1. 论文基本信息

1.1. 标题

Deanonymizing Ethereum Validators: The P2P Network Has a Privacy Issue (以太坊验证者去匿名化：P2P 网络存在隐私问题)

1.2. 作者

• Lioba Heimbach (ETH Zurich)
• Yann Vonlanthen (ETH Zurich)
• Juan Villacis (University of Bern)
• Lucianna Kiffer (IMDEA Networks)
• Roger Wattenhofer (ETH Zurich)

1.3. 发表期刊/会议

该论文目前作为预印本 (preprint) 发布在 arXiv 上，发布时间为 2024 年 9 月 6 日。根据致谢部分，该论文已提交至 USENIX Security 2025 进行审阅，表明其目标是顶级的安全会议。

1.4. 发表年份

2024年

1.5. 摘要

许多区块链网络旨在保护对等网络 (P2P network) 中验证者 (validator) 的匿名性，以确保攻击者无法将验证者的标识符与其对等点 (peer) 的 IP 地址关联起来，这涉及到隐私和安全问题。本研究表明以太坊 (Ethereum) P2P 网络未能提供这种匿名性。我们提出了一种方法，使网络中的任何节点 (node) 都能够识别与其连接的对等点上托管的验证者，并通过实证验证了该方法的可行性。利用从四个节点三天内收集的数据，我们定位了 P2P 网络中超过 15% 的以太坊验证者。我们提出的去匿名化技术所获得的见解提供了关于验证者在对等点之间的分布、其地理位置以及托管组织 (hosting organization) 的有价值信息。我们进一步讨论了 P2P 网络中缺乏匿名性所带来的影响和风险，并提出了帮助验证者保护其隐私的方法。以太坊基金会 (Ethereum Foundation) 已授予我们漏洞赏金 (bug bounty)，认可了我们研究结果的影响。

1.6. 原文链接

• 原文链接: https://arxiv.org/abs/2409.04366v2
• PDF 链接: https://arxiv.org/pdf/2409.04366v2.pdf

2. 整体概括

2.1. 研究背景与动机

以太坊作为一个强调去中心化 (decentralization) 的区块链，其共识机制 (consensus mechanism) 旨在让尽可能多的参与者参与。然而，随着以太坊向权益证明 (Proof-of-Stake, PoS) 转型，以及其庞大的验证者集合（超过一百万），如何有效地扩展其共识协议同时保持对小型参与者的可访问性，带来了前所未有的复杂性。为此，以太坊引入了创新的 P2P 网络扩展解决方案，例如 GossipSub 协议和子网 (subnet) 机制，以减少消息复杂性。

本研究的核心动机是揭示这些扩展解决方案对以太坊 P2P 网络中验证者隐私和安全的影响。理论上，P2P 网络应提供源匿名性 (source anonymity)，即攻击者无法将验证者的链上身份与其在网络层的 IP 地址关联起来。然而，作者认为当前实现中存在漏洞，允许任何节点去匿名化其连接的对等点上托管的验证者。这种缺乏隐私的状况可能导致严重的攻击，例如针对即将提议区块的验证者发起拒绝服务 (Denial of Service, DoS) 攻击，从而影响链的活跃性 (liveness) 和安全性 (safety)，甚至可能引发时间劫持攻击 (time-bandit attacks)。

2.2. 核心贡献/主要发现

本论文的主要贡献可以概括为以下几点：

• 提出了一种低成本的去匿名化技术： 作者提出了一种简单且低成本的技术，允许网络中的任何节点识别与其连接的对等点上托管的验证者。该技术主要基于对来自对等点的证明消息 (attestation message) 的观察，特别是利用了 GossipSub 协议中节点仅负责传播预定子集证明的特性。如果一个对等点发送了超出其广播责任范围的证明，则高概率表明该证明是由该对等点自身托管的验证者生成的。
• 实证验证了去匿名化可行性： 通过在三天内运行四个节点并收集数据，作者成功定位了 P2P 网络中超过 15% 的以太坊验证者。这证明了所提方法的有效性和实用性。
• 揭示了以太坊 P2P 网络的隐私缺失影响和风险： 论文深入分析了缺乏匿名性可能带来的潜在安全风险，包括对活跃性、安全性以及公平性的担忧。例如，攻击者可能通过识别即将出块的验证者 IP 地址，对其发起 DoS 攻击或 BGP 劫持 (BGP hijacking)，从而阻碍区块提交或传播。
• 提供了 P2P 网络结构和验证者分布的洞察： 通过去匿名化技术，作者获得了关于验证者在对等点之间的分布、地理位置以及托管组织（如云服务提供商和互联网服务提供商）的有价值信息。例如，发现大量验证者集中在少数对等点上，且大多数验证者由云服务提供商托管，甚至发现不同质押池 (staking pool) 的验证者可能由相同的节点运营商 (node operator) 在同一台机器上运行，这引发了对去中心化和韧性 (resilience) 的担忧。
• 提出了隐私保护和攻击缓解方法： 论文讨论了有助于验证者保护隐私的方法，以及防御 DoS 攻击的措施，如增加子网订阅、使用多个节点、私有对等协议 (private peering agreements) 和匿名消息传输协议（如 Dandelion 和 Tor）。
• 获得以太坊基金会漏洞赏金： 以太坊基金会授予了作者漏洞赏金，认可了研究结果的实际影响和重要性。

