以太坊DHT验证器证明：实现简单匿名凭证方案的关键步骤

CHAINTT • 2025年10月14日上午11:27 • 币圈百科 • 阅读 116

Table of Contents

介绍

以太坊的发展路线图中包含了一项关键技术——数据可用性采样(DAS)。这项技术由多位研究者提出，并需要实现特定的技术要求，包括专用网络协议。目前，一个值得关注的协议提案建议采用基于Kademlia的分布式哈希表(DHT)来存储和检索数据样本。

然而，DHT系统容易遭受Sybil攻击，攻击者通过控制大量节点可能导致DAS样本不可用。为了解决这个问题，可以考虑建立一个高信任度的网络层，仅允许信标链验证者参与。这种安全措施显著提高了攻击门槛，因为攻击者需要质押ETH才能发动攻击。

本文将介绍一种验证者证明协议，使DHT参与者能够通过零知识证明来验证自己是以太坊验证者。

为了更好地理解验证者证明协议的必要性，我们需要先探讨数据可用性采样面临的Sybil攻击威胁。

DAS协议的核心在于确保区块数据的可用性，使客户端能够获取所需信息。当前的方法是将数据分割成样本，网络参与者只需获取自己感兴趣的样本。

设想这样一个场景：Sybil攻击者试图阻止网络参与者从目标节点获取样本。如图所示，攻击者生成大量与目标节点ID相近的虚假节点ID，通过包围目标节点来阻止客户端发现其存在，因为恶意节点会故意隐瞒目标节点的信息。

关于这类攻击的更多细节可以参考这项研究。此外，Dankrad的DAS网络协议提案也详细描述了S/Kademlia DHT协议如何遭受此类攻击，并强调了验证者证明协议的必要性。

上述攻击促使我们开发验证者证明协议：如果只有验证者可以加入DHT，那么想要发动Sybil攻击就需要质押大量ETH，这大大提高了攻击成本。

通过验证者证明协议，我们确保只有信标链验证者能够加入DHT，并且每个验证者都获得唯一的DHT身份。同时，为了增强网络弹性，我们还致力于在网络层隐藏验证者的具体身份，防止攻击者识别特定DHT节点对应的验证者。

为了实现这些目标，验证者证明协议需要满足几个关键要求：

在DHT层建立连接时，Bob可以使用这个协议向Alice证明自己是验证者。

验证者证明协议本质上是一个匿名凭证方案，其核心是让Alice能够生成唯一的派生密钥D，前提是她确实是验证者。之后，Alice就可以在网络层使用这个派生密钥D。

在设计这个协议时，我们力求方案简单易实现，同时确保它能有效满足前述的各项要求。

该协议采用成员证明子协议，Alice通过零知识证明来证明自己是验证者，并基于秘密哈希前像构建唯一的密钥对。

成员证明子协议可以通过不同方式实现。本文将介绍两种方法：一种是使用Merkle树，另一种是采用查找机制。这两种方法各有优劣：Merkle树依赖SNARK友好的哈希函数如Poseidon，而高效的查找协议则需要与验证者集合规模相当的powers-of-tau可信设置。

Merkle树在成员证明领域已有广泛应用(例如Semaphore)。其优势在于不需要可信设置且易于理解，但缺点是依赖实验性的SNARK友好哈希函数，且证明生成速度较慢。

协议完成后，Alice就可以使用D在DHT中对消息签名，并派生出唯一的DHT节点身份。

使用查找机制(如Caulk)的优点是证明生成极其高效，且可以使用常规哈希函数，但缺点是需要大规模的可信设置。

我们对成员证明协议进行了性能测试(测试代码)，重点关注证明生成和验证时间。测试使用Halo2证明系统和IPA多项式承诺方案，结果显示即使在五年前的Intel i7-8550U处理器上，性能也能满足要求。

验证者证明协议确保每个参与者拥有不同的派生密钥。但某些情况下，允许验证者定期(如每天)更换派生密钥可能更有利。这样，即使某天某个密钥被列入黑名单，第二天也能生成新的密钥。如果需要永久性黑名单功能，则需要更复杂的匿名凭证方案如SNARKBlock。

另一种简单方法是基于所有验证者的BLS12-381公钥构建承诺并进行成员证明。但我们没有采用这种方法，因为将敏感的身份私钥引入复杂的加密协议存在安全风险，也不利于验证者保持主密钥离线。

感谢Enrico Bottazzi、Cedoor、Vivian Plasencia和Wanseob在成员证明代码开发过程中提供的帮助。

声明：文章不代表CHAINTT观点及立场，不构成本平台任何投资建议。投资决策需建立在独立思考之上，本文内容仅供参考，风险自担！转载请注明出处：https://www.chaintt.cn/11308.html