以太坊輕客戶端Helios:實現完全無需信任的區塊鏈訪問

最近，一款基於Rust語言的以太坊輕客戶端Helios問世。它能夠提供完全無需信任的以太坊訪問,讓用戶在不運行完整節點的情況下驗證數據的真實性。

我們使用區塊鏈的主要原因之一是無需信任。通過區塊鏈,我們可以自主掌控自己的財富和數據。以太坊等區塊鏈確實在很大程度上兌現了這一承諾:我們的資產真正屬於自己。

然而,爲了追求便利,我們也做出了一些妥協。其中之一就是使用中心化的RPC(遠程調用)服務器。用戶通常會通過中心化提供商訪問以太坊。這些公司在雲服務器上運行高性能節點,幫助大家輕鬆訪問鏈上數據。當錢包查詢代幣餘額或檢查交易狀態時,幾乎總會用到這些中心化提供商。

當前系統的問題在於用戶需要信任這些提供商,而無法驗證查詢結果是否正確。

Helios能將來自不受信任的中心化RPC提供商的數據轉換爲安全可驗證的本地RPC。結合中心化RPC,Helios可在不運行完整節點的情況下驗證數據的真僞。

該輕客戶端能在約兩秒內完成同步,且無需存儲,用戶可通過任何設備(包括手機和瀏覽器插件)訪問安全的鏈上數據。但依賴中心化基礎設施到底有什麼潛在風險呢?

中心化基礎設施的風險

一個理論上的攻擊場景可能潛伏在以太坊生態中。攻擊者不是在交易內存池中尋找目標,而是通過模仿我們依賴的中心化基礎設施來設置陷阱。用戶可能在訪問常用的去中心化交易所,設定合理的滑點,進行正常的代幣交易時遭遇一種新型三明治攻擊。這種攻擊精心設置在RPC提供商處,也就是用戶進入以太坊生態的入口。

具體來說,去中心化交易所在處理交易時,用戶會向智能合約提供幾個參數:要兌換的代幣、兌換金額,以及最重要的,用戶接受的最小代幣數量。最後一項參數指明了兌換必須達到的"最小產出",否則會撤銷交易。這通常被稱爲"滑點",它有效設定了從交易發送到納入區塊之間可能出現的最大價差。

如果RPC提供商沒有提供準確的去中心化交易所智能合約報價,用戶可能會被誤導,並以較低的最小產出參數簽署兌換交易。更糟的是,用戶可能將交易直接發送給惡意的RPC提供商。提供商可以不將這筆交易廣播至公共內存池,而私下扣留並將被攻擊的交易包直接發送給某些機構,以從中牟利。

造成這一攻擊的根本原因是信任他人來幫助獲取區塊鏈狀態。爲解決該問題,有經驗的用戶通常會運行自己的以太坊節點,但這需要耗費大量時間和資源。即便成本大幅降低,對於多數用戶來說運行節點仍然很困難,特別是使用移動設備的用戶。

需要注意的是,中心化RPC提供商攻擊雖然完全可能發生,但目前尚未發生。盡管大型提供商的過往記錄值得信賴,但在將不熟悉的RPC提供商添加至錢包前,多做一些研究仍然是值得的。

Helios:完全無需信任的以太坊訪問

以太坊推出輕客戶端協議,爲快速的區塊鏈交互和通過最低硬件需求驗證RPC端點開闢了新的可能性。在The Merge後的一個月裏,一批彼此獨立的輕客戶端相繼湧現,它們各有特色,但都致力於實現同一目標:無需信任的高效訪問,且不必使用完整節點。

Helios是一個以太坊輕客戶端,可在大約兩秒內完成同步,不需要存儲,並提供完全無需信任的以太坊訪問。與所有以太坊客戶端一樣,Helios由執行層和共識層組成。但與多數其他客戶端不同,Helios將這兩層緊密耦合,用戶只需安裝和運行單個軟件即可。

它的工作原理是:Helios共識層使用一個已知的信標鏈區塊哈希,並連接一個不受信任的RPC,以可驗證的方式同步至當前區塊。Helios執行層將這些經過驗證的信標鏈區塊與不受信任的執行層RPC結合,以驗證有關鏈上狀態的各種信息,例如帳戶餘額、合約存儲、交易收據和智能合約調用結果。這些組件協同工作,可爲用戶提供完全無需信任的RPC,且無需運行完整節點。

Helios的應用前景

通過輕量級的Helios,用戶可從任何設備(包括手機和瀏覽器插件)訪問安全的鏈上數據。這將使更多人可以訪問無需信任的以太坊數據,不論使用什麼硬件。用戶可以在某些錢包中將Helios作爲他們的RPC提供商,以實現無需信任地訪問各種DApp,整個過程無需任何其他更改。

此外,Rust對WebAssembly的支持使應用開發人員可輕鬆將Helios嵌入Javascript應用程序(如錢包和DApp)中。這些集成將提升以太坊的安全性,減少我們對中心化基礎設施的信任需求。

Helios的出現爲以太坊生態系統帶來了新的可能性。它爲用戶提供了一種更安全、更去中心化的方式來訪問區塊鏈數據,同時保持了使用便利性。隨着更多開發者參與到Helios的開發和集成中,我們可以期待看到更多創新應用的出現,進一步推動以太坊生態系統的發展和成熟。