3. 预备知识与相关工作

3.1. 基础概念

为了理解这篇论文，需要了解以下以太坊和 P2P 网络的基本概念：

• 以太坊区块链 (Ethereum Blockchain): 一个去中心化的全球计算机，通过权益证明 (Proof-of-Stake, PoS) 共识机制运行。
• 权益证明 (Proof-of-Stake, PoS): 一种共识机制，验证者根据其持有的加密货币数量（质押量）被选中来创建新区块和验证交易。
• 验证者 (Validator): 在 PoS 区块链中负责验证交易和创建新区块的参与者。在以太坊中，成为验证者需要质押 32 ETH。
• 信标链 (Beacon Chain): 以太坊 2.0（现称为共识层）的核心，负责管理 PoS 协议，包括验证者注册、奖励和惩罚、以及委员会 (committee) 的组成。
• 执行层 (Execution Layer): 以太坊区块链中处理交易和智能合约执行的部分（原以太坊 1.0）。
• 节点 (Node): 参与区块链网络并存储区块链数据、验证交易和区块的计算机。在本文中，consensus node (共识节点) 通常指的是运行以太坊共识层客户端的机器，validator client (验证者客户端) 是管理一个或多个验证者私钥的软件。一个共识节点可以托管多个验证者客户端。
• 对等网络 (P2P Network): 以太坊节点通过 P2P 网络相互连接和通信，交换区块、交易和共识消息。
• 证明 (Attestation): 验证者对某个区块或链状态的有效性进行的投票，是以太坊 PoS 共识机制的关键组成部分。
• 区块提议者 (Block Proposer): 在每个时隙 (slot) 中，一个验证者被选中来提议新的区块。
• 委员会 (Committee): 在每个 epoch 中，验证者被随机分配到不同的委员会中，每个委员会负责在特定时隙内对区块进行证明。
• 聚合器 (Aggregator): 在每个委员会中，一部分验证者被选为聚合器，负责收集和合并委员会中其他验证者的证明，形成一个聚合的 BLS 签名 (BLS signature)，以减少网络中的消息数量。
• 时隙 (Slot) 和 时期 (Epoch):
  • Slot (时隙): 以太坊共识层的时间单位，持续 12 秒。每个时隙理论上会产生一个新区块。
  • Epoch (时期): 包含 32 个时隙，持续约 6 分 24 秒。区块的最终确定 (finalization) 通常在 epoch 级别进行。
• 子网 (Subnet) / 主题 (Topic): 为了扩展证明消息的传播，以太坊 P2P 网络被划分为 64 个证明子网 (attestation subnet) 和一个聚合子网。每个委员会的证明仅在其对应的子网内广播。节点通常默认订阅两个子网作为“骨干 (backbone)”，并根据需要动态订阅其他子网。
• GossipSub 协议: 以太坊 P2P 网络使用的概率广播协议，用于高效地在对等点之间传播消息。当一个节点发布消息时，它会发送给其子网内的部分对等点（称为扇出 (fanout)）。
• 以太坊节点记录 (Ethereum Node Records, ENR): 包含节点的身份信息，如公钥、IP 地址和端口号，并在网络中传播。
• 最大可提取价值 (Maximal Extractable Value, MEV): 区块生产者可以通过在其区块中包含、排除和重新排序交易而获得的额外价值，通常远高于基础区块奖励。
• 拒绝服务攻击 (Denial of Service, DoS): 攻击者通过大量请求或恶意流量淹没目标，使其无法正常提供服务。
• 边界网关协议劫持 (BGP Hijacking): 攻击者通过恶意宣布路由信息，将网络流量重定向到自己的网络，从而截获或阻断目标流量。

3.2. 前人工作

论文提及的相关工作主要集中在以下几个领域：

• 网络测量和攻击 (Network Measurements and Attacks): 早期对以太坊和比特币等加密货币网络的研究主要集中在衡量这些网络的八卦特性 (gossip properties)、矿工中心化 (miner centralization) 等。在以太坊的旧协议版本中，节点会为每个验证者订阅一个（统一的）随机证明骨干网，从而可以估算节点上的验证者数量。
• 去匿名化攻击 (Deanonymization Attacks): 在匿名保护分布式系统（如 Crowds 和 Tor）中，去匿名化攻击是一个长期研究的课题。这些攻击利用重复路径观察、统计偏差、流量关联和时序攻击来识别消息发起者。针对加密货币的去匿名化攻击，主要利用网络时序信息来追踪交易源头（如比特币和以太坊），或使用 Dandelion 协议等来防止此类攻击。
• 八卦网络 (Gossip Networks): GossipSub 协议在 2020 年被引入，并于一年后发布了改进版本 (v1.1)。已有研究指出了 GossipSub 的弱点，例如 Kumar et al. 的工作分析了 GossipSub 的形式化方法，并展示了其评分函数虽然公平但可被利用。还有研究探讨了八卦网络中可实现源匿名性的基本限制。

3.3. 技术演进

以太坊 P2P 网络为了支持庞大的验证者集合和高吞吐量的消息交换，从简单的全网广播演进到使用了 GossipSub 协议和子网 (subnet) 机制。这种演进旨在通过减少每个节点需要处理的消息量来提高可扩展性。

• 早期协议: 节点可能需要接收并处理所有消息，这对于大规模网络是不可行的。
• 子网引入: 将证明消息划分为 64 个子网，每个委员会的证明只在其对应的子网内传播，大大减少了每个节点需要监听的消息量。
• GossipSub 协议: 引入了概率广播机制，消息不是广播给所有对等点，而是发送给选定的一小部分对等点（扇出），这些对等点再进一步传播。节点会根据对等点的表现（peer performance）选择扇出。节点默认订阅两个子网作为骨干，处理所有消息，也可以动态订阅其他子网。

3.4. 差异化分析

本文的工作与之前的研究有显著的区别和创新点：

• 攻击机制的独特性： 传统针对加密货币的去匿名化攻击大多依赖于网络时序信息（timing information），需要连接到网络的大部分节点才能确定消息的原始来源。而本文提出的攻击利用了 GossipSub 协议本身的协议级细节 (protocol-level details)，特别是其子网广播机制的特定行为。
• 攻击成本低廉： 本文的攻击可以从单个节点发起，针对任意数量的对等点进行。这与需要广泛网络连接的时序攻击相比，成本更低，更容易实施。
• 专注于协议漏洞： 本文直接利用了 GossipSub 协议中为提高性能而引入的机制（即节点只负责传播预定子集证明）所导致的副作用，发现了一个协议层面的隐私漏洞，而非侧信道攻击。
• 量化去匿名化程度： 本文首次量化了以太坊 P2P 网络中验证者隐私的缺失程度，并提供了具体数据（定位超过 15% 的验证者），这在以前的元数据相关技术中是缺失的。
• 对去中心化和韧性的洞察： 本文不仅揭示了隐私问题，更进一步通过去匿名化结果，对以太坊验证者的地理分布、托管组织以及质押池之间的依赖关系进行了深入分析，对以太坊的去中心化和韧性提出了新的担忧。

