查看原文
其他

10分钟看懂曾飙涨千倍却暗藏风险的IOTA和它的DAG

汤强 白话区块链 2019-11-27

白话区块链

从入门到精通,看我就够了!

大白导读:上周六推送“警报!一大波DAG公链正在接近!”,介绍了不用区块来记录数据的一类公链,在用真金白银投资这类项目之前,有必要先花十分钟深入了解。

本文作者:汤强,横跨中英文世界的区块链观察家,个人公众号“汤强”。



2017年9月7日,麻省理工学院(MIT)发表公开信:数字货币IOTA存在严重漏洞,2个月前MIT私信过IOTA团队,希望他们改代码。


但IOTA团队没有理会,最终MIT选择把漏洞公之于众。这个漏洞究竟是什么?一切,要从IOTA的数据结构DAG说起。


一、什么是DAG?


DAG:Directed Acyclic Graph,中文意为“有向无环图”。


有向无环图是一种存储数据的方式。“有向”指所有数据顺着同一方向存储;“无环”指数据结构间不构成循环。像条毛线织的围巾,可以一直编下去。

图1 DAG 有向无环图(缠结 Tangle)


你可以这样理解:区块链是每个区块记多笔交易,而DAG是每个区块存一笔交易,所以它们的本质相同。在IOTA白皮书里,把结扎在一起的交易称为缠结(Tangle),如图1。


你可能会奇怪,这些交易为什么要连线、标箭头?因为使用者每发起一笔交易,必须验证之前的两笔交易。


这很像让一个孤儿自己选择养父母。DAG是孤儿的世界,每笔交易天生是孤儿,但养父母不能随便乱选,他们必须根正苗红,否则孤儿自己就不会被下一代选为父母,不被选择意味着从此消失。


如果一笔交易不被后来的交易所验证,它就会变成真正的孤儿,从此在账本里失去合法性。


缠结图的本质上是订在一起的账本,而交易发起者的验证就是订书钉,可他们用什么方式验证交易?


答案是我们熟悉的工作量证明:POW


交易发起者自己选择两笔合法交易,花2秒钟找出一个随机数,让“随机数+信息”的哈希值符合系统要求。


验证所需的工作量与前手交易权重成正比,交易权重相当于验证难度,难度越高验证时间越长。IOTA中,权重是以3为底的指数增长:3的1次方、3的2次方、3的3次方……被验证次数越多的交易权重越大。


所以,如果你担心验证完两笔正确交易却没人来验证你,那这种担心是多余的,因为验证新鲜交易更容易,如果验证靠前的陈旧交易,工作量会指数级地翻上去:本来2秒钟能验证完的交易,现在要花2小时,何必?


另外,你可能会问,DAG下为什么不能只验证一笔交易,必须是两笔或两笔以上?


因为如果只往前验证一笔,网络会被大算力操控。


算力强者很容易抬高交易权重,拉长尾巴,以堵死后面的验证通路,让随后的诚实交易不得不屈从大算力;可验太多交易又会耗时过长。


所以,验两笔能兼顾安全和效率。


于是,发起者一边提交自己的交易,一边验证别人的交易,以此编织着一个去中心化网络。注意:这个网络不是缠结图,缠结图里的点是交易记录,而网络指参与交易的所有节点。


可是DAG下会不会发生双重支付呢?


会。


二、DAG下如何保证账本安全?


假如我转你价值100万元的IOTA,你非常高兴,确认后把100万元货物交给我,但此时我心生歹念。


我靠算力发起攻击,用一笔权重更大的交易验证合法交易之前的交易。

图2 大权重攻击


只要超过主体诚实的DAG,随后的交易都会接在我的DAG后面生长,这样我就赖掉之前的交易,白白从你手里拿走100万元的货。


关键问题是,我得汇聚多少算力才能实现双重支付?


需要全网34%的算力。


IOTA团队说,网络还没成熟,所以先找个协管员看场子,这名协管员就是一台名叫Coordinator的服务器。所有交易是否合法,暂时全由这位协管员拍板,拍板后告诉其他节点,该验证哪些交易。


官方说,2018年会撤下协管员,这也意味着,目前IOTA暂时并非一个去中心化的网络。可如何能确保账本安全,中心化并非是不可行的方案。


影响账本安全的另一个因素是数字签名,因为攻击者无法使用他们没有的私钥签出和你一样的数字签名,而保障这件事的是哈希算法,它具有一个特征:哈希不同文本能得出不同结果。如果哈希不同文本出现同样的结果,这种情况称为“碰撞”。


MIT报告指出:


IOTA使用了自己开发的哈希算法curl,但是curl算法的哈希值极易发生碰撞,于是就能伪造数字签名。


IOTA的DAG是靠后手保护前手,一旦攻击者成功伪造数字签名,后手挑不出伪造者的错,非法交易就能大摇大摆地通过验证,这意味着别人用其他私钥也能撬走你账户里的钱。


现在IOTA有协管员保护,但如果撤下协管员,签名能否会被仿冒,就完全得寄希望于攻击者没有哈希出和你一样的签名。


你可能认为,有协管员的情况下这不会成为一个问题,因为协管员会公正地验证所有交易,至少它能取消不合法交易,但事情并非这么简单。


因为协管员自己也有私钥,一旦泄露,造成的结果将比服务器电源插座被拔还要严重,因为此时持有私钥者具备改动任意交易的技术可能,这就是集中管账的风险。


现在有协管员看家,技术上的确能过滤恶意,可IOTA的最终目标终究是脱离协管员、全网自治,除了面临伪造数字签名的问题,还要面临一道难题:


