Ethereum khách hàng ánh sáng Helios: Lựa chọn mới cho quyền truy cập không tin cậy
Vào ngày 8 tháng 11, một khách hàng ánh sáng Ethereum mới có tên Helios đã ra mắt. Khách hàng này được phát triển trên ngôn ngữ Rust, nhằm cung cấp quyền truy cập Ethereum hoàn toàn không cần tin cậy.
Một trong những lợi thế lớn của blockchain là không cần phải tin tưởng. Thông qua công nghệ blockchain, người dùng có thể tự quản lý tài sản và dữ liệu của mình. Các blockchain như Ethereum đã thực sự thực hiện được cam kết này trong hầu hết các trường hợp, cho phép người dùng thực sự sở hữu tài sản của mình.
Tuy nhiên, để thuận tiện, người dùng thường phải đưa ra một số thỏa hiệp. Một trong số đó là sử dụng máy chủ RPC (gọi từ xa) tập trung. Người dùng thường truy cập Ethereum thông qua các nhà cung cấp tập trung. Những công ty này chạy các nút hiệu suất cao trên máy chủ đám mây, giúp người dùng dễ dàng lấy dữ liệu trên chuỗi. Khi ví kiểm tra số dư token hoặc kiểm tra xem giao dịch đang chờ có được đóng gói hay không, gần như luôn có sự trợ giúp từ những nhà cung cấp tập trung này.
Vấn đề hiện tại của hệ thống là người dùng cần phải tin tưởng vào những nhà cung cấp này, không thể xác minh kết quả truy vấn có đúng hay không.
Helios như một khách hàng ánh sáng Ethereum, có thể cung cấp quyền truy cập Ethereum hoàn toàn không cần tin cậy. Nó sử dụng giao thức khách hàng ánh sáng được thúc đẩy bởi việc Ethereum chuyển sang PoS, chuyển đổi dữ liệu từ các nhà cung cấp RPC tập trung không đáng tin cậy thành RPC cục bộ có thể kiểm chứng an toàn. Kết hợp với RPC tập trung, Helios có thể xác minh tính xác thực của dữ liệu mà không cần chạy nút đầy đủ.
Khách hàng ánh sáng này có thể hoàn thành đồng bộ trong khoảng hai giây mà không cần lưu trữ, người dùng có thể an toàn truy cập dữ liệu trên chuỗi thông qua bất kỳ thiết bị nào (bao gồm điện thoại và tiện ích mở rộng trình duyệt). Nhưng những rủi ro tiềm ẩn nào tồn tại khi phụ thuộc vào cơ sở hạ tầng tập trung? Bài viết này sẽ hệ thống lại những rủi ro này, giới thiệu thiết kế của Helios và cung cấp một số ý tưởng để giúp các nhà phát triển đóng góp cho kho mã.
Rủi ro tiềm ẩn của cơ sở hạ tầng tập trung
Về lý thuyết, một loại tấn công mới có thể ẩn mình trong hệ sinh thái Ethereum. Loại tấn công này không trực tiếp nhắm đến bộ nhớ giao dịch (Mempool), mà thay vào đó là thiết lập cạm bẫy thông qua việc mô phỏng cơ sở hạ tầng tập trung mà người dùng phụ thuộc vào. Người dùng bị tấn công không làm gì sai: họ chỉ đơn giản truy cập vào DEX như thường lệ, thiết lập độ trượt hợp lý và thực hiện giao dịch token. Tuy nhiên, họ có thể đối mặt với một loại tấn công sandwich mới, được bố trí một cách tinh vi tại lối vào của hệ sinh thái Ethereum - nhà cung cấp RPC.
Để hiểu về loại tấn công này, chúng ta cần hiểu cách DEX xử lý giao dịch. Khi người dùng thực hiện việc trao đổi token, họ sẽ cung cấp cho hợp đồng thông minh một số tham số: token muốn trao đổi, số tiền trao đổi, và quan trọng nhất, số lượng token tối thiểu mà người dùng sẵn sàng chấp nhận. Tham số cuối cùng này thiết lập "sản lượng tối thiểu" của giao dịch, nếu không đạt được giá trị này, giao dịch sẽ bị hủy. Điều này thường được gọi là "slippage", nó hiệu quả giới hạn sự biến động giá tối đa có thể xảy ra từ khi giao dịch được gửi cho đến khi được đóng gói.
