以太坊輕客戶端Helios：無信任訪問的新選擇

11月8日，一個新的以太坊輕客戶端Helios問世。這款基於Rust語言開發的客戶端，旨在提供完全無需信任的以太坊訪問。

區塊鏈的一大優勢在於無需信任。通過區塊鏈技術，用戶可以自主掌控自己的財富和數據。以太坊等區塊鏈在大多數情況下確實兌現了這一承諾，讓用戶真正擁有自己的資產。

然而，爲了便利性，用戶往往會做出一些妥協。其中之一就是使用中心化的RPC（遠程調用）服務器。用戶通常會通過中心化提供商訪問以太坊。這些公司在雲服務器上運行高性能節點，幫助用戶輕鬆獲取鏈上數據。當錢包查詢代幣餘額或檢查待處理交易是否已被打包時，幾乎總會用到這些中心化提供商。

當前系統的問題在於用戶需要信任這些提供商，無法驗證查詢結果是否正確。

Helios作爲一款以太坊輕客戶端，能夠提供完全無需信任的以太坊訪問。它利用以太坊轉向PoS後促成的輕客戶端協議，將來自不受信任的中心化RPC提供商的數據轉換爲安全可驗證的本地RPC。結合中心化RPC，Helios可在不運行完整節點的情況下驗證數據的真實性。

這款客戶端能在約兩秒內完成同步，無需存儲，用戶可通過任何設備（包括手機和瀏覽器插件）安全地訪問鏈上數據。但依賴中心化基礎設施到底有什麼潛在風險呢？本文將梳理這些風險，介紹Helios的設計方案，並提供一些思路，幫助開發者爲代碼庫做出貢獻。

中心化基礎設施的潛在風險

理論上，一種新型攻擊可能潛伏在以太坊生態中。這種攻擊並不直接針對交易內存池（Mempool），而是通過模仿用戶依賴的中心化基礎設施來設置陷阱。遭受攻擊的用戶並沒有做錯什麼：他們只是像往常一樣訪問DEX，設定合理的滑點，進行代幣交易。然而，他們可能面臨一種新型的三明治攻擊，這種攻擊精心布置在以太坊生態的入口處——RPC提供商。

爲了理解這種攻擊，我們需要先了解DEX如何處理交易。用戶進行代幣兌換時，會向智能合約提供幾個參數：要兌換的代幣、兌換金額，以及最重要的，用戶願意接受的最小代幣數量。最後一項參數設定了交易的"最小產出"，如果無法達到這個數值，交易將被撤銷。這通常被稱爲"滑點"，它有效地限制了從交易發送到被打包期間可能出現的最大價格變動。

如果滑點設置過低，用戶可能只能獲得較少的代幣。這種情況也可能導致三明治攻擊，攻擊者會將用戶的交易夾在兩個惡意交易之間。這些交易會推高現貨價格，迫使用戶以不利的價格成交。隨後，攻擊者會立即出售代幣，獲取小額利潤。

只要最小產出參數設置在合理範圍內，用戶就不會遭受三明治攻擊。但如果RPC提供商沒有提供DEX智能合約的準確報價呢？這可能導致用戶在不知情的情況下籤署了不利的兌換交易。更糟糕的是，用戶可能將交易直接發送給惡意的RPC提供商。提供商可以不將交易廣播到公共內存池，而是私下扣留並將被攻擊的交易包直接發送給特定服務，從中牟利。

造成這一攻擊的根本原因是信任他人來獲取區塊鏈狀態。爲解決這個問題，有經驗的用戶通常會選擇運行自己的以太坊節點。然而，這需要耗費大量時間和資源，至少需要一臺持續在線的設備、數百GB的存儲空間，以及大約一天的時間來完成初始同步。盡管一些團隊一直在努力簡化這個過程，但對於大多數用戶來說，尤其是移動設備用戶，運行節點仍然是一項挑戰。

需要注意的是，雖然中心化RPC提供商攻擊在理論上完全可能發生，但目前還沒有實際案例。盡管大型提供商的過往記錄值得信賴，但在將不熟悉的RPC提供商添加到錢包之前，進行充分的研究仍然是明智之舉。

Helios：無需信任的以太坊訪問方案

以太坊推出輕客戶端協議後，爲快速的區塊鏈交互和通過最低硬件需求驗證RPC端點開闢了新的可能性。在The Merge後的一個月裏，多個獨立的輕客戶端項目相繼湧現，它們各自採用不同的方法，但都致力於實現同一目標：無需信任的高效訪問，且不必使用完整節點。

Helios是一個以太坊輕客戶端，可在約兩秒內完成同步，不需要存儲，並提供完全無需信任的以太坊訪問。與所有以太坊客戶端一樣，Helios由執行層和共識層組成。但與大多數其他客戶端不同，Helios將這兩層緊密耦合，用戶只需安裝和運行單個軟件即可。

Helios的工作原理如下：共識層使用一個已知的信標鏈區塊哈希，並連接一個不受信任的RPC，以可驗證的方式同步至當前區塊。執行層則將這些經過驗證的信標鏈區塊與不受信任的執行層RPC結合，以驗證有關鏈上狀態的各種信息，如帳戶餘額、合約存儲、交易收據和智能合約調用結果。這些組件協同工作，爲用戶提供完全無需信任的RPC，且無需運行完整節點。

Helios的實際應用

Helios作爲一款輕量級客戶端，允許用戶從任何設備（包括手機和瀏覽器插件）安全地訪問鏈上數據。這將使更多人能夠無需信任地獲取以太坊數據，而不受硬件限制。用戶可以在錢包中將Helios設置爲RPC提供商，以實現無需信任地訪問各種DApp，整個過程無需任何其他更改。

此外，Rust對WebAssembly的支持使應用開發人員可以輕鬆將Helios嵌入Javascript應用程序（如錢包和DApp）中。這些集成將提升以太坊的安全性，減少對中心化基礎設施的依賴。

社區可以通過多種方式爲Helios做出貢獻，除了爲代碼庫添磚加瓦外，還可以構建集成Helios的軟件。一些有潛力的方向包括：

• 支持直接從P2P網路獲取輕客戶端數據
• 實現缺失的RPC方法
• 開發可編譯至WebAssembly的Helios版本
• 將Helios直接集成到錢包軟件中
• 構建網路儀表板來查看代幣餘額，將Helios嵌入使用WebAssembly的網站中
• 部署引擎API，將Helios共識層連接至現有執行層的全節點

Helios的出現爲以太坊生態系統帶來了新的可能性，它有望在保證安全性的同時，提高用戶訪問區塊鏈數據的便利性。隨着社區的持續貢獻和改進，Helios可能會成爲推動以太坊進一步去中心化和普及的重要工具。