以太坊輕客戶端Helios:實現便捷無信任訪問

11月8日，一款名爲Helios的以太坊輕客戶端問世。該客戶端基於Rust語言編寫,旨在提供完全無需信任的以太坊訪問。

區塊鏈技術的一大優勢在於無需信任第三方,用戶可以自主掌控自己的財富和數據。以太坊等區塊鏈在大多數情況下確實兌現了這一承諾,讓用戶真正擁有自己的資產。

然而,爲了追求便利,我們也做出了一些妥協。其中之一就是使用中心化的RPC(遠程調用)服務器。用戶通常會通過中心化提供商訪問以太坊。這些公司在雲服務器上運行高性能節點,爲用戶提供便捷的鏈上數據訪問。當錢包查詢代幣餘額或檢查交易狀態時,幾乎都會用到這些中心化提供商。

當前系統的問題在於用戶需要信任這些提供商,而無法驗證查詢結果的準確性。

Helios能夠將來自不受信任的中心化RPC提供商的數據轉換爲安全可驗證的本地RPC。結合中心化RPC,Helios可在不運行完整節點的情況下驗證數據的真實性。

該客戶端能在約兩秒內完成同步,且無需存儲,用戶可通過任何設備(包括手機和瀏覽器插件)訪問安全的鏈上數據。但依賴中心化基礎設施仍存在潛在風險。

中心化基礎設施的潛在風險

理論上,一種新型攻擊可能潛伏在以太坊生態中。它不在交易內存池中尋找目標,而是通過模仿中心化基礎設施來設置陷阱。用戶可能在正常使用去中心化交易所時遭受攻擊,即便他們設定了合理的滑點並按常規操作。這種新型三明治攻擊就設置在RPC提供商處。

去中心化交易所在處理交易時,用戶需要向智能合約提供幾個參數:要兌換的代幣、兌換金額,以及最重要的,用戶接受的最小代幣數量。最後一項參數指明了兌換必須達到的"最小產出",否則交易將被撤銷。這通常被稱爲"滑點",它設定了從交易發送至內存池到交易被納入區塊之間可能出現的最大價差。

如果RPC提供商沒有提供去中心化交易所智能合約的準確報價,用戶可能會被誤導,以較低的最小產出參數簽署兌換交易。更糟的是,用戶可能將交易直接發送給惡意的RPC提供商。提供商可以不將這筆交易廣播至公共內存池,而私下扣留並直接發送給某些平台以牟利。

造成這一攻擊的根本原因是信任他人來獲取區塊鏈狀態。爲解決該問題,有經驗的用戶通常會運行自己的以太坊節點,但這需要耗費大量時間和資源。雖然運行節點的門檻已經降低,但對多數用戶來說仍然很困難,特別是使用移動設備的用戶。

需要注意的是,中心化RPC提供商攻擊雖然可能發生,但目前尚未出現。大型提供商的過往記錄值得信賴,但在使用不熟悉的RPC提供商時仍需謹慎。

Helios:完全無需信任的以太坊訪問

以太坊推出輕客戶端協議後,快速的區塊鏈交互和通過最低硬件需求驗證RPC端點成爲可能。在The Merge之後,多個獨立的輕客戶端相繼出現,它們採用不同方法,但目標一致:無需信任的高效訪問,且不必使用完整節點。

Helios是一個以太坊輕客戶端,可在大約兩秒內完成同步,不需要存儲,並提供完全無需信任的以太坊訪問。它由執行層和共識層組成,這兩層緊密耦合,用戶只需安裝和運行單個軟件即可。

Helios的工作原理如下:共識層使用一個已知的信標鏈區塊哈希,並連接一個不受信任的RPC,以可驗證的方式同步至當前區塊。執行層將這些經過驗證的信標鏈區塊與不受信任的執行層RPC結合,以驗證鏈上狀態的各種信息,如帳戶餘額、合約存儲、交易收據和智能合約調用結果。這些組件協同工作,爲用戶提供完全無需信任的RPC,且無需運行完整節點。

Helios的應用

通過輕量級的Helios,用戶可從任何設備(包括手機和瀏覽器插件)訪問安全的鏈上數據。這將使更多人能夠無需信任地訪問以太坊數據,不論使用什麼硬件。用戶可以在某些錢包中將Helios作爲他們的RPC提供商,以實現無需信任地訪問各種去中心化應用。

此外,Rust對WebAssembly的支持使應用開發人員可輕鬆將Helios嵌入Javascript應用程序(如錢包和去中心化應用)中。這些集成將提升以太坊的安全性,減少對中心化基礎設施的信任需求。

Helios爲社區貢獻提供了多種途徑,包括爲代碼庫添磚加瓦,以及構建集成Helios的軟件。一些有趣的開發方向包括:支持直接從P2P網路獲取輕客戶端數據、部署缺失的RPC方法、構建可編譯至WebAssembly的Helios版本、將Helios直接集成至錢包軟件中、構建網路儀表板查看代幣餘額等。