Nếu mức trượt giá được thiết lập quá thấp, người dùng có thể chỉ nhận được một lượng token rất ít. Tình huống này cũng có thể dẫn đến cuộc tấn công sandwich, trong đó kẻ tấn công sẽ kẹp giao dịch của người dùng giữa hai giao dịch độc hại. Những giao dịch này sẽ đẩy giá giao ngay lên cao, buộc người dùng phải thực hiện giao dịch với mức giá không thuận lợi. Sau đó, kẻ tấn công sẽ ngay lập tức bán token, thu được một khoản lợi nhuận nhỏ.
Chỉ cần tham số đầu ra tối thiểu được đặt trong phạm vi hợp lý, người dùng sẽ không phải chịu tấn công sandwich. Nhưng nếu nhà cung cấp RPC không cung cấp báo giá chính xác cho hợp đồng thông minh DEX thì sao? Điều này có thể dẫn đến việc người dùng vô tình ký vào giao dịch hoán đổi bất lợi. Thậm chí tệ hơn, người dùng có thể gửi giao dịch trực tiếp cho nhà cung cấp RPC độc hại. Nhà cung cấp có thể không phát tán giao dịch đến bộ nhớ công cộng, mà giữ lại một cách riêng tư và gửi gói giao dịch bị tấn công trực tiếp đến dịch vụ cụ thể, từ đó thu lợi.
Nguyên nhân cơ bản gây ra cuộc tấn công này là sự tin tưởng vào người khác để lấy trạng thái blockchain. Để giải quyết vấn đề này, người dùng có kinh nghiệm thường chọn chạy nút Ethereum của riêng họ. Tuy nhiên, điều này đòi hỏi tốn rất nhiều thời gian và tài nguyên, ít nhất cần một thiết bị luôn trực tuyến, hàng trăm GB không gian lưu trữ, và khoảng một ngày để hoàn thành đồng bộ hóa ban đầu. Mặc dù một số đội ngũ đã nỗ lực đơn giản hóa quá trình này, nhưng đối với hầu hết người dùng, đặc biệt là người dùng thiết bị di động, việc chạy nút vẫn là một thách thức.
Cần lưu ý rằng, mặc dù việc tấn công nhà cung cấp RPC tập trung hoàn toàn có thể xảy ra về lý thuyết, nhưng hiện tại chưa có trường hợp thực tế nào. Mặc dù hồ sơ quá khứ của các nhà cung cấp lớn đáng tin cậy, nhưng việc nghiên cứu đầy đủ trước khi thêm các nhà cung cấp RPC không quen thuộc vào ví vẫn là điều khôn ngoan.
Helios: Giải pháp truy cập Ethereum không cần tin cậy
Sau khi Ethereum ra mắt giao thức khách hàng ánh sáng, đã mở ra những khả năng mới cho việc tương tác nhanh chóng với blockchain và xác thực các điểm cuối RPC với yêu cầu phần cứng tối thiểu. Trong vòng một tháng sau The Merge, nhiều dự án khách hàng ánh sáng độc lập đã ra đời, mỗi dự án áp dụng những phương pháp khác nhau, nhưng đều hướng tới cùng một mục tiêu: truy cập hiệu quả không cần tin tưởng, mà không cần sử dụng nút đầy đủ.
Helios là một khách hàng ánh sáng Ethereum, có thể hoàn thành đồng bộ trong khoảng hai giây, không cần lưu trữ và cung cấp truy cập Ethereum hoàn toàn không cần tin cậy. Giống như tất cả các khách hàng Ethereum khác, Helios bao gồm lớp thực thi và lớp đồng thuận. Nhưng khác với hầu hết các khách hàng khác, Helios kết hợp chặt chẽ hai lớp này, người dùng chỉ cần cài đặt và chạy một phần mềm duy nhất.
Cách hoạt động của Helios như sau: Layer đồng thuận sử dụng một băm khối chuỗi tín hiệu đã biết và kết nối với một RPC không đáng tin cậy để đồng bộ hóa đến khối hiện tại theo cách có thể xác minh. Layer thực thi sau đó kết hợp các khối chuỗi tín hiệu đã xác minh với RPC thực thi không đáng tin cậy để xác minh thông tin khác nhau về trạng thái trên chuỗi, chẳng hạn như số dư tài khoản, lưu trữ hợp đồng, biên lai giao dịch và kết quả gọi hợp đồng thông minh. Các thành phần này hoạt động cùng nhau để cung cấp cho người dùng một RPC hoàn toàn không cần tin cậy mà không cần chạy nút đầy đủ.
Ứng dụng thực tiễn của Helios
Helios như một khách hàng ánh sáng, cho phép người dùng truy cập dữ liệu chuỗi một cách an toàn từ bất kỳ thiết bị nào (bao gồm điện thoại và tiện ích mở rộng trình duyệt). Điều này sẽ cho phép nhiều người hơn có thể truy cập dữ liệu Ethereum mà không cần tin tưởng, không bị giới hạn bởi phần cứng. Người dùng có thể thiết lập Helios làm nhà cung cấp RPC trong ví của họ, để truy cập các DApp một cách không cần tin tưởng, toàn bộ quá trình không cần bất kỳ thay đổi nào khác.