34%攻击。


防止这种攻击的一个办法是招募矿工,但由于IOTA无手续费,所有没有矿工会响应,与此同时,IOTA还面临着拒绝服务攻击的可能,就像不收物业费的小区,靠业主自治很难扫清不法份子,甚至扫不净地上的落叶。


包括IOTA团队在内,暂时没有人给出解决方案。当然,让人垂泪的棘手问题还不止这些。


三、用户私钥问题


本段与DAG无关,但由于采用DAG的加密货币不多,而IOTA又是持有范围较大的币种,所以写下这段,仅作安全提示。


IOTA用户的私钥由种子生成,种子长这样:

KJGH9YZXCYVYOWTV9YULOVYASDL99YGIAEQWEDFGHNSLNGHJFGHIJPCIYEC9GWOLMFGHGQ99Y9HNMRQASF


一共81位,看起来很长,但其实只有大写字母和数字9,人们除了质疑为什么不用小写字母和其他数字压缩种子长度之外,还有两点关键的质疑:种子如何凭空产生?种子如何生成私钥?


IOTA团队没有公开种子和私钥的生成算法。


《区块链资产朴素安全课》中提过,比特币的私钥是一个随机数,由256个0或1组成,文末配有转换工具网址,那就是公开的私钥生成算法。


但IOTA的私钥只能用官网钱包生成,如果私钥生成算法不公开,用户就无法验证眼前的是否是只有1000种可能的伪随机数私钥。


所以,IOTA用户的私钥有两层风险:


  1. 受curl算法的影响,私钥被冒签的风险;

  2. 受私钥生成算法未公开的影响,私钥被破解的风险。


如果还有第三层风险,那就是每次划转钱后,必须把余额转至新的地址,否则余额不保。


这源自于能抵抗量子攻击的温特尼茨单次签名(Winternitz one-time signature)的特性:每签一次,私钥就会暴露一半。这让每个私钥变成一根一次性筷子,每用一次都会被污染半截。


不知何时,IOTA才能平息这些质疑。


结语


DAG是一种数据存储结构,从它被发明的30多年来一直都有人使用,本身并没有问题。但它和区块链的区别在于DAG没有传统意义上的共识,每笔交易的可信与否取决于相信这笔交易的人数。


所以采用DAG技术的核心问题在于如何保护全网达成的一致?


IOTA使用了中心化方案:先协管员看护,以后慢慢放开。同样采用DAG的另一种加密货币Byteball就很淳朴,12名矿工通过收交易手续费的方式保护系统安全。


DAG曾经作为比特币扩容的方案,但最终没被采用,因为基于DAG的分布式网络在保护共识方面很难比区块更有效。


作为一种创新的存储方式,DAG和采用区块记录交易的方式相比,尽管很有趣,但它暂时没有明显的优势,这就是为什么很多区块链项目没有选择DAG的原因。


IOTA现在还没有解开自己的缠结,但作为旁观者的我们,有一点值得我们警醒。


加密数字货币的技术复杂度远超我们想象,但并非不可理解,只要我们投入足够的时间,一定可以理清思路,理性决策。


最受伤的人,恰恰是在局势未明朗时,仅凭日涨一寸的K线图就匆忙入场者,他们生怕承受错过的痛苦,甚至会有人因为缠结图和物联网长得像而看好DAG在物联网领域的发挥。


未经深入思考的投资者很可怜,捧着一摞血汗钱走进天罗地网,他们哪里会想到,编织这张网的可能不是别人的恶意,而恰恰是自己的认知偏差。


千万别眼红那些跑步进场、月赚10倍的朋友,他们可能有惊人的浮盈,但由于跑步进场这个动作本身就是未经深入思考的结果,于是,在迈出腿的一瞬间,就已经注定了大概率的结局。


投资大神乔伊·格林布雷(Joel Greenblatt)有个著名的类比:


买了股票但不知道买了什么,就如同手持火把穿过一个炸药工厂,你可能活下来,但你依然是一个傻子。


所以,拿出你的储备知识,启动你的逻辑链条,把思路里的缠结整理成区块,烘干认知偏差,时刻让自己的投资逻辑保持干爽。


主要参考资料 |

1. Serguei Popov*:The Tangle(IOTA官网白皮书v1.3)

2. MIT:Cryptographic vulnerabilities in IOTA 2017-9-7

3. Ivan:https://youtu.be/QsdZVnq4G60

4. Palmer:https://youtu.be/LtWUJtnQbKs

5. Richard Heart:https://youtu.be/w8_1JFE_9dI


——End——


『声明:本文转载自公众号“汤强”,文章为作者独立观点,不代表白话区块链立场,亦不构成任何投资意见或建议。』


今天隆重地为大家推荐一个优质公众号@深链财经,区块链第一深度媒体。


扫码关注“深链财经”

↓  ↓  ↓

深链财经优质文章推荐:

孙宇晨回来了 | 独家专访

矿池江湖:战争已悄悄结束,中国拿下超90%算力!


公众号后台回复 关键词 查看资料:

回复  直达“区块链从0到1入门必读”

回复 1  直达“白话区块链历史精华”


查看更多——


喜欢请给我们点赞哦,谢谢 

(●—●)

查看历史

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存