Mykeycoin交易所報告:比特幣奇葩8問:爲何區塊620826比區塊620825早1秒誕生?
發表於 2022-03-23 20:35 作者: 01區塊鏈
Mykeycoin交易所報告 寫在前面:
關於比特幣,我們有時會遇到一些難以理解的技術問題,例如“新區塊比舊區塊早1秒誕生”、“同一時間不同全節點的大小不同”等奇葩現象,對於這些問題,就需要求助專業的开發者來幫忙解惑,在本文中,譯者便選取了8個相對較有趣的問題,而來自比特幣开發社區的大神們也給出了精彩的答案。(注:以下問題和答案,均來自bitcoin.stackexchange.com)
Mykeycoin交易所報告 (圖片來自tuchong.com)
問題1 : 爲什么兩個完全同步的Bitcoin Core節點在區塊鏈大小上是不同的?問題具體描述:執行getblockchaininfo時,size_on_disk顯示大小比同時(區塊)報告的其他節點小1.2 GB。
txindex=1
可能是什么原因導致的?我已經在twitter上問過其它對等節點運營者,看是否有他人也有同樣的經歷,但每個人的账本數據都要比我多。 (https://twitter.com/bitdov/status/1231915231368163328)
Ugam Kamat答: 區塊鏈大小上的差異,是由於節點存儲的陳舊區塊數導致的。陳舊區塊是曾經構成主鏈一部分,但現在不屬於主鏈的區塊。問題2:我試着用bitcoin-core客戶端同步整個區塊鏈,然後這花了我大約9天的時間,結果卻被破壞了,所以我不得不刪除並重新同步。有沒有資源可以通過torrent或常規瀏覽器下載?例如,如果有礦工同時在高度102挖取2個區塊,當礦工通過gossip網絡中繼區塊時,與礦工2开採的區塊(102b)相比,更靠近礦工1的網絡將首先接收它挖的區塊(102a)。Bitcoin core將第一個接收到的有效區塊添加到鏈的頂端。之後在同一高度接收的區塊不會被刪除,而是保存在數據庫中,以防發生重組。因此,如果在區塊(102b)之上挖取下一個區塊103,則首先接收到102a的節點,會將其鏈重組爲包含區塊102b的鏈,如下圖所示。
Bitcoin Core不會刪除從其對等節點那接收到的任何有效區塊。它永遠存儲在數據庫中的blocks/blk****.dat文件中(這對於主鏈中的區塊也是一樣的)。但是,軟件不會中繼陳舊區塊。爲了接收陳舊區塊,當你的對等節點從不同的鏈視圖向你廣播區塊時,你需要在线。對等節點只會廣播他們從當前活動鏈中看到的那些區塊。因此,你只會擁有在线時收到的陳舊區塊,由於這種可變性,許多節點的比特幣區塊鏈大小就是不同的。
chytrik答:如果你用torrent或其它方式下載區塊鏈,但不驗證收到的數據,那么你將無法得知收到的數據是否有效。這意味着你可能會輕易下載到一個被攻擊者惡意更改的區塊鏈,其中可能納入了虛假交易,刪除了合法交易等,這些都是你無法得知的。問題3: 爲什么比特幣第620826個區塊比第620825個區塊早一秒誕生?這就是爲什么bitcoin-core要花費時間來下載和驗證區塊鏈的原因:這是在無需信任的情況下,獲得當前網絡狀態的唯一方法。
請注意,bitcoin-core在下載鏈數據時最有效,如果你下載一個區塊鏈的torrent,然後嘗試使用它進行驗證,則需要更長的時間(你需要等待完整的下載,然後進行完整的驗證,而不是並行地執行每個部分)。
我不知道有哪個軟件能比bitcoin-core更有效地執行這些驗證步驟。如果RAM利用率不足,可以嘗試增加-dbcache選項。
Andrew Chow答:比特幣並沒有要求後一個區塊的時間戳要晚於前一個區塊,唯一的要求是時間戳大於最後11個區塊的時間戳中值。因此,這意味着一個區塊在某個範圍內的時間戳可以低於其父區塊。問題4 :我能用同樣的錢包運行兩個比特幣節點嗎?而第620826個區塊早於第620825個,是因爲礦工沒有完全同步的時鐘,它們的內部時鐘可能略有不同,因此可能會延遲幾秒鐘。如果一個礦工真的很幸運,並由於時鐘的不同,而很快找到另一個區塊,那么由於時鐘的不同,他的時鐘可能仍落後於父區塊的時間戳。這可能就是這裏發生的事情。
問題具體描述:我們在服務器上有一個比特幣全節點和錢包,問題是我們的大多數錢包很久以前就完成同步了。對於我們來說,似乎此同步任務可能會花費大量時間,而在該時間段內,所有其他請求都將無法訪問比特幣節點,而用戶將無法使用我們的服務器。
我們考慮在單獨的服務器上復制當前的比特幣節點,並在那裏同步錢包。完成此過程後,我們會將錢包復制回原始服務器。
這是可行的嗎?或者我們不能在兩個不同的比特幣節點上有相同的錢包?
