所有节点都有真实身份的话,那么设计上会更加容易。有了真实身份,我们就能够以这样的方式发出协议指令,比如“编号最小的节点开始做某些动作”,在没有真实身份前提下,系统能设计的指令就受到很多限制,但设计真实身份最主要的考虑是安全上的便利。如果节点的身份可以被识别,就不能随便地制造新的节点身份出来。那样的话,我们就可以假设有恶意节点的数量,然后部署安全措施来防范。基于以上原因,缺少真实身份给比特币的共识协议带来很多难点。
1703865004
1703865005
我们可以做一个较弱的理论假设来弥补这个先天的不足。假设我们可以在系统里随意选一个节点,一个比较好的比喻是——就如同在彩票站,或是在任何一个难以辨别每个人身份的系统中,我们给每一位顾客发出彩票或是一个识别牌,之后我们就可以开始抽奖,与奖号对应的人就会中奖。现在我们想象一下在比特币的世界里,我们假设也可以做到这一点。我们再假设,这个彩票的印制过程与发放办法是足够聪明的,如果一个黑客想制造出许多女巫节点来,最后所有这些节点也只能拿到一张彩票。也就是说,这个黑客无法通过制造假的节点来增强他的力量。如果你觉得我们做的假设太多了,请不要担心,我们在以后会消除这些假设,并在后文会详细说明,在比特币系统中,与这些假设相对应的性质是如何实现的。
1703865006
1703865007
隐性共识
1703865008
1703865009
对随意节点选择的假设可以让“隐性共识”(inplicit consensus)成为可能。我们的共识协议有多个回合,每个回合都对应着区块链里的一个块。在每一个回合里,一个随机节点会被选中,然后这个节点可以提议这个链的下一个区块。这时没有共识算法,也没有任何投票过程来决定哪个区块会被选中,随机被选中的节点会直接决定区块链的下一个区块,但万一这个节点是恶意的呢?针对这个问题,还是有应对办法的,解决方法就是隐性共识。其他节点可以通过隐性地接受或是拒绝前面这个被随机选择出来的节点。如果接受,它们会在这个块之后接龙下去;如果拒绝,它们忽略这个新的区块,而是选择前一曾经接受的区块,来继续接龙下去。大家还记得,每一块都记录着前一块的哈希值。这就是节点选择在哪一块来继续接龙的技术处理方式:比特币共识算法(简化版)。
1703865010
1703865011
这个算法的简化假设是,可以随意选择一个节点,这些节点都不会受到女巫攻击的影响。
1703865012
1703865013
1.新的交易被广播到所有节点上。
1703865014
1703865015
2.每个节点都将新的交易放进一个区块。
1703865016
1703865017
3.在每个回合,一个随机的节点可以广播它的区块。
1703865018
1703865019
4.其他节点可以选择接受这个区块,前提是如果区块里的交易都是正当的(有真的签名)。
1703865020
1703865021
5.节点们可以把以上区块的哈希值放进自己的区块里,以此来表示它们对那个新区块的认可。
1703865022
1703865023
我们现在一起来研究一下为什么这样一个共识算法是有效的。为此,我们假设有一个叫爱丽丝的黑客,她想要破坏这个共识过程。
1703865024
1703865025
窃取比特币
1703865026
1703865027
爱丽丝能够窃取属于另一个用户,不受她控制的地址里的比特币吗?答案是否定的。即使这一轮是由爱丽丝提议区块链上的下一个区块,她也不可能窃取别人的比特币。这么做的话,爱丽丝需要发起一笔有效的交易来花掉这个比特币。这就要求爱丽丝伪造比特币拥有者的签名,然而如果数字签名机制是安全的,她是无法办到的。只要背后的密码学基础是牢靠的,她就无法轻易窃取比特币。
1703865028
1703865029
拒绝服务攻击
1703865030