4. 方法论

4.1. 方法原理

本研究的核心思想是利用以太坊 GossipSub 协议中证明消息 (attestation message) 的传播规则来识别验证者 (validator) 所在的对等点 (peer) IP 地址。其基本原理是：以太坊节点为了降低网络负载，只负责传播其订阅子网 (subnet) 中的消息。当一个验证者生成一个证明时，其连接的共识节点 (consensus node) 会将该证明发布到对应的子网。如果一个节点作为骨干 (backbone) 订阅了某个子网，它会转发在该子网中听到的所有消息。然而，如果一个对等点 $p$ 发送了一个由验证者 $\nu$ 生成的证明，而这个证明所属的子网 $S_i$ 并不是 $p$ 订阅的骨干子网，那么可以推断出这个证明很可能就是由 $p$ 本身托管的验证者 $\nu$ 生成的。因为 $p$ 没有理由去转发一个它未订阅子网中的、由其他节点生成的证明。通过反复观察这种行为，就可以高置信度地将验证者 $\nu$ 关联到对等点 $p$ 的 IP 地址。

理想情况下的去匿名化 在理想情况下，如果一个对等点 $p$ 托管了 $V$ 个验证者，并且它是两个子网的骨干。我们作为观察者与 $p$ 连接，并处于其所有子网的扇出 (fanout) 中。在这种情况下，我们会收到 $p$ 托管的 $V$ 个验证者生成的所有证明。同时，对于网络中所有其他 $N$ 个验证者，我们只会收到它们在 $p$ 的两个骨干子网中生成的证明。通过这种方式，我们可以轻易区分出由 $p$ 自身验证者生成的证明（它们会出现在非骨干子网中），从而实现去匿名化。

4.2. 核心方法详解

4.2.1. 实际操作中的信息不完美性

在实际网络环境中，信息往往是不完美的，存在以下几个因素影响理想情况：

1. 非默认参数 (Non-default parameters): 节点可能运行非默认参数，例如订阅超过两个骨干子网，这会增加我们从该对等点收到的消息量。

2. 网络原因 (Network reasons): 由于网络断开、丢包或对等点扇出的动态成员变化，我们可能无法收到对等点生成的所有证明。

3. 动态订阅或延迟信息 (Dynamic subscriptions or delayed information): 我们可能收到对等点发送的一些骨干子网证明，但由于动态订阅或信息延迟，无法立即将其标记为骨干证明。

4. 验证者客户端使用多个节点 (Multiple nodes for a validator client): 一个验证者客户端可能通过多个共识节点传播消息，或为不同任务使用不同的节点，这会混淆来源。

5. 对等点评分 (Peer scoring): 我们只有在对等点给我们一个好的对等点评分时才能从它们那里接收到传播的证明，这意味着我们需要积极参与证明传播。如果我们率先宣布一些证明，那么从每个对等点收到的证明就会减少。

   为了应对这些不完美性，作者提出了一个启发式方法 (Heuristic Approach)，并基于一个关键假设： 假设 (Assumption): 一个对等点在绝大多数情况下会率先告诉我们它自己的证明。

4.2.2. 启发式去匿名化方法

为了处理不完美信息，作者开发了一个启发式去匿名化方法，通过以下四个条件来过滤对等点并识别验证者 ID：

如果以下所有条件都成立，我们认为验证者 $\nu$ 托管在对等点 $p$ 上：

• C1：非骨干证明比例 (Proportion of non-backbone attestations) 条件 C1 确保我们从对等点 $p$ 收到的、由验证者 $\nu$ 生成的非骨干证明的比例足够高。具体来说，该比例必须超过预期的某个阈值。 $$0.9 \cdot \left( \frac{64 - n_{\mathrm{sub}}(p)}{64} \right)$$ 其中：

  • $n_{\mathrm{sub}}(p)$ 是对等点 $p$ 在连接期间平均订阅的子网数量。

  • 64 是以太坊证明子网的总数。

  • $\frac{64 - n_{\mathrm{sub}}(p)}{64}$ 代表了在假设 $p$ 仅订阅了 $n_{\mathrm{sub}}(p)$ 个子网作为骨干的情况下，由 $p$ 托管的验证者生成的证明出现在非骨干子网的预期比例。

  • 0.9 是一个保守的阈值，确保我们只分析那些我们能从其所有子网扇出中收到大部分证明的对等点。

    目的分析: 这个条件是去匿名化的核心。它利用了 GossipSub 协议的特性：如果一个对等点 $p$ 并非某个子网的骨干，但我们反复从它那里收到来自该子网的、由验证者 $\nu$ 生成的证明，那么 $\nu$ 极有可能是 $p$ 自己托管的验证者。通过设置一个 0.9 的比例，确保了我们观察到的非骨干证明行为具有足够的统计显著性，从而避免将转发行为误判为源自对等点。

• C2：未订阅所有 64 个子网 (Not subscribed to all 64 subnets) 条件 C2 要求对等点 $p$ 没有订阅所有的 64 个子网。 目的分析: 如果一个对等点订阅了所有 64 个子网，那么它收到的所有证明都可能被视为来自“骨干子网”的消息。在这种情况下，我们永远无法收到“非骨干证明”，条件 C1 将失效。因此，这个条件排除了那些无法通过非骨干证明进行去匿名化的节点。

• C3：接收到足够多的预期证明 (Received at least every tenth attestation expected) 条件 C3 确保我们从对等点 $p$ 收到了验证者 $\nu$ 预期证明数量的至少十分之一。 目的分析: 这个条件旨在确保我们与对等点 $p$ 之间存在足够稳定和良好的连接，并且我们被包含在足够多的扇出中。如果连接质量差或我们很少被包含在扇出中，那么我们可能无法收集到足够的数据来做出可靠的去匿名化判断，从而可能导致假阴性 (false negatives) 或不准确的结果。