Ngoài ra, sự hỗ trợ của Rust cho WebAssembly cho phép các nhà phát triển ứng dụng dễ dàng nhúng Helios vào các ứng dụng Javascript (như ví và DApp). Những tích hợp này sẽ nâng cao tính bảo mật của Ethereum và giảm sự phụ thuộc vào cơ sở hạ tầng tập trung.
Cộng đồng có thể đóng góp cho Helios theo nhiều cách, ngoài việc xây dựng mã nguồn, họ còn có thể phát triển phần mềm tích hợp Helios. Một số hướng tiềm năng bao gồm:
Hỗ trợ lấy dữ liệu khách hàng ánh sáng trực tiếp từ mạng P2P
Thực hiện các phương pháp RPC bị thiếu
Phát triển phiên bản Helios có thể biên dịch sang WebAssembly
Tích hợp Helios trực tiếp vào phần mềm ví
Xây dựng bảng điều khiển mạng để xem số dư token, nhúng Helios vào trang web sử dụng WebAssembly
Triển khai API động cơ, kết nối lớp đồng thuận Helios với nút đầy đủ của lớp thực thi hiện có.
Sự xuất hiện của Helios mang đến những khả năng mới cho hệ sinh thái Ethereum, nó hứa hẹn sẽ nâng cao tính tiện lợi cho người dùng khi truy cập dữ liệu blockchain trong khi vẫn đảm bảo tính an toàn. Với những đóng góp và cải tiến liên tục từ cộng đồng, Helios có thể trở thành một công cụ quan trọng thúc đẩy việc phi tập trung và phổ biến hơn nữa của Ethereum.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
19 thích
Phần thưởng
19
8
Chia sẻ
Bình luận
0/400
WhaleWatcher
· 13giờ trước
RPC trung tâm đã đến lúc phải điều chỉnh.
Xem bản gốcTrả lời0
DegenRecoveryGroup
· 16giờ trước
RPC tập trung thật sự rất phiền phức, đã có cứu cánh.
Xem bản gốcTrả lời0
GasFeeThunder
· 08-04 00:01
Khách hàng này chỉ thay lớp da, gas thì vẫn cao.
Xem bản gốcTrả lời0
ruggedNotShrugged
· 08-02 21:34
Rừng tối không có bạn bè thực sự
Xem bản gốcTrả lời0
LiquidityWizard
· 08-02 21:33
thực ra xác suất phân quyền rpc hiện tại là không có ý nghĩa thống kê...
Xem bản gốcTrả lời0
Blockwatcher9000
· 08-02 21:32
Tập trung hóa cũng có thể sử dụng tạm thời, nhưng không an toàn lắm.
Xem bản gốcTrả lời0
BlockchainFries
· 08-02 21:24
Cái quái gì đây, chẳng phải chỉ là một công trình bề ngoài sao?
Helios:革新 khách hàng ánh sáng truy cập không cần tin tưởng Ethereum
Ethereum khách hàng ánh sáng Helios: Lựa chọn mới cho quyền truy cập không tin cậy
Vào ngày 8 tháng 11, một khách hàng ánh sáng Ethereum mới có tên Helios đã ra mắt. Khách hàng này được phát triển trên ngôn ngữ Rust, nhằm cung cấp quyền truy cập Ethereum hoàn toàn không cần tin cậy.
Một trong những lợi thế lớn của blockchain là không cần phải tin tưởng. Thông qua công nghệ blockchain, người dùng có thể tự quản lý tài sản và dữ liệu của mình. Các blockchain như Ethereum đã thực sự thực hiện được cam kết này trong hầu hết các trường hợp, cho phép người dùng thực sự sở hữu tài sản của mình.
Tuy nhiên, để thuận tiện, người dùng thường phải đưa ra một số thỏa hiệp. Một trong số đó là sử dụng máy chủ RPC (gọi từ xa) tập trung. Người dùng thường truy cập Ethereum thông qua các nhà cung cấp tập trung. Những công ty này chạy các nút hiệu suất cao trên máy chủ đám mây, giúp người dùng dễ dàng lấy dữ liệu trên chuỗi. Khi ví kiểm tra số dư token hoặc kiểm tra xem giao dịch đang chờ có được đóng gói hay không, gần như luôn có sự trợ giúp từ những nhà cung cấp tập trung này.