1703865031
让我们来考虑另一种攻击。假设爱丽丝不喜欢叫鲍勃的某个用户,爱丽丝可以决定她不把鲍勃发起的任何交易放进她所提议的区块里。换言之,她拒绝提供服务给鲍勃。尽管这是爱丽丝可以开展的有效的攻击,但幸好这不过是个小问题。如果鲍勃的交易没有被放进爱丽丝所提议的下一个区块,鲍勃只要等到下一个诚实节点发起区块的时候,他的交易记录就会被放进这个区块里。所以这其实也不算是一个有效的攻击。
1703865032
1703865033
双重支付攻击
1703865034
1703865035
爱丽丝也可能会发起一个双重支付攻击。要理解爱丽丝如何发起这种攻击,我们可以假设爱丽丝是鲍勃开的网店或网站的一名顾客。鲍勃提供一些比特币付费的在线服务,比如软件下载。双重支付攻击是这样的:爱丽丝在鲍勃的网站选中一件商品并加入购物车中,此时服务器要求付款。然后,爱丽丝在她的地址上向鲍勃的地址发起了一笔比特币交易,并向整个网络广播这笔交易。我们假设由某个诚实节点来制造下一个区块,并把这笔交易放进这个区块中。因此,现在就有了一个由诚实节点发起,包含代表爱丽丝向商家鲍勃支付这笔交易在内的区块了。
1703865036
1703865037
我们还记得一个交易就是一个数据结构,里面有爱丽丝的数字签名,一个付给鲍勃的公钥(地址)的指令和一个哈希值。这个哈希值代表了一个指针,指向先前的一笔交易的输出,即爱丽丝之前收到并于现在消费比特币。这个指针必须指向一个已被共识链上的某个之前的区块所认可的交易。
1703865038
1703865039
顺便说一下,有两种容易混淆的不同类型的哈希指针。一种是在区块内用来表示接在之前哪个区块后面的哈希指针;另一种是在交易里的一个或多个,用来指向之前交易里说明比特币来源的哈希指针。
1703865040
1703865041
我们回到爱丽丝如何发起双重支付攻击这个问题。最新的一个区块由一个诚实节点产生,其中包含爱丽丝下载软件向鲍勃付费的交易记录。当看到这笔交易被放入区块链后,鲍勃认为爱丽丝已经向他付款,便允许爱丽丝下载软件。假设在下一个回合被随机选中的节点恰巧被爱丽丝所控制。现在因为爱丽丝可以提议下一个区块,她可以选择忽略掉前面那个包含她支付给鲍勃的那笔交易的区块,而产生一个包含指向之前区块指针的区块。不仅这样,在这个区块里,爱丽丝可以放进一笔交易,把她付给鲍勃的币转到一个被她所控制地址里去。这就是一个经典的双重支付攻击。因为这两个交易用的是同一个币,只有一个交易可以被放进区块链。所以如果爱丽丝成功地把币转到她控制的地址,那个她付币给鲍勃的交易记录将变得无效,因为它将不会被放进区块链里。这一过程详见图2.2。
1703865042
1703865043
1703865044
1703865045
1703865046
图2.2 双重支付攻击
1703865047
1703865048
注:爱丽丝创建了两笔交易:一笔是她付给鲍勃比特币的交易,另一笔是她将这笔比特币重复支付到她控制的另一个地址。因为这两笔交易用相同的比特币支付,所以只有一笔会被放进区块链。图中的箭头表示一个区块链接到前一个区块的指针,通过在前一个区块自己的内容中包含了一个哈希值进行了扩展。CA代表爱丽丝拥有的币。
1703865049
1703865050
那我们如何知道这个双重支付攻击是否能成功呢?这取决于最后哪个区块会被纳入长期的共识链,是爱丽丝转给鲍勃的区块,还是爱丽丝转给爱丽丝自己的区块。是什么决定了哪一个区块被纳入呢?诚实节点会遵守在最长有效分支后面延展这一规则,那到底在哪个分支后面延展呢?并没有明确的答案!目前来看,这两条分支长度一样,它们的区别是仅在于最后一个区块,并且这两个区块都是有效的。选择下一个区块的节点可以决定建立在其中一个区块上。这个选择就决定了双重支付攻击的成功与否。
1703865051