• C4：接收到的证明数量显著高于平均值 (Number of attestations exceeds mean by one standard deviation) 条件 C4 要求我们从对等点 $p$ 接收到的、由验证者 $\nu$ 生成的证明数量，要超过该对等点发送的所有验证者平均证明数量的一个标准差。 目的分析: 这是一个额外的、保守的启发式规则，用于进一步区分由对等点 $p$ 自身托管的验证者和它只是转发的来自其他验证者的证明。如果一个验证者产生的证明数量显著高于平均水平，这增加了该验证者由 $p$ 托管的可能性，因为它表明 $p$ 在持续、高频地广播该验证者的消息。这有助于过滤掉那些由于偶然或短暂动态订阅而出现的少量非骨干证明，进一步减少误报 (false positives)。

启发式方法的保守性 这些条件代表了保守的启发式方法，旨在确保我们仅分析那些连接稳定且时间足够长，以收集到足够数据的对等点。作者在附录 A 中详细解释了每个启发式规则和参数选择的鲁棒性测试。通过这些条件，作者能够以高置信度识别对等点上托管的验证者。

5. 实验设置

5.1. 数据集

5.1.1. 以太坊网络层日志 (Ethereum Network-Layer Logging)

• 客户端实现: 作者基于最广泛使用的以太坊共识层客户端 Prysm ([66]) 修改并实现了一个名为 RAINBOW 的监听节点。RAINBOW 节点能够像标准 Prysm 节点一样运作，但具有特定的修改用于数据收集。
• 修改功能: RAINBOW 节点连接多达 1,000 个对等点，并静态订阅所有 64 个子网。这些修改是为了增加对等点连接数并观察所有子网的证明，从而最大化去匿名化范围。
• 数据记录: RAINBOW 节点记录三种主要数据：
  1. 证明 (Attestations): 所有证明消息，包括它们的来源和所属子网。
  2. 静态订阅 (Static Subscriptions): 所有对等点通告的静态子网订阅信息。
  3. 连接数据 (Connection Data): 与所有交互节点精确的连接数据。
• 数据筛选: 在本研究中，对于相同的证明，只考虑我们收到的第一个证明。
• 部署环境:
  • 三个 RAINBOW 实例部署在 AWS 的 r5a.4xlarge 机器上，分别位于 useast-1 (VA)、eu-central-1 (FR) 和 ap-northeast-2 (SO) 数据中心。
  • 一个节点部署在苏黎世 (ZH) 的裸机服务器上。
• 数据收集时间: 2024 年 5 月 7 日 00:00 UTC 至 2024 年 5 月 10 日 00:00 UTC，为期三天。
• 数据量: 收集了约 700GB 的压缩数据，并加载到 SQL 数据库中进行处理。

5.1.2. 以太坊网络覆盖范围 (Ethereum Network Coverage)

• 爬虫实现: 作者使用自定义的爬虫实现来衡量对以太坊信标链 (Beacon network) 的网络覆盖范围。
• 发现节点: 爬虫利用 discv5 对等点发现协议 ([33]) 收集网络中节点的 ENR。
  • 每天发现平均 16.5K 个唯一的 IP 地址（20K 个唯一的节点 ID），在三天内累计发现 20,240 个 IP 地址（28,998 个节点 ID）。
• 可达性测量: 每小时向所有发现的 ENR 发送协议内 ping 消息，以区分网络中可达的节点（即未在 NAT 或防火墙后，能够接受传入连接的节点）。
  • 每天平均发现 8.1K 个唯一的 IP 地址（8.4K 个节点 ID）是可达的。
  • 在三天测量期内，总共发现 8,941 个 IP 地址（9,468 个节点 ID）是可达的。
• 网络规模估算: 这意味着网络中可达的在线节点数量下限为 8,941 个。作者的 RAINBOW 节点能够与其中大约一半的节点保持足够长的连接。

5.1.3. 验证者实体标注 (Validator Entity Labeling)

为了验证和评估去匿名化结果的准确性，作者进行了验证者聚类，即将以太坊验证者按其所属实体（例如，质押池）进行分组。然后检查定位在同一机器上的验证者集合是否与聚类结果一致（即同一对等点上的验证者是否属于同一实体）。

• 基础数据集: 使用 mevboost.pics ([78]) 提供的 pubkey_mapping 数据集，该数据集提供了验证者的标签。
• 修正和补充:
  1. 存款地址 (Deposit Addresses): 监控以太坊区块链上的信标链存款合约 (Beacon chain deposit contract)，收集用于激活验证者（需要 32 ETH）的存款地址。对于前 15 个实体，识别使用超过 100 次的存款地址，并将由这些地址资助的任何验证者归因于相应的实体。
  2. 费用接收者地址 (Fee Recipient Addresses): 对前 15 个实体，收集使用超过 100 次的费用接收者地址，这些地址用于接收执行层奖励。任何仅使用其中一个地址的验证者被归因于相应的实体。
  3. 标签清理: 移除数据集中被分配了多个标签的验证者的标签。

5.2. 评估指标

论文的验证方法主要围绕一致性 (consistency) 和唯一性 (uniqueness) 展开，旨在评估去匿名化结果的质量。

5.2.1. 验证者集合的一致性 (Consistency of Validator Sets)

一个对等点上定位的验证者集合被认为是一致的，如果满足以下任一条件：

• $\Gamma1$: 实体标签一致性 (Entity label consistency)

  • 对于至少 30% 的验证者有实体标签，并且其中至少 90% 的标签是相同的。

• $\Gamma2$: 存款地址一致性 (Deposit address consistency)

  • 至少 90% 的验证者由相同的存款地址资助。

• $\Gamma3$: 费用接收者地址一致性 (Fee recipient address consistency)

  • 至少 90% 的验证者专门使用相同的费用接收者地址。

• $\Gamma4$: 连续 ID 一致性 (Consecutive ID consistency)

  • 验证者的 ID 可以聚合成少量具有连续 ID 的组。组的数量上限为该对等点上验证者数量的十分之一。

• 单个验证者: 如果一个对等点只定位到一个验证者，则该集合被视为天然一致。

  一个对等点上定位的验证者集合被认为是不一致的 (inconsistent)，如果满足以下条件：

• C1 (不一致条件): 对于至少 10% 的验证者有实体标签，但其中少于 90% 的标签是相同的（Rocketpool 和 ENS 名称例外，因为它们可能天然存在不一致性）。

