GIP-132：DAO 是否应为 Gnosis 链上共识差异的披露支付赏金？

摘要

2025年2月25日，cergyk 报告了 Gnosis Chain 中存在的一个漏洞，若被利用可能导致链分裂。恶意验证者可以通过将其区块的 coinbase 地址设置为一个在同一区块中被创建并自毁的合约来触发此问题。

该问题已于2025年3月17日通过 Nethermind 的拉取请求 #8376 得到解决。

尽管 Gnosis Chain 目前没有设立漏洞赏金计划，但我们认可并重视那些帮助保护网络完整性的道德安全研究人员（“白帽黑客”）的贡献。为表彰对此漏洞的负责任披露，核心团队提议，在自愿和一次性基础上，向报告此问题的研究员奖励 1 万美元。

漏洞详情

如果区块提议者精心构造一笔交易，其中创建了一个合约并立即自毁，然后将该合约地址设为其 coinbase 地址，就会触发链分裂。发生这种情况的原因是 Nethermind 和 Erigon 客户端在处理此类交易的方式上不完全一致。

更具体地说，Nethermind 客户端不会收取基础费用，而 Erigon 客户端则会收取。有问题的代码可以在此处查看。

这将导致两条不同的链在各自的分叉上继续运行。由于当时主要有两个活跃的客户端，我们可能会看到：

• 存在漏洞的 Nethermind 链，拥有约 80% 的质押份额，并会持续完成最终确认（因为它们拥有超过 2/3 的质押份额）。
• 合法的 Erigon 链，拥有不到 20% 的质押份额，将在很长一段时间内无法完成最终确认。

解决方案

Erigon 实现了计算费用收集器所收取 gas 的正确方法，而 Nethermind 存在共识差异。因此，我们决定在 Nethermind 端修复此问题，以与 Erigon 保持同步。这并未造成任何问题，因为该共识问题从未被触发过。

如果它被触发了，我们将不得不将 Nethermind 中的差异定为规范，因为网络中的绝大多数（80% 以上）节点过去和现在都运行着 Nethermind。这将不公平地惩罚运行 Erigon 的验证者，因为在漏洞被触发的区块到为 Erigon 提供新版本之间的这段时间里，他们实际上会被排除在链的历史记录之外。这将导致 Erigon 验证者受到证明惩罚并错过区块提议机会。

虽然这不公平，但另一种选择会更糟，因为 Nethermind 验证者若想重新加入 Erigon 的链，将不可避免地受到罚没处罚。因此，整个网络将需要通过向所有 Nethermind 验证者应用不活跃泄漏来减少质押余额，然后因其余额过低而将其踢出网络。这实际上将烧毁 Gnosis Chain 上约 40% 的已质押 GNO。

核心开发团队借此机会提醒大家，客户端多样性极其重要，任何运行 Nethermind 验证器的人都应迁移到少数派客户端，例如 Erigon、Reth 或 Geth。