a16z Crypto推出Helios輕客戶端：實現真正無需信任的以太坊訪問

2023年11月8日，a16z Crypto發布了以太坊輕客戶端Helios，這款基於Rust語言開發的工具旨在提供完全無需信任的以太坊網路訪問能力。

區塊鏈技術的核心價值之一就是讓用戶不必依賴第三方信任，從而真正掌控自己的財富和數據。以太坊等區塊鏈在很大程度上實現了這一承諾，確保我們的資產真正歸屬於我們自己。

然而，爲了便利性，大多數用戶在使用區塊鏈時做出了一些妥協。最明顯的妥協之一是依賴中心化的RPC(遠程調用)服務器。用戶通常通過某些中心化服務提供商訪問以太坊網路。這些公司在雲服務器上運行高性能節點，幫助用戶輕鬆獲取鏈上數據。當錢包查詢代幣餘額或檢查交易狀態時，幾乎總是通過這些中心化服務進行。

現有系統的主要問題在於用戶必須信任這些提供商，無法自行驗證所獲得信息的準確性。

Helios:輕量級且完全可驗證

Helios作爲基於Rust的以太坊輕客戶端，能夠在不犧牲安全性的前提下提供便捷的區塊鏈訪問。它利用以太坊轉向PoS後實現的輕客戶端協議，將來自不可信中心化RPC提供商的數據轉換爲安全可驗證的本地RPC。通過與中心化RPC配合，Helios能夠在不運行完整節點的情況下驗證數據的真實性。

該輕客戶端可在約兩秒內完成同步，無需額外存儲空間，用戶可通過任何設備(包括手機和瀏覽器插件)安全訪問鏈上數據。

中心化基礎設施的潛在風險

在以太坊的"黑暗森林"中潛伏着理論上的風險。這種風險並非來自交易內存池(Mempool)中的前端運行攻擊，而是通過模擬我們所依賴的中心化基礎設施設置陷阱。

遭遇此類攻擊的用戶可能並未犯任何錯誤:他們只是訪問了常用的DEX，設置了合理的滑點，進行了正常的代幣交易。然而，他們仍可能面臨一種特殊的三明治攻擊，這種攻擊潛藏在以太坊訪問入口處——RPC提供商。

當用戶在DEX執行交易時，會向智能合約提供幾個參數:交易代幣、交易數量以及用戶願意接受的最小代幣數量(即滑點)。如果滑點設置合理，理論上用戶不會遭受三明治攻擊。但如果RPC提供商沒有提供準確的DEX合約報價呢？用戶可能會被誤導，以較低的最小接收量簽署交易。更糟的是，用戶可能直接將交易發送給惡意RPC提供商，而提供商可以私下保留這些交易，並通過特定渠道直接發送給區塊生產者以獲利。

這類攻擊的根本原因是用戶需要依賴第三方獲取區塊鏈狀態。爲解決這個問題，有經驗的用戶通常選擇運行自己的以太坊節點，但這需要大量時間和資源投入:至少需要一臺持續在線的設備、數百GB存儲空間以及大約一天時間來進行同步。雖然這個過程已比過去簡化許多，但對大多數用戶來說仍然難以實現，特別是對移動設備用戶而言。

需要說明的是，雖然中心化RPC提供商攻擊理論上完全可能發生，但目前尚未發現大型、知名提供商有過此類行爲。盡管如此，在將不熟悉的RPC提供商添加至錢包前，進行充分研究仍然很有必要。

Helios工作原理:深度剖析

以太坊推出輕客戶端協議後，爲快速區塊鏈交互和通過最低硬件需求驗證RPC端點創造了新的可能性。合並(The Merge)後的一個月內，多個獨立的輕客戶端項目(Lodestar、Nimbus和基於JavaScript的Kevlar)相繼出現，它們各自採用不同方法，但都致力於同一目標:在不運行完整節點的情況下提供無需信任的高效訪問。

Helios與所有以太坊客戶端一樣，由執行層和共識層組成。但與多數客戶端不同的是，Helios將這兩層緊密結合，用戶只需安裝和運行單個軟件即可。

共識層

Helios的共識層輕客戶端遵循信標鏈輕客戶端規範，利用信標鏈的同步委員會(在Altair硬分叉中引入)。同步委員會是由隨機選擇的512個驗證者組成的羣體，服務週期約27小時。

驗證者在同步委員會中會簽署所有看到的信標鏈區塊頭。如果超過三分之二的委員會成員簽署了區塊頭，則該區塊幾乎肯定位於規範信標鏈中。當Helios了解當前同步委員會的構成後，就可以通過查詢最近的同步委員會籤名來可靠地跟蹤鏈頭。

得益於BLS籤名聚合技術，僅需一次查詢即可完成對新區塊頭的驗證。只要籤名有效且超過三分之二的委員會成員已籤名，就能保證該區塊已被包含在鏈中。

系統首先需要獲取一個弱主觀性檢查點(weak subjectivity checkpoint)作爲信任根源。這是一個被保證在過去某個時刻已納入鏈中的區塊哈希。利用這個檢查點，Helios可以獲取和驗證當前及下一個同步委員會，從而快速檢閱區塊鏈歷史並同步至最新區塊。

執行層

執行層輕客戶端的目標是將經共識層驗證的信標區塊頭與不受信任的執行層RPC結合使用，提供經過驗證的執行層數據。然後通過Helios在本地托管的RPC服務器訪問此數據。

以太坊通過狀態樹存儲帳戶信息，包括合約代碼哈希、隨機數、存儲哈希和餘額。只要知道狀態樹的根，就可以驗證Merkle證明，證明樹中是否存在任何帳戶，這種證明無法被僞造。

Helios從共識層獲取經過驗證的狀態根，並將其與不受信任執行層RPC的Merkle證明請求結合，實現對存儲在以太坊上所有數據的本地驗證。通過這種方式，不受信任的RPC可以拒絕提供數據訪問，但不能提供錯誤結果。

Helios的實際應用

Helios的輕量級設計允許用戶從任何設備(包括手機和瀏覽器插件)安全訪問鏈上數據。用戶可以在MetaMask中將Helios設置爲RPC提供商，無需任何其他更改即可無信任地訪問各種DApp。

此外，Rust對WebAssembly的良好支持使應用開發人員能夠輕鬆將Helios嵌入JavaScript應用程序(如錢包和DApp)中。這些集成將提升以太坊的安全性，減少對中心化基礎設施的信任依賴。

社區可以通過多種方式爲Helios做出貢獻，包括:

• 支持直接從P2P網路獲取輕客戶端數據
• 實現缺失的RPC方法
• 構建可編譯至WebAssembly的Helios版本
• 將Helios直接集成到錢包軟件中
• 構建網路儀表板查看代幣餘額
• 將Helios共識層連接至現有執行層全節點

此項目的代碼庫已經開源，歡迎感興趣的開發者參與貢獻。