  除了上述两种情况，其余所有对等点上的验证者集合都被标记为未知 (unknown)。

5.2.2. 验证者-IP 映射的唯一性 (Uniqueness of Validator-IP Mapping)

这个指标关注的是一个验证者是否只被映射到一个唯一的 IP 地址端口组合，还是被映射到多个。如果一个验证者被映射到多个 IP，这可能表明存在：

• 多机器中继 (Multiple machine relays): 实体可能为了确保验证者正常运行，通过多台机器中继其验证者的消息。

• 服务提供商 (Service providers): 验证者可能使用了消息传播服务，导致其消息源看似来自多个 IP。

  这个指标的目的是评估去匿名化结果的精确性，即一个验证者是否能够被明确地定位到单个机器。

5.3. 对比基线

本研究主要侧重于提出和验证一种新的去匿名化技术，因此没有直接与现有的“去匿名化算法”进行性能对比。相反，其核心是证明这种攻击的可行性，并通过以下方式间接与“理想的匿名系统”进行对比：

• 与理想匿名目标的对比: 论文开篇即指出以太坊 P2P 网络旨在保护匿名性，但本研究证明其未能实现这一目标。

• 与传统攻击方法的对比: 论文将自身提出的方法与依赖于广泛网络连接和时序信息的传统去匿名化攻击（如针对比特币和 Tor 的攻击）进行了对比，强调了其方法在成本和实施复杂性上的优势。

• 与协议设计意图的对比: 论文的核心发现是 GossipSub 协议的设计（特别是其子网机制）无意中泄露了验证者的位置信息，这与协议期望提供的源匿名性目标相悖。

  因此，本研究的“基线”更多是“期望中的匿名性”和“现有的、不适用或不高效的去匿名化方法”，而不是直接的算法性能竞争。

6. 实验结果与分析

6.1. RAINBOW 节点分析

6.1.1. 对等点连接概览 (Peering Overview)

作者在三天的数据收集期间，通过四个 RAINBOW 节点试图连接到 11,219 个唯一对等点，并成功建立了与 10,785 个对等点的连接。其中，4,372 个唯一对等点保持了足够长的连接（超过 32 个 epoch，即大约 3.4 小时）。这约占可达网络（8,941 个唯一 IP）的一半，估计总网络规模的三分之一。

以下是原文 Table 1 的结果：

分析:

• 连接能力差异: VA (美国东部) 和 ZH (苏黎世) 节点在尝试连接、建立连接和保持长连接的对等点数量上明显多于 FR (欧洲中部) 和 SO (东北亚) 节点。VA 节点连接的对等点数量最多，ZH 紧随其后。

• 地理位置影响: 这表明节点部署的地理位置和底层基础设施（例如，AWS 云服务与裸机服务器）可能影响其在 P2P 网络中的连接性能。高连接数可能意味着更好的网络拓扑位置和更低的延迟。

  以下是原文 Figure 4 的结果：

  分析:

• 连接数随时间变化: VA 节点平均连接 645 个对等点，ZH 平均 537 个，FR 平均 369 个，SO 平均 338 个。VA 节点在整个测量期间平均连接的对等点数量最多且最稳定，而 FR 和 SO 节点的连接数较低且表现出相似的下降模式（例如 5 月 8 日 8:00 UTC 左右的下降）。这可能与 AWS 的区域性网络问题有关，但 VA 节点恢复更快。

• 高连接数优势: 拥有更多长期连接的对等点，意味着可以收集更多的数据，从而提高去匿名化的效率和覆盖范围。

  以下是原文 Table 2 的结果：

  	FR	SO	VA	ZH
  FR	1,017	496	543	197
  SO	496	1,142	592	205
  VA	543	592	2,207	495
  ZH	197	205	495	1,942

分析:

• 对等点重叠: FR 和 SO 节点之间存在最大的相对重叠（496 个），约占它们各自长连接对等点的一半。FR 和 SO 与 VA 节点也有约 550 个对等点重叠，这在 FR 和 SO 的长连接对等点中占比超过一半，但在 VA 节点中仅占四分之一。ZH 节点与其他节点的重叠最小。
• 地理聚类效应: 这种重叠模式可能反映了地理位置和网络提供商的聚类效应。FR 和 SO 节点都位于 AWS，可能更容易连接到相似的对等点。ZH 节点作为裸机服务器，其连接模式可能与 AWS 节点有所不同。

6.1.2. 去匿名化结果 (Deanonymization Results)

作者将有足够长连接的对等点分为四类：

• Deanonymized: 成功定位到验证者的机器。

• No Validators: 未收到任何非骨干证明，高置信度认为没有托管验证者。

• 64 Subnets: 订阅了所有 64 个子网的对等点，无法进行去匿名化（因为没有非骨干证明的概念）。

• Rest: 收到至少一个非骨干证明，但无法定位验证者（灰色地带）。

  以下是原文 Table 3 的结果：

  	deanonymized	no validators	64 subnets	rest
  FR	46.61%	43.91%	0.60%	8.88%
  SO	43.75%	43.57%	0.26%	12.41%
  VA	59.28%	33.12%	0.50%	7.10%
  ZH	58.39%	33.35%	0.78%	7.48%
  overall	52.35%	37.52%	0.69%	9.46%

分析:

• 成功率高: 总体而言，52.35% 的对等点被成功去匿名化，37.52% 的对等点被确定为未托管验证者。这意味着对于绝大多数对等点，我们能够明确地做出判断。
• VA 和 ZH 表现更好: VA 和 ZH 节点的去匿名化率更高（接近 60%），且“无验证者”的比例更低，这与它们更高的连接质量相符。
• “64 Subnets”比例极低: 只有极少数对等点订阅了所有 64 个子网，这表明这种防御策略不常见。
• “Rest”比例可控: 无法分类的对等点（“Rest”）比例较低（总体不到 10%），这表明启发式方法具有较好的区分能力。
• 总有效性: 在排除“无验证者”的对等点后，我们的方法可以去匿名化 84.57% 的对等点，这表明攻击的有效性非常高。