Gašper Čefarin答:這是可行的,你可以根據需要運行多個具有相同錢包的節點。我想你之所以要這么做,是因爲同步過程在另一個節點上會更快嗎?該過程完成後,你必須要復制完整的區塊鏈數據,而不是錢包本身。問題5 :爲什么哈希公鑰實際上對抗量子計算沒有幫助?你可能需要考慮檢查的瓶頸,可能是硬盤、CPU或某些情況下的互聯網帶寬。
問題具體描述:在關於taproot的討論中,有人提到輸出將直接包含公鑰,而不是對它們進行哈希運算。有人說,目前,哈希運算並不能真正對抗量子計算提供幫助,這是爲什么?
Andrew Chow答:雖然哈希一個公鑰本身確實對抗量子計算提供了幫助,但實際上,只有在“真空”條件下才會是這樣的,公鑰哈希並不是存在於這樣的環境中的,比特幣還有很多其它東西需要考慮。問題6 : 如何通過共享相同k值的兩個籤名獲取私鑰?首先,如果公鑰是經過哈希運算的,那么資金只有在使用前才是受到保護的。一旦使用了P2PKH或P2WPKH輸出,就會公开公鑰。當交易未經確認時,擁有足夠快量子計算機的攻擊者可以計算私鑰並創建衝突的交易,從而將資金發送給自己,而不是預期的接收者。
此外,如果攻擊者是一名礦工,他們可以對每一筆交易都這么做,只需拒絕挖取不向自己發送幣的交易。
雖然這是一個問題,但人們通常認爲,這要比直接花比特幣要好,因爲他們擁有區塊鏈中的公鑰。雖然這是真的,但是有大量公开公鑰的輸出。
目前有超過550 萬 BTC的輸出帶有公开的公鑰,它們要么是因爲P2PK輸出,要么是因爲用戶正在重用地址,因此其公鑰在其他交易中是公开的。因此,如果存在一台量子計算機,它能夠在合理的時間內爲公鑰生成私鑰,則攻擊者能夠獲取的比特幣就是這些。
因此,雖然你的特定輸出可能受到哈希的保護,但這些輸出的值將是0,因爲會有數百萬BTC會被盜。哈希真正能做的,只是提供一種錯誤的安全感。
此外,工具和錢包軟件也存在一些問題,它們只是在交易和區塊鏈中以其他方式公开公鑰。沒有現有的工具將公鑰視爲私有信息,它們沒有理由這樣做。
涉及公鑰的復雜腳本和合約還存在其他問題,這些腳本(如multisigs)並沒有哈希公鑰,此外,這些合約的存在通常是因爲並非所有當事方都必須相互信任(其中一方可能是惡意的),在這種情況下,合約中的惡意參與者將知道所涉及的公鑰,並能夠竊取與這些輸出相關的比特幣。現有的公鑰哈希無法防止這種情況。
最後,如果發現存在可以破壞ECDLP的量子計算機,就有可能向後量子密碼體制過渡。如果及時檢測到,但仍然來不及進行適當的升級,所有依賴ECDLP(即ECDSA和Schnorr)籤名算法的使用都可以通過軟分叉,從而鎖定所有的幣。然後,這些幣可以通過提供一個零知識的證據來證明某些非公开的或抗量子的信息,這些信息會表明私鑰的所有權。
例如,用戶可以提供一個證據,證明他們擁有用於派生給定公鑰對應私鑰的BIP 32種子。由於它是零知識證明,種子本身不會公开(請注意,種子不是公私密鑰對的一部分,因此不存在共享的公共組件)。由於大多數錢包都使用了BIP 32,這就足夠了。或許還有其他方法可以證明所有權,而不必冒着尚未想到的幣風險。
當然,這一切都假設有一台量子計算機能夠計算出一個公鑰的私鑰,而公衆卻不知道這項技術已經存在。實際更可能的情況是,量子計算機的發展將被觀察到,而且在它們強大到足以打破ECDLP之前的某個時刻,比特幣將軟性地引入一種抗量子籤名算法。最終,依賴於ECDLP的籤名將被刪除。所有這些,都將在量子計算機真正成爲威脅之前發生。因此在這種情況下,哈希公鑰無論如何,都不會提供幫助。
請注意,以上所有內容不僅限於量子計算機,它通常適用於ECDSA(或Schnorr)的任何密碼學破壞。
問題具體描述:爲了創建測試,我編寫了自己的ECDSA籤名算法,使用它我創建了兩個籤名,從地址1GXFXm3es....發出,產生交易56ec7ca7df...這些籤名使用了相同的k值(盡管k值永遠不能重復使用)。
後來,有人從1GXFXm3es.... 這個地址偷走了0.0016BTC,並將這筆錢發送到了17WRjamox6VhTUaHsTWfFnMNDYHvwCtWio。
因此,必然有人在監控區塊鏈是否存在此類錯誤,並在遇到此類錯誤時竊取資金。
那如何從共享相同k值的兩個籤名獲取私鑰?