Vấn đề hiện tại của hệ thống là người dùng cần phải tin tưởng vào những nhà cung cấp này, không thể xác minh kết quả truy vấn có đúng hay không.
Helios như một khách hàng ánh sáng Ethereum, có thể cung cấp quyền truy cập Ethereum hoàn toàn không cần tin cậy. Nó sử dụng giao thức khách hàng ánh sáng được thúc đẩy bởi việc Ethereum chuyển sang PoS, chuyển đổi dữ liệu từ các nhà cung cấp RPC tập trung không đáng tin cậy thành RPC cục bộ có thể kiểm chứng an toàn. Kết hợp với RPC tập trung, Helios có thể xác minh tính xác thực của dữ liệu mà không cần chạy nút đầy đủ.
Khách hàng ánh sáng này có thể hoàn thành đồng bộ trong khoảng hai giây mà không cần lưu trữ, người dùng có thể an toàn truy cập dữ liệu trên chuỗi thông qua bất kỳ thiết bị nào (bao gồm điện thoại và tiện ích mở rộng trình duyệt). Nhưng những rủi ro tiềm ẩn nào tồn tại khi phụ thuộc vào cơ sở hạ tầng tập trung? Bài viết này sẽ hệ thống lại những rủi ro này, giới thiệu thiết kế của Helios và cung cấp một số ý tưởng để giúp các nhà phát triển đóng góp cho kho mã.
Rủi ro tiềm ẩn của cơ sở hạ tầng tập trung
Về lý thuyết, một loại tấn công mới có thể ẩn mình trong hệ sinh thái Ethereum. Loại tấn công này không trực tiếp nhắm đến bộ nhớ giao dịch (Mempool), mà thay vào đó là thiết lập cạm bẫy thông qua việc mô phỏng cơ sở hạ tầng tập trung mà người dùng phụ thuộc vào. Người dùng bị tấn công không làm gì sai: họ chỉ đơn giản truy cập vào DEX như thường lệ, thiết lập độ trượt hợp lý và thực hiện giao dịch token. Tuy nhiên, họ có thể đối mặt với một loại tấn công sandwich mới, được bố trí một cách tinh vi tại lối vào của hệ sinh thái Ethereum - nhà cung cấp RPC.
Để hiểu về loại tấn công này, chúng ta cần hiểu cách DEX xử lý giao dịch. Khi người dùng thực hiện việc trao đổi token, họ sẽ cung cấp cho hợp đồng thông minh một số tham số: token muốn trao đổi, số tiền trao đổi, và quan trọng nhất, số lượng token tối thiểu mà người dùng sẵn sàng chấp nhận. Tham số cuối cùng này thiết lập "sản lượng tối thiểu" của giao dịch, nếu không đạt được giá trị này, giao dịch sẽ bị hủy. Điều này thường được gọi là "slippage", nó hiệu quả giới hạn sự biến động giá tối đa có thể xảy ra từ khi giao dịch được gửi cho đến khi được đóng gói.
Nếu mức trượt giá được thiết lập quá thấp, người dùng có thể chỉ nhận được một lượng token rất ít. Tình huống này cũng có thể dẫn đến cuộc tấn công sandwich, trong đó kẻ tấn công sẽ kẹp giao dịch của người dùng giữa hai giao dịch độc hại. Những giao dịch này sẽ đẩy giá giao ngay lên cao, buộc người dùng phải thực hiện giao dịch với mức giá không thuận lợi. Sau đó, kẻ tấn công sẽ ngay lập tức bán token, thu được một khoản lợi nhuận nhỏ.
Chỉ cần tham số đầu ra tối thiểu được đặt trong phạm vi hợp lý, người dùng sẽ không phải chịu tấn công sandwich. Nhưng nếu nhà cung cấp RPC không cung cấp báo giá chính xác cho hợp đồng thông minh DEX thì sao? Điều này có thể dẫn đến việc người dùng vô tình ký vào giao dịch hoán đổi bất lợi. Thậm chí tệ hơn, người dùng có thể gửi giao dịch trực tiếp cho nhà cung cấp RPC độc hại. Nhà cung cấp có thể không phát tán giao dịch đến bộ nhớ công cộng, mà giữ lại một cách riêng tư và gửi gói giao dịch bị tấn công trực tiếp đến dịch vụ cụ thể, từ đó thu lợi.