6.1.3. 去匿名化随时间变化和跨 RAINBOW 节点 (Deanonymizations Over Time and Across RAINBOW Nodes)

以下是原文 Figure 5 的结果：

分析:

• 累计新连接: 累计新长连接对等点数量呈近似线性增长，VA 节点的新连接数最多。这表明部署多个节点和延长攻击时间有利于增加去匿名化的覆盖范围。

  以下是原文 Figure 6 的结果：

  分析:

• 累计去匿名化验证者: 初始阶段，去匿名化的验证者数量急剧增加，尤其在前一天半。尽管后期增速放缓，但总量仍在持续增长。

• 连接质量影响: SO 节点显示出随着时间推移，去匿名化对等点数量下降的情况，这可能表明其与某些对等点的连接质量恶化，不再满足启发式条件。这说明连接的稳定性对去匿名化的准确性很重要。

攻击成本和优化:

• 作者指出，部署多个节点并延长攻击时间有助于提高去匿名化成功率。
• 尽管 AWS 部署成本较高，但住宅互联网连接和中等硬件配置（低于 1000 美元）即可满足需求。
• 相对于潜在的 MEV 利润（以太坊合并以来已达 20 亿美元），这些攻击成本相对较低。
• 攻击者可以通过优化策略来降低成本，例如轮换对等点而非长期连接已去匿名化的对等点。

6.2. 验证 (Verification)

总体而言，作者在四个 RAINBOW 节点上定位了 252,293 个验证者，约占以太坊验证者总数的四分之一。

以下是原文 Table 4 的结果：

分析:

• ZH 节点表现突出: ZH 节点去匿名化的验证者数量最多（215,293 个），VA 节点次之（74,904 个）。这与它们在对等点连接数上的优势相符。
• 排除服务提供商: 排除服务提供商后，总共定位了 161,057 个验证者，超过了网络中验证者总数的 15%。

6.2.1. 验证者集合的一致性 (Consistency of Validator Sets)

作者通过检查定位在同一对等点上的验证者集合的属性（如实体标签、存款地址、费用接收者地址或连续 ID）来验证其一致性。

以下是原文 Table 5 的结果：

分析:

• 高对等点一致性: 绝大多数对等点上的验证者集合被认为是一致的（总体 93.75%），这有力地支持了去匿名化方法的准确性。
• 验证者一致性差异: 然而，当看验证者比例时，只有 63.67% 的验证者属于一致集合。这主要是因为那些被标记为不一致的验证者集合平均规模要大得多。

服务提供商 (Service providers):

• 作者发现 17 个对等点托管了至少 200 个不一致的验证者集合，其中最大的一个集合包含 84,165 个验证者。

• 这些对等点之间存在显著的验证者集合重叠。

  以下是原文 Figure 7 的结果：

  分析:

• 重叠模式: 图 7 中的热力图显示，这些具有不一致验证者集合的对等点之间存在广泛的重叠。颜色越深表示重叠比例越大。

• 推断服务提供商: 作者推断这些对等点是 P2P 服务提供商（例如 bloXroute），它们帮助验证者快速传播和接收消息，而不是自己运行验证者。这些服务提供商具有访问多样化（不一致）且大量验证者证明的权限，且在不同对等点之间存在大量验证者集合重叠。

• 排除服务提供商: 为了更准确地反映实际托管验证者的机器，作者将这些服务提供商从去匿名化结果中排除。排除后，总共定位了 161,057 个验证者。

6.2.2. 验证者-IP 映射的唯一性 (Uniqueness of Validator-IP Mapping)

• 非唯一验证者: 总共有 16,172 个验证者具有非唯一的 IP 映射，约占所有去匿名化验证者（排除服务提供商后）的 10%。
• 原因分析: 进一步检查发现，近四分之三的重叠涉及位于同一城市的对等点。这表明一些实体可能为了确保验证者正常运行时间，通过多台机器中继其验证者的消息。虽然这增加了攻击的复杂性，但去匿名化仍然将这些验证者与我们连接的对等点集合关联起来。这种行为的证据很强。
• 小比例重叠: 剩余的重叠（不到 1% 的去匿名化验证者）是微乎其微的，可能也源于类似的做法。

6.2.3. 去匿名化结果的相似性 (Similarity of Deanonymizations)

• 跨节点一致性: 对于从多个 RAINBOW 节点去匿名化验证者的 794 个对等点，其中 762 个（95.96%）在所有连接到该对等点的 RAINBOW 节点上定位了完全相同的验证者集合。
• 高重叠率: 平均而言，验证者集合的重叠率为 99.20%。
• 结果鲁棒性: 这表明去匿名化结果是鲁棒的，即从不同地理位置分布的 RAINBOW 节点，我们能够在一个对等点上定位到相同的验证者集合。

6.3. 洞察 (Insights)

以下是原文 Table 6 的结果：

分析:

• 验证者重叠: 各个 RAINBOW 节点去匿名化的验证者之间存在显著重叠。例如，FR、SO 和 VA 节点去匿名化的验证者与 ZH 节点去匿名化的验证者有超过一半的重叠。
• 唯一性: ZH 节点去匿名化了最多的唯一验证者（93,854 个），VA 节点次之（23,577 个）。这再次确认了 ZH 节点在发现新验证者方面的优势。

6.3.1. 地理分布 (Geographical Distribution)

以下是原文 Figure 8 的结果：

分析:

• 对等点地理分布 (图 8a):
  • 欧洲：46.79%
  • 北美：38.05% (其中美国占 33.03%)
  • 亚洲：9.95%
  • 大洋洲：4.16%
  • 南美：0.77%
  • 非洲：0.27%
  • 国家分布: 美国拥有的对等点数量最多，是第二大国家的两倍多。德国、加拿大、法国、英国、荷兰等国家也占有较大比例。
  • RAINBOW 节点偏向: VA 节点在美国去匿名化的对等点更多，而 ZH 节点在大多数欧洲国家去匿名化的对等点更多，这显示了地理位置的偏差。
• 验证者地理分布 (图 8b):
  • 重心转移: 与对等点分布相比，验证者的地理分布重心发生变化。荷兰托管的验证者数量最多（12.71%），而美国仅排第四。
  • 洲际分布: 欧洲托管了 70.90% 的验证者，北美 12.48%，亚洲 11.46%。
  • RAINBOW 节点偏向: 同样存在地理偏向，例如 SO 节点在澳大利亚和韩国的去匿名化比例较高。
• 结论: 欧洲，特别是荷兰，托管了不成比例的大量验证者，这可能与数据中心基础设施、监管环境或质押池的运营策略有关。

