1. CoinON官网首页
  2. 新闻
  3. 头条

ProgPoW算法被曝漏洞,以太坊ASIC挖矿已不可阻挡?

Bob鲍师傅 头条 阅读 4682

“由于这一漏洞的存在,以太坊矿机商们是不是可以松一口气了?”

ProgPoW算法被曝漏洞,以太坊ASIC挖矿已不可阻挡?

对于近期备受争议的ProgPoW算法,独立开发者kikx在今日披露了该算法存在的一个漏洞,这使其无法真正实现抗ASIC的目标,kikx还补充表示,这一漏洞是新发现的,并且不会对以太坊当前使用的Ethash算法造成威胁。

对此,以太坊研发人员Philippe Castonguay评论称:

“看起来ProgPoW的当前实现,可能并没有那么抗ASIC,基本上,ProgPoW哈希函数使用了一个64位种子,ASIC可以“轻松”地强制执行,而不是像预期的那样进行挖矿。这需要更多的关注来正式确认。”

此后,以太坊硬分叉协调员James Hancock对这一漏洞的存在进行了确认,随后表示了感谢。 ProgPoW算法被曝漏洞,以太坊ASIC挖矿已不可阻挡?

那这一漏洞到底是肿么一回事呢?

我们来看看kikx披露的细节吧:

ProgPoW的设计漏洞

ProgPow存在一个设计缺陷:

64位seed太小了,这允许ASIC无需存储访问即可计算哈希。

初步实现

感谢chfast提供了可读的实现!

ProgPoW 哈希函数被定义为:

result hash(const epoch_context& context, int block_number, const hash256& header_hash,
uint64_t nonce) noexcept
{
const uint64_t seed = keccak_progpow_64(header_hash, nonce);
const hash256 mix_hash = hash_mix(context, block_number, seed, calculate_dataset_item_2048);
const hash256 final_hash = keccak_progpow_256(header_hash, seed, mix_hash);
return {final_hash, mix_hash};
}

ASIC友好计算

假设给出了一个区块头block_header以及一个区块数block_number

然后,执行以下3个步骤:

  1. seed固定为任何64位值,然后计算mix_hash = hash_mix(block_number, seed)
  2. 搜索extra_nonce,以便header_hash满足难度条件;
  3. 搜索nonce,以便keccak_progpow_64(header_hash, nonce) == seed

第一步,为固定seedblock_number计算mix_hash。由于mix_hash被设计为seedblock_number的函数,所以我们得到一个有效的三元组(seed,mix_hash,block_number)。现在,我们的目标是找到满足以下两个条件的header_hashnonce

  1. (A) keccak_progpow_64(header_hash, nonce) == seed
  2. (B) keccak_progpow_256(header_hash, seed, mix_hash) <= boundary

记住,我们可以通过修改额外的随机数(在以太坊中使用ExtraData)来生成任意数量的header哈希。因此,条件(B)很容易在步骤2中完成。现在,我们有一个固定的(header_hash, seed, mix_hash, block_number),但nonce是自由的。 最后,步骤3扫描nonce以查找条件(A)。由于seed只有64位长度,所以条件(A)仅提供64位安全性,并且可以由ASIC执行步骤3。

计算成本

有四个函数,keccak_1600keccak_progpow_64hash_mix以及keccak_progpow_256。成本的计算,可通过计算所需函数的调用来实现,这取决于网络难度D

ProgPoW算法被曝漏洞,以太坊ASIC挖矿已不可阻挡?

在正常的哈希计算中,需要一个keccak_1600调用,才能从block_header计算出header_hash,并针对每个nonce值依次调用其他函数。

而在ASIC哈希计算中,在步骤1中需要一个hash_mix调用,在步骤2中则要调用keccak_1600keccak_progpow_256,在步骤3中将调用keccak_progpow_64

由于hash_mix在我们的ASIC计算中仅被调用一次,因此我们可以使用主机CPU来计算hash_mix。而其它函数都是keccak哈希函数,不需要memory存储,并且可以在ASIC上轻松计算。

我们需要比较keccak_progpow_64 row中的D2^64。简单地说,更大的D会使ASIC更有利可图。估计阈值门槛是困难的,但我认为目前的难度 (> 2^50)是足够大的。

Demo

演示位于此存储库中。

$ git clone https://github.com/kik/progpow-exploit.git
$ cd progpow-exploit
$ mkdir build
$ cd build
$ cmake ..
$ make
$ ./test/ethash-test --gtest_filter=asic.search

在此演示中,seed被截断为24位宽度,以便在CPU上运行。参见代码。

测试代码是简单的。

这里定义了search_asic

由于这一漏洞的存在,以太坊矿机商们是不是可以松一口气了?