Pieter Wuille答: ECDSA籤名是(r,s)對,其中r=(kG).x mod n,以及s = (m + rx)/k mod n,這裏面的x是密鑰,k是隨機nonce,而m是信息。問題7:爲什么比特幣選擇Merkle證明,而不選擇RSA累加器,兩者相比有什么優缺點?對於同一密鑰有兩個s值s1和s2,並且具有相同的nonce k(從而具有相同的值r),則可以執行以下操作:
從中我們可以得出:
- s1 = (m1 + r*x)/k
- s2 = (m2 + r*x)/k
因此,你不僅可以輕松地檢測具有相同隨機數的籤名(它們具有可識別的r值),而且一旦有人看到兩個籤名,就會有一個簡單的公式來計算私鑰。
- s1 * k = m1 + r * x
- s2 * k = m2 + r * x
- (s1-s2)* k = m1-m2
- k =(m1-m2)/(s1-s2)
- x =(s1 *(m1-m2)/(s1-s2)-m1)/ r
- x =(m1 * s2-m2 * s1)/(r *(s1-s2))(all mod n)
至少從2013年起,這種攻擊就已被廣爲人知了,也有人在積極利用它,不要重復使用k值,使用RFC6979確定但安全地生成它們。
還要注意的是,光k值不同還是不夠的,它們也不能以已知的方式關聯在一起,例如,你不能將k值用於一個籤名,然後將k + 1用於下一個籤名。
Pieter Wuille答:問題8 : 三種比特幣地址類型是否都可以互操作(legacy、segwit、native segwit)?1、RSA累加器很難正確實施; 2、RSA累加器需要一個可信設置(單個或多個實體必須得到一個足夠大的整數,它是2個素數的乘積,然後將這些素數丟棄)。比特幣的設計通常是爲了避免可信方; 3、對於128位安全級別,你至少需要3000位RSA模塊,這意味着證明將是3000位。 與具有超過12層樹的Merkle路徑相比,這僅僅是一個優點,對於區塊中的交易而言,這意味着超過4096筆交易。 通常情況並非如此,即便如此,也只是勉強如此。
問題具體描述:是否可以在所有3種地址類型(legacy、segwit、native segwit-bech32)之間來回發送交易?
Mykeycoin交易所報告 或者其中一類不能發送給另一類?
Pieter Wuille:在協議層面,它們都是兼容的,交易可花費其中任何一類,並發送給其中任何一種。Murch♦補充回答:錢包軟件當然可能會有限制,但這些限制通常與組合無關。
在比特幣協議中,從任何類型的輸出發送到任何地址類型都沒有限制,但是一些較舊的錢包,可能不支持發送到較新的地址類型。讓我們更好地了解一下在發送比特幣交易時,具體可能會發生什么:
接收者選擇一個他們想接收資金的地址,這就涉及到一個地址格式,而選擇一種更有效的地址格式,可以節省开支,這符合接收者的利益。
發送者選擇他們想要花費的輸入,輸入腳本是由這些輸出之前接收到的地址類型設置的。然而,發送者被激勵爲他們的找零輸出選擇一個有效的地址類型,以節省未來的成本。
然而,較舊的電子錢包軟件可能無法發送到較新的地址類型。具體來說,原生隔離見證地址在2017年3月才獲得地址標准(BIP-173),並不是所有錢包都支持發送到這類地址。在這種情況下,發送者應該提供一個封裝隔離見證地址。所有錢包都應該能夠發送到封裝隔離見證地址,因爲它使用了2012年推出的Pay to Script Hash (p2sh, BIP-16) 地址標准。
在任何情況下,發送到任何特定地址類型的問題,都是由發送方錢包中缺少功能而導致的,而與使用的輸入類型沒有任何關系。
標題:Mykeycoin交易所報告:比特幣奇葩8問:爲何區塊620826比區塊620825早1秒誕生?
地址:https://www.coinsdeep.com/article/1122.html
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。