6.3.2. 托管组织 (Hosting Organizations)

以下是原文 Figure 9 的结果：

分析:

• 按对等点数量计 (图 9a):
  • 最大的组织是 Comcast（住宅 ISP），占 5.97%。
  • 紧随其后的是 Hetzner、OVH 和 Amazon（云服务提供商）。
  • 云服务与住宅 ISP: 大约一半的对等点由云服务提供商托管，另一半由住宅 ISP（即家庭质押者）托管。
• 按验证者数量计 (图 9b):
  • 云服务主导: 前十大组织中有八个是云服务提供商，前七个全部是云服务提供商。
  • Amazon 托管了最多的验证者（19.07%）。
  • ZH 节点特殊性: 尽管 ZH 节点并非在 Amazon 数据中心运行，但它在 Amazon 数据中心去匿名化的验证者比例最高。
  • 集中化担忧: 大约 90% 的验证者通过云服务提供商运行，其余 10% 属于住宅 ISP。这表明以太坊验证者的高度集中在少数大型云服务提供商手中，这对于去中心化是一个潜在的风险。

6.3.3. 验证者分布 (Validator Distribution)

以下是原文 Figure 10 的结果：

分析:

• 单验证者节点: 约 27% 的对等点只托管一个验证者。
• 少数验证者节点: 超过一半的对等点托管不超过四个验证者。
• 集中化现象: 只有 11% 的对等点托管超过 100 个验证者。
• “整数”效应: 在托管大量验证者的对等点上，存在向“整数”数量（例如 100、250、300、350、400、500 和 1,000）倾斜的趋势。这表明大型组织在不同节点之间分配验证者时倾向于使用整数，例如控制 10,000 个验证者的组织可能会将其分配到 10 个节点，每个节点运行 1,000 个验证者。
• 佐证去匿名化准确性: 这种“整数”效应也间接表明作者的去匿名化技术能够定位机器上托管的所有验证者，因为这些“整数”不太可能是巧合。

6.3.4. 质押池 (Staking Pools)

以下是原文 Figure 11 的结果：

分析:

• 质押池验证者分布: 对于最大的五个质押池（Lido、Coinbase、Ether.Fi、Binance 和 Kraken），每个对等点托管的验证者数量的累计分布函数也显示出“整数”效应。

• 高集中度: 平均每个对等点托管 709 个验证者，最大的验证者集合包含 19,390 个验证者。

  以下是原文 Figure 12 的结果：

  分析:

• 经济效益: 虽然有些对等点托管少于 100 个验证者，但这些质押池中的大多数对等点托管超过 100 个，这突显了质押池的经济效益（即规模化运营）。

• 安全风险: 最大的单个对等点托管了 19,390 个验证者。这种高集中度带来了严重的安全隐患：尽管有数百万验证者，但只要数百个这样的对等点离线，就可能导致以太坊停滞，因为超过三分之二的验证者必须在线才能保证活跃性 (liveness)。

• 节点运营商 (Node Operators) 依赖性: 许多质押池利用节点运营商来管理验证者。尽管宣称这些运营商是独立的以提高去中心化，但本研究发现不同质押池的验证者可能由相同的节点运营商在同一台机器上运行。这在协议之间制造了不必要的依赖。

• 缺乏透明度: 关于验证者在节点提供商之间分布的数据不易获取，使得评估以太坊区块链的去中心化程度变得困难。

6.3.5. 对去中心化的影响 (Implications on Decentralization)

• 现有挑战: Lido 等大型质押池已经控制了近三分之一的质押权，接近以太坊 PoS 的关键安全阈值。
• 新发现的依赖性: 本研究揭示了 P2P 网络中质押池之间更深层次的纠缠。不仅节点运营商为不同的质押池运行验证者，甚至在同一台机器上运行。这意味着当一个节点离线时，来自不同协议的验证者都会离线。
• 韧性问题: 某些对等点托管数千个验证者，进一步加剧了以太坊共识层的集中化和韧性风险。
• 质疑去中心化: 这些发现对以太坊共识层的去中心化和韧性提出了质疑，凸显了在协议设计和运营实践中需要解决的深层问题。

6.4. 消融实验/参数分析 (Appendix A)

作者在附录 A 中详细分析了启发式条件（C1、C2、C3、C4）的参数选择及其对去匿名化效果和准确性的影响。通过这些分析，作者验证了所选参数的鲁棒性。

以下是原文 Table 7d 的结果：

以下是原文 Table 8d 的结果：

分析:

6.4.1. 条件 C1

条件 C1 (非骨干证明比例) 确保收到的非骨干证明比例足够高。

• 无 C1 的影响: 移除 C1 导致总验证者数量增加近三分之一，排除服务提供商后增加近 50%。非唯一验证者数量翻倍，不一致验证者集合显著增加。这表明 C1 对于减少误报至关重要。
• 参数选择 ($c1 = 0.9$): 作者选择了 $c1 = 0.9$，因为它在限制性与容忍小偏差之间取得了平衡，即使存在细微差异也不会损害整体一致性。例如，$c1 = 0.3$ 效果类似，而 $c1 = 1.0$ (更严格) 会导致大量验证者被遗漏，且一致性提升不明显。

6.4.2. 条件 C2

条件 C2 (未订阅所有 64 个子网) 排除了订阅所有子网的对等点。

• 无 C2 的影响: 移除 C2 会导致验证者数量略微增加，但以非唯一验证者比例略微上升为代价，并且对等点上的不一致验证者集合数量略微增加。
• 目的: C2 旨在避免依赖不太明显的信号（例如消息数量而非消息类型），从而简化和增强去匿名化的判断。