转载声明:本文 由CoinON抓取收录,观点仅代表作者本人,不代表CoinON资讯立场,CoinON不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。若以此作为投资依据,请自行承担全部责任。

声明:图文来源于网络,如有侵权请联系删除

风险提示:投资有风险,入市需谨慎。本资讯不作为投资理财建议。

(0)
打赏 微信扫一扫 微信扫一扫
Bob鲍师傅Bob鲍师傅
0
上一篇 2020年3月5日 下午3:55
下一篇 2020年3月5日 下午3:55

相关推荐

ProgPoW算法被曝漏洞,以太坊ASIC挖矿已不可阻挡?

星期四 2020-03-05 15:55:23

ProgPoW算法被曝漏洞,以太坊ASIC挖矿已不可阻挡?

对于近期备受争议的ProgPoW算法,独立开发者kikx在今日披露了该算法存在的一个漏洞,这使其无法真正实现抗ASIC的目标,kikx还补充表示,这一漏洞是新发现的,并且不会对以太坊当前使用的Ethash算法造成威胁。

对此,以太坊研发人员Philippe Castonguay评论称:

“看起来ProgPoW的当前实现,可能并没有那么抗ASIC,基本上,ProgPoW哈希函数使用了一个64位种子,ASIC可以“轻松”地强制执行,而不是像预期的那样进行挖矿。这需要更多的关注来正式确认。”

此后,以太坊硬分叉协调员James Hancock对这一漏洞的存在进行了确认,随后表示了感谢。 ProgPoW算法被曝漏洞,以太坊ASIC挖矿已不可阻挡?

那这一漏洞到底是肿么一回事呢?

我们来看看kikx披露的细节吧:

ProgPoW的设计漏洞

ProgPow存在一个设计缺陷:

64位seed太小了,这允许ASIC无需存储访问即可计算哈希。

初步实现

感谢chfast提供了可读的实现!

ProgPoW 哈希函数被定义为:

result hash(const epoch_context& context, int block_number, const hash256& header_hash,
uint64_t nonce) noexcept
{
const uint64_t seed = keccak_progpow_64(header_hash, nonce);
const hash256 mix_hash = hash_mix(context, block_number, seed, calculate_dataset_item_2048);
const hash256 final_hash = keccak_progpow_256(header_hash, seed, mix_hash);
return {final_hash, mix_hash};
}

ASIC友好计算

假设给出了一个区块头block_header以及一个区块数block_number

然后,执行以下3个步骤:

  1. seed固定为任何64位值,然后计算mix_hash = hash_mix(block_number, seed)
  2. 搜索extra_nonce,以便header_hash满足难度条件;
  3. 搜索nonce,以便keccak_progpow_64(header_hash, nonce) == seed

第一步,为固定seedblock_number计算mix_hash。由于mix_hash被设计为seedblock_number的函数,所以我们得到一个有效的三元组(seed,mix_hash,block_number)。现在,我们的目标是找到满足以下两个条件的header_hashnonce

  1. (A) keccak_progpow_64(header_hash, nonce) == seed
  2. (B) keccak_progpow_256(header_hash, seed, mix_hash) <= boundary

记住,我们可以通过修改额外的随机数(在以太坊中使用ExtraData)来生成任意数量的header哈希。因此,条件(B)很容易在步骤2中完成。现在,我们有一个固定的(header_hash, seed, mix_hash, block_number),但nonce是自由的。 最后,步骤3扫描nonce以查找条件(A)。由于seed只有64位长度,所以条件(A)仅提供64位安全性,并且可以由ASIC执行步骤3。

计算成本

有四个函数,keccak_1600keccak_progpow_64hash_mix以及keccak_progpow_256。成本的计算,可通过计算所需函数的调用来实现,这取决于网络难度D

ProgPoW算法被曝漏洞,以太坊ASIC挖矿已不可阻挡?

在正常的哈希计算中,需要一个keccak_1600调用,才能从block_header计算出header_hash,并针对每个nonce值依次调用其他函数。

而在ASIC哈希计算中,在步骤1中需要一个hash_mix调用,在步骤2中则要调用keccak_1600keccak_progpow_256,在步骤3中将调用keccak_progpow_64

由于hash_mix在我们的ASIC计算中仅被调用一次,因此我们可以使用主机CPU来计算hash_mix。而其它函数都是keccak哈希函数,不需要memory存储,并且可以在ASIC上轻松计算。

我们需要比较keccak_progpow_64 row中的D2^64。简单地说,更大的D会使ASIC更有利可图。估计阈值门槛是困难的,但我认为目前的难度 (> 2^50)是足够大的。

Demo

演示位于此存储库中。

$ git clone https://github.com/kik/progpow-exploit.git
$ cd progpow-exploit
$ mkdir build
$ cd build
$ cmake ..
$ make
$ ./test/ethash-test --gtest_filter=asic.search

在此演示中,seed被截断为24位宽度,以便在CPU上运行。参见代码。

测试代码是简单的。

这里定义了search_asic

由于这一漏洞的存在,以太坊矿机商们是不是可以松一口气了?

主页
快讯
精选
电报