Nguyên nhân cơ bản gây ra cuộc tấn công này là sự tin tưởng vào người khác để lấy trạng thái blockchain. Để giải quyết vấn đề này, người dùng có kinh nghiệm thường chọn chạy nút Ethereum của riêng họ. Tuy nhiên, điều này đòi hỏi tốn rất nhiều thời gian và tài nguyên, ít nhất cần một thiết bị luôn trực tuyến, hàng trăm GB không gian lưu trữ, và khoảng một ngày để hoàn thành đồng bộ hóa ban đầu. Mặc dù một số đội ngũ đã nỗ lực đơn giản hóa quá trình này, nhưng đối với hầu hết người dùng, đặc biệt là người dùng thiết bị di động, việc chạy nút vẫn là một thách thức.
Cần lưu ý rằng, mặc dù việc tấn công nhà cung cấp RPC tập trung hoàn toàn có thể xảy ra về lý thuyết, nhưng hiện tại chưa có trường hợp thực tế nào. Mặc dù hồ sơ quá khứ của các nhà cung cấp lớn đáng tin cậy, nhưng việc nghiên cứu đầy đủ trước khi thêm các nhà cung cấp RPC không quen thuộc vào ví vẫn là điều khôn ngoan.
Helios: Giải pháp truy cập Ethereum không cần tin cậy
Sau khi Ethereum ra mắt giao thức khách hàng ánh sáng, đã mở ra những khả năng mới cho việc tương tác nhanh chóng với blockchain và xác thực các điểm cuối RPC với yêu cầu phần cứng tối thiểu. Trong vòng một tháng sau The Merge, nhiều dự án khách hàng ánh sáng độc lập đã ra đời, mỗi dự án áp dụng những phương pháp khác nhau, nhưng đều hướng tới cùng một mục tiêu: truy cập hiệu quả không cần tin tưởng, mà không cần sử dụng nút đầy đủ.
Helios là một khách hàng ánh sáng Ethereum, có thể hoàn thành đồng bộ trong khoảng hai giây, không cần lưu trữ và cung cấp truy cập Ethereum hoàn toàn không cần tin cậy. Giống như tất cả các khách hàng Ethereum khác, Helios bao gồm lớp thực thi và lớp đồng thuận. Nhưng khác với hầu hết các khách hàng khác, Helios kết hợp chặt chẽ hai lớp này, người dùng chỉ cần cài đặt và chạy một phần mềm duy nhất.
Cách hoạt động của Helios như sau: Layer đồng thuận sử dụng một băm khối chuỗi tín hiệu đã biết và kết nối với một RPC không đáng tin cậy để đồng bộ hóa đến khối hiện tại theo cách có thể xác minh. Layer thực thi sau đó kết hợp các khối chuỗi tín hiệu đã xác minh với RPC thực thi không đáng tin cậy để xác minh thông tin khác nhau về trạng thái trên chuỗi, chẳng hạn như số dư tài khoản, lưu trữ hợp đồng, biên lai giao dịch và kết quả gọi hợp đồng thông minh. Các thành phần này hoạt động cùng nhau để cung cấp cho người dùng một RPC hoàn toàn không cần tin cậy mà không cần chạy nút đầy đủ.
Ứng dụng thực tiễn của Helios
Helios như một khách hàng ánh sáng, cho phép người dùng truy cập dữ liệu chuỗi một cách an toàn từ bất kỳ thiết bị nào (bao gồm điện thoại và tiện ích mở rộng trình duyệt). Điều này sẽ cho phép nhiều người hơn có thể truy cập dữ liệu Ethereum mà không cần tin tưởng, không bị giới hạn bởi phần cứng. Người dùng có thể thiết lập Helios làm nhà cung cấp RPC trong ví của họ, để truy cập các DApp một cách không cần tin tưởng, toàn bộ quá trình không cần bất kỳ thay đổi nào khác.
Ngoài ra, sự hỗ trợ của Rust cho WebAssembly cho phép các nhà phát triển ứng dụng dễ dàng nhúng Helios vào các ứng dụng Javascript (như ví và DApp). Những tích hợp này sẽ nâng cao tính bảo mật của Ethereum và giảm sự phụ thuộc vào cơ sở hạ tầng tập trung.
Cộng đồng có thể đóng góp cho Helios theo nhiều cách, ngoài việc xây dựng mã nguồn, họ còn có thể phát triển phần mềm tích hợp Helios. Một số hướng tiềm năng bao gồm:
Sự xuất hiện của Helios mang đến những khả năng mới cho hệ sinh thái Ethereum, nó hứa hẹn sẽ nâng cao tính tiện lợi cho người dùng khi truy cập dữ liệu blockchain trong khi vẫn đảm bảo tính an toàn. Với những đóng góp và cải tiến liên tục từ cộng đồng, Helios có thể trở thành một công cụ quan trọng thúc đẩy việc phi tập trung và phổ biến hơn nữa của Ethereum.