6.4.3. 条件 C3

条件 C3 (接收到足够多的预期证明) 确保与对等点有良好的连接。

• 无 C3 的影响: 移除 C3 导致验证者数量增加三倍以上，非唯一验证者数量飙升，对等点验证者集合的一致性显著下降。这强调了保持良好连接对于去匿名化方法的重要性，否则会导致大量假阳性 (false positives)。
• 参数选择 ($c3 = 10$): 作者选择了 $c3 = 10$ (即至少收到预期证明的十分之一)。$c3 = 20$ (最不严格) 会使验证者数量增加近三分之一，但非唯一验证者比例没有显著增加，不过一致对等点比例明显下降。$c3 = 5$ (更严格) 找到的验证者数量显著减少。选择 $c3 = 10$ 在找到更多验证者和保持较低的非唯一验证者比例及一致性之间取得了最佳平衡。

6.4.4. 条件 C4

条件 C4 (接收到的证明数量显著高于平均值) 确保接收到的特定验证者消息量显著高于平均水平。

• 影响: 在不同参数配置下（无 C4、$c4 = 1$、$c4 = 4$），结果在非唯一验证者比例和一致性方面大体相似。
• 参数选择 ($c4 = 1$): 最严格的 $c4 = 4$ 会导致定位的验证者数量显著减少。因此，作者选择 $c4 = 1$，因为它在不损失太多验证者的情况下，提供了额外的预防措施。
• 目的: 即使 C4 的影响最小，它仍作为一项谨慎措施，确保对等点上被映射的验证者与其他验证者之间的消息数量存在明确区分。

6.4.5. 扇出成员资格和假阴性 (Fanout Membership and False-Negatives)

• 扇出机制: GossipSub 协议规定，当连接到对等点时，我们会被添加到所有未满负荷（默认扇出大小为 8）的扇出中。
• 假阴性分析: 假设对等点默认订阅 2 个子网，其 62 个非骨干子网的扇出不太可能全部满负荷。因此，我们很可能被添加到至少一个扇出中，从而接收到非骨干证明。如果一个对等点从不发送非骨干证明，且未订阅所有 64 个子网，则被认定为未运行验证者。长时间保持连接会增加被添加到扇出并接收非骨干证明的可能性，从而降低假阴性。

7. 总结与思考

7.1. 结论总结

本研究系统地揭示了以太坊 P2P 网络中验证者匿名性的缺失，并通过一种简单且低成本的去匿名化技术，成功定位了超过 15% 的以太坊验证者。这一发现不仅挑战了区块链网络旨在提供的源匿名性，还揭示了以太坊共识层中存在的深层安全和去中心化风险。研究结果表明，验证者高度集中在少数云服务提供商手中，并且不同质押池的验证者可能由相同的节点运营商在同一机器上运行，这在协议之间制造了不必要的依赖，并对网络的韧性构成威胁。以太坊基金会授予的漏洞赏金进一步印证了这些发现的重大影响。

7.2. 局限性与未来工作

• 攻击强化: 作者指出，当前的攻击方法仍有提升空间，可以去匿名化更大比例的网络：
  • 开放端口 (Open ports): RAINBOW 节点在实验中运行的是关闭端口，限制了连接到网络中可达的部分。如果开放端口，将扩大连接范围，可能去匿名化更多验证者。
  • 重复证明 (Duplicate attestations): 当前方法仅考虑每个证明的首次出现。纳入重复数据可以进一步提升去匿名化效果。
  • 其他验证者任务 (Other validator tasks): 除了证明之外，验证者还参与聚合 (aggregation) 和同步委员会 (sync committees) 等任务，这些任务也会泄露信息。利用这些信息不仅可以增强去匿名化，还可能在聚合器自我揭示之前识别它们，从而开辟新的攻击向量。
• 隐私保护机制的必要性: 鉴于当前“简单”攻击的有效性，开发一种保护以太坊 P2P 网络隐私的机制至关重要。作者提出的缓解措施（如增加子网订阅、多节点部署、私有对等协议、匿名消息传输协议）可以指导未来的研究。
• GossipSub 协议的通用影响: 本研究虽然聚焦以太坊，但其核心发现基于 GossipSub 协议。这意味着任何计划将 GossipSub 集成到其系统中的开发者都应仔细考虑其子网叠加功能所带来的隐私隐患。

7.3. 个人启发与批判

• 去中心化与效率的权衡: 论文深刻揭示了在追求区块链网络效率和可扩展性（例如通过 GossipSub 和子网）时，可能无意中牺牲了去中心化和隐私。这是一个普遍存在的挑战，值得在其他分布式系统设计中深思。如何能在保证高性能的同时，真正实现源匿名性和去中心化，仍是一个开放的研究问题。
• 攻击的隐蔽性与低成本: 本文提出的攻击方式不需要复杂的密码学破解或大量的计算资源，而是利用了协议设计中看似无害的细节。这种“隐蔽而致命”的攻击模式令人警醒，表明协议设计者需要更全面地考虑各种潜在的侧信道和信息泄露。
• 对 solo stakers 的影响: 论文中提到，许多缓解措施（如多节点、私有对等协议）会增加运营成本和复杂性，这对于资源有限的个人质押者 (solo stakers) 来说是一个沉重负担，可能进一步加剧中心化趋势，违背了以太坊鼓励“家庭质押者”的初衷。未来的隐私保护方案需要兼顾不同规模参与者的需求。
• 信息透明度的双刃剑: 一方面，区块链的透明性是其核心优势。另一方面，过度的信息泄露（如验证者 IP 地址）却带来了中心化攻击的风险。如何在透明性和隐私之间找到平衡，是一个关键的哲学和技术问题。
• 道德考虑的重要性: 作者在论文中强调了负责任披露和伦理考虑，这对于涉及关键基础设施和潜在经济影响的研究至关重要。在进行类似研究时，保护受影响实体（特别是个人）的身份信息、与基金会沟通并等待批准发布，都是值得学习的典范。
• P2P 层面的中心化风险: 论文的数据分析揭示了以太坊验证者在云服务提供商和少数大型质押池中的高度集中。这种 P2P 层面的中心化风险可能比链上代币持有层面的中心化更加隐蔽和危险，因为它可能导致整个网络更容易遭受协调攻击（例如，针对特定云提供商的数据中心）。