Manipulação de consenso sem confiança através de contratos de suborno-Prova de participação

Tl; dr: Em nossa pesquisa mais recente, projetamos, implementamos e avaliamos três ataques de suborno. Eles pretendem violar três propriedades fundamentais dos protocolos de consenso.

• Paytoattest: Trample Safety, permitindo a compra de votos (atestados).
• Paytoexit: Incentiva os validadores a interromper a participação no consenso, ameaçando a vensagem.
• PayTobias: O mercado de suborno de Randao, impactando a justiça.

Nossos resultados mostram que esses ataques são surpreendentemente baratos e práticos, com subornos tão baixos quanto 0,09 eth (\ Aprox 334 USD) para reorganizar os blocos ex-post (assumindo que os validadores racionais aceitam o suborno sempre que o valor do suborno é um pouco maior que as recompensas do protocolo).

Link em papel: https://eprint.iacr.org/2025/1719.pdf
Github Link: Github – 0xsooki/suborno -zoo: manipulação de consenso sem confiança através de contratos de suborno

Motivação

Um equívoco comum é que o “orçamento de segurança” de segurança econômica fornecida é proporcional ao valor do ETH apostado (\ aprox115b USD). No entanto, se os validadores agirem racionalmente, esse limite se tornará muito menor no curto prazo, pois um subornete só precisa superar o protocolo recompensa marginalmente. Os contratos de suborno transparente e na cadeia permitem participação sem confiança, atômica e barata em nossos ataques. Neste post, pretendo fornecer uma breve visão geral de nossos principais resultados; Para mais detalhes, consulte o artigo.

O modelo do sistema de suborno

A troca justa é impossível sem um terceiro de confiança. Assim, aplicamos um contrato de suborno na cadeia.

Na sua essência, o suborno implica uma interação simples de contrato inteligente.

• Etapa 1. O Briber publica instruções junto com algum dinheiro.
• Etapa 2. O validador fornece prova de desvio (por exemplo, assinatura, (ZK) provas).
• Etapa 3. O contrato verifica a prova e paga o suborno.

O contrato de suborno torna o suborno atômico, sem exigir nenhum adicional suposições de confiança entre as duas partes.

Preliminares

Após a atualização do Pectra com a inclusão do EIP-2537: pré-compilado para operações da curva BLS12-381 O custo da verificação de assinaturas de BLS (agregado) na cadeia no EVM não se tornou apenas viável, mas relativamente barato. Como o protocolo de consenso (atual) depende muito das assinaturas do BLS, ele fornece verificação sem confiança entre as camadas de consenso e execução, tornando nosso trabalho prático.

Contratos de suborno

Projetamos, implementamos e avaliamos os três tipos a seguir de contratos de suborno direcionados aos validadores do Ethereum.

1. Paytoattest – Ativa a compra de votação

   1. Brier compra votos para o garfo adversário

   2. Ativa os ex-post reorgs sem participação majoritária

   3. Custo dos ataques: <0,09 ETH

2. Paytoexit – Mercado para saídas de validador

   1. Os validadores são pagos para sair voluntariamente do protocolo

   2. Aumentar o poder relativo de colheita dos adversários, ameaçando a vida

   3. Por nossa análise inicial teórica do jogo para uma entidade com uma participação de 23%, para aumentá-la para 33%, o valor ideal do suborno seria 9,23 ETH

3. PayTobias – Leiloando a contribuição da aleatoriedade Randao

   1. Os validadores nos slots da cauda podem influenciar o farol de aleatoriedade do Ethereum, retendo seu bloco.

   2. Até onde sabemos, construímos o primeiro mercado de suborno de Randao na cadeia.

Avaliação de desempenho (custos de gás)

A tabela a seguir mostra os custos de gás das funções mais importantes de nossos contratos de suborno propostos. Os custos de USD foram calculados usando o preço de câmbio ETH/USD e os preços do gás (3.708 USD/ETH e 1,63 GWEI GAS PREÇO) em 25 de julho de 2025.

