以太坊轻客户端Helios:实现便捷无信任访问

11月8日，一款名为Helios的以太坊轻客户端问世。该客户端基于Rust语言编写,旨在提供完全无需信任的以太坊访问。

区块链技术的一大优势在于无需信任第三方,用户可以自主掌控自己的财富和数据。以太坊等区块链在大多数情况下确实兑现了这一承诺,让用户真正拥有自己的资产。

然而,为了追求便利,我们也做出了一些妥协。其中之一就是使用中心化的RPC(远程调用)服务器。用户通常会通过中心化提供商访问以太坊。这些公司在云服务器上运行高性能节点,为用户提供便捷的链上数据访问。当钱包查询代币余额或检查交易状态时,几乎都会用到这些中心化提供商。

当前系统的问题在于用户需要信任这些提供商,而无法验证查询结果的准确性。

Helios能够将来自不受信任的中心化RPC提供商的数据转换为安全可验证的本地RPC。结合中心化RPC,Helios可在不运行完整节点的情况下验证数据的真实性。

该客户端能在约两秒内完成同步,且无需存储,用户可通过任何设备(包括手机和浏览器插件)访问安全的链上数据。但依赖中心化基础设施仍存在潜在风险。

中心化基础设施的潜在风险

理论上,一种新型攻击可能潜伏在以太坊生态中。它不在交易内存池中寻找目标,而是通过模仿中心化基础设施来设置陷阱。用户可能在正常使用去中心化交易所时遭受攻击,即便他们设定了合理的滑点并按常规操作。这种新型三明治攻击就设置在RPC提供商处。

去中心化交易所在处理交易时,用户需要向智能合约提供几个参数:要兑换的代币、兑换金额,以及最重要的,用户接受的最小代币数量。最后一项参数指明了兑换必须达到的"最小产出",否则交易将被撤销。这通常被称为"滑点",它设定了从交易发送至内存池到交易被纳入区块之间可能出现的最大价差。

如果RPC提供商没有提供去中心化交易所智能合约的准确报价,用户可能会被误导,以较低的最小产出参数签署兑换交易。更糟的是,用户可能将交易直接发送给恶意的RPC提供商。提供商可以不将这笔交易广播至公共内存池,而私下扣留并直接发送给某些平台以牟利。

造成这一攻击的根本原因是信任他人来获取区块链状态。为解决该问题,有经验的用户通常会运行自己的以太坊节点,但这需要耗费大量时间和资源。虽然运行节点的门槛已经降低,但对多数用户来说仍然很困难,特别是使用移动设备的用户。

需要注意的是,中心化RPC提供商攻击虽然可能发生,但目前尚未出现。大型提供商的过往记录值得信赖,但在使用不熟悉的RPC提供商时仍需谨慎。

Helios:完全无需信任的以太坊访问

以太坊推出轻客户端协议后,快速的区块链交互和通过最低硬件需求验证RPC端点成为可能。在The Merge之后,多个独立的轻客户端相继出现,它们采用不同方法,但目标一致:无需信任的高效访问,且不必使用完整节点。

Helios是一个以太坊轻客户端,可在大约两秒内完成同步,不需要存储,并提供完全无需信任的以太坊访问。它由执行层和共识层组成,这两层紧密耦合,用户只需安装和运行单个软件即可。

Helios的工作原理如下:共识层使用一个已知的信标链区块哈希,并连接一个不受信任的RPC,以可验证的方式同步至当前区块。执行层将这些经过验证的信标链区块与不受信任的执行层RPC结合,以验证链上状态的各种信息,如账户余额、合约存储、交易收据和智能合约调用结果。这些组件协同工作,为用户提供完全无需信任的RPC,且无需运行完整节点。

Helios的应用

通过轻量级的Helios,用户可从任何设备(包括手机和浏览器插件)访问安全的链上数据。这将使更多人能够无需信任地访问以太坊数据,不论使用什么硬件。用户可以在某些钱包中将Helios作为他们的RPC提供商,以实现无需信任地访问各种去中心化应用。

此外,Rust对WebAssembly的支持使应用开发人员可轻松将Helios嵌入Javascript应用程序(如钱包和去中心化应用)中。这些集成将提升以太坊的安全性,减少对中心化基础设施的信任需求。

Helios为社区贡献提供了多种途径,包括为代码库添砖加瓦,以及构建集成Helios的软件。一些有趣的开发方向包括:支持直接从P2P网络获取轻客户端数据、部署缺失的RPC方法、构建可编译至WebAssembly的Helios版本、将Helios直接集成至钱包软件中、构建网络仪表板查看代币余额等。