Sequência de um ex-post reorg

Para ilustrar ainda mais os danos potenciais que podem ser causados ​​por tais contratos, a próxima figura passa como um suborneiro pode alavancar o Paytoattest Contrato para comprar atestados, fazendo com que os votos honestos sejam superados pelos subornados até que o garfo adversário se torne a cadeia canônica. Um adversário pode ser motivado a realizar tal reorganização para roubar MeV de blocos honestos ou manipular o Randao.

Custo de um ex-post reorg

A figura seguinte mostra o custo de um ex-post reorg usando nosso Paytoattest contrato. Onde o adversário procura bifurcar o bloco no slot n+1 Com uma quantidade de participação alfa, o ataque falha na região branca.

Mercados de suborno do PayToExit

Uma análise mais aprofundada foi feita sobre os incentivos no Paytoexit mercado de suborno, para derivar o valor ideal do suborno. O mercado foi modelado como um jogo de saída do mercado de vários jogadores de líder único, no qual um suborno oferece suborno B a N rational Validadores para sair do conjunto de validadores ativos. Um suborneiro pode querer que os validadores racionais parem de serem validadores do Ethereum para a) aumentar seu poder relativo de abrigo ou b) desviar o capital escasso do contrato de depósito para outra aplicação descentralizada (pense em um protocolo Defi, por exemplo, provisão de liquidez em um dex ou empréstimo, etc.) da escolha adversária.

Os validadores racionais têm duas opções: a) Aceite o suborno e deixe o protocolo de consenso b) negar o suborno e permanecer validando no consenso do Ethereum.

Resolvendo o jogo, derivamos um intervalo para calcular a quantidade ideal de suborno que é

R (n-k+1) \ cdot \ mathrm {pv} (r, y) \ leq b^* \ leq r (nk) \ cdot \ mathrm {pv} (r, y).

onde

R (n) = {\ Underbrace {32} _ {stake} \ cdot \ bigg (\ Underbrace {\ frac {2940.21} {\ sqrt {n}}} _ {\ text {protocol rewards}}} + \ Underbrace {\ frac {1078543.3} {n}} _ {\ text {estimado mev}} \ bigg)} \ quad \ mathrm {e} \ quad \ mathrm {pv} (r, y) = \ frac {1.8^

Usando o alcance ideal de suborno, existe um equilíbrio no qual os validadores exatamente suficientes saem para aumentar a participação do adversário da \alfa para \ alpha^*mas nenhum validador tem um incentivo para alterar unilateralmente sua estratégia.

Os próximos números mostram os custos de suborno (em dólares) e a duração do ataque (em dias), quando um adversário gostaria de aumentar seu poder relativo \alfa para \ alpha^* (\ alpha \ le \ alpha^*).

Existem muito mais discussões e resultados em nosso artigo.

Contramedidas

Como o Ethereum poderia se defender contra esses ataques de suborno? O que os designers de protocolo Ethereum devem fazer para tornar o protocolo mais robusto?

• Aumentando recompensas honestas de participação: Talvez indesejados porque dilui o suprimento do Ethereum se feito descuidadamente?

• Adicionando incentivos de denúncia: enorme espaço de design

• Finalidade de slot único (impedindo os garfos do PayToattest)

• Beacon de aleatoriedade imparcial (Mitigação para Paytobias)

Direções futuras de pesquisa

• Anonimato e privacidade: Seria interessante ocultar os detalhes de nossos contratos de suborno. Isso tornaria nossos mercados de suborno mais práticos, pois os participantes seriam menos relutantes em participar.

• Contratos adicionais de suborno: Usando nossa estrutura, é concebível que novos contratos de suborno possam ser facilmente implementados. Por exemplo, PayToinclude ou PayTocensor, onde uma determinada transação é solicitada a ser {in/ex} cludida em/do blockchain.

• Análises da teórica do jogo: numerosas perguntas em aberto da teórica do jogo. Em particular, não analisamos os mercados de suborno do PayToattest ou PayTobias do ponto de vista da teoria do jogo.

• Atacar robustez vs. inflação Uma troca interessante pode ser estudada entre a robustez do protocolo contra ataques de suborno versus aumento da inflação. Qual é o ponto ideal aqui?

Sinta -se à vontade para chegar, deixe comentários, perguntas, feedback e críticas!

Feliz suborno!