文章強調(diào)了 Geth 客戶端在以太坊網(wǎng)絡中占據(jù)的超多數(shù)地位以及由此帶來的潛在風險。

撰文：Labrys

編譯：深潮 TechFlow

本文討論了以太坊網(wǎng)絡中執(zhí)行客戶端 Nethermind 遇到的一個故障，導致所有使用 Nethermind 的驗證器（約占網(wǎng)絡的 10%）離線。文章強調(diào)了 Geth 客戶端在以太坊網(wǎng)絡中占據(jù)的超多數(shù)地位以及由此帶來的潛在風險。盡管 Geth 是穩(wěn)定且可靠的客戶端，但如果出現(xiàn)嚴重故障，由于其在網(wǎng)絡中的普遍使用，可能對整個網(wǎng)絡造成重大影響。文章呼吁社區(qū)重視執(zhí)行客戶端的多樣性，以降低網(wǎng)絡面臨的集中化風險。

介紹

本周，以太坊網(wǎng)絡的一個執(zhí)行客戶端 Nethermind 經(jīng)歷了一個故障，導致所有運行 Nethermind 的驗證器（約占網(wǎng)絡的 10%）離線。

這是一個較小的事件，因為 Nethermind 是少數(shù)利益相關者運營的。以下是我自己運行 Nethermind 的驗證器的總余額的圖表。你可以看到在當?shù)貢r間凌晨 4 點左右，當故障首次發(fā)生時，驗證器就離線了。團隊在大約 4 小時后發(fā)布了一個補丁，等我安裝好后，驗證器在當?shù)貢r間上午 9 點左右恢復運行。在此期間，我的驗證器受到的懲罰與它獲得的獎勵相同。在同一天下午 1 點，驗證器的余額高于宕機前。總的來說，這是一個小的故障。

許多人錯誤地假設，當運行 Geth 時，如果發(fā)生類似的故障，懲罰會類似。這不是真的。這與 Geth 或 Geth 的構建方式無關，而與運行 Geth 的人數(shù)有關。

根據(jù) ClientDiversity.org 的數(shù)據(jù)，以太坊上約 84% 的驗證器都在運行 Geth?，F(xiàn)在這些持有者的辯護是，Geth 無疑是最好、最穩(wěn)定的客戶端。雖然像 Nethermind 這樣的少數(shù)客戶端本周受到了故障和停機的困擾，但 Geth 自合并以來（甚至在此之前）一直運行良好。根據(jù)我自己的經(jīng)驗，當從 Geth 轉(zhuǎn)換到少數(shù)派客戶端時，我發(fā)現(xiàn)驗證器需要更多的資源，遺漏的驗證也更多。

這篇文章并不是對 Geth 的攻擊。我非常尊重他們的團隊。不幸的是，由于 Geth 的廣泛使用，我們需要誠實地討論當 Geth 持有絕大多數(shù)質(zhì)押時運行 Geth 的風險。

如果他們知道自己更有可能經(jīng)歷更多錯過的證明和更多的停機時間，那么沒有人愿意離開 Geth，尤其是那些依賴于正常運行時間來宣傳最高收益的商業(yè)模式，比如專業(yè)的質(zhì)押運營商。

截至去年 9 月，估計最大的運營商 Lido 在 Geth 上運行約 76% 的驗證器。

但我很高興我在運行一個少數(shù)的客戶端，即使我失去了一些額外的獎勵，不是因為我是利他主義者，為了網(wǎng)絡的去中心化犧牲個人利益，而是因為我知道我的 ETH 會因此免于大多數(shù) bug 的影響。

如果 Geth 出現(xiàn) bug，會發(fā)生什么？

這取決于 bug 本身。

因為超過三分之二的以太坊驗證器運行 Geth，任何 Geth 中的嚴重故障都會立即阻止鏈的最終確定。這并不意味著鏈停止或中斷。只要其他客戶端仍在運行，鏈就會繼續(xù)運行。大約 84% 的區(qū)塊將被遺漏，這意味著每隔約 75 秒才會提出一個新區(qū)塊，而不是約 12 秒的區(qū)塊時間。這些區(qū)塊將容易發(fā)生重組，因此當鏈再次完成時，這些區(qū)塊中包含的交易不保證仍然存在。這聽起來很糟糕，但讓我們記住，多年來以太坊在合并前從未有過最終確認的概念，比特幣今天也是如此——這就是為什么交易所讓你等待 6 個以上的區(qū)塊確認才能存款，以降低發(fā)生重組和損失資金的風險。

有些人可能還記得，以太坊在 2023 年 5 月就已經(jīng)發(fā)生過這種情況，當時一些共識客戶端出現(xiàn)了 bug。在兩天時間里，鏈條兩次停止終結，導致許多區(qū)塊被遺漏，一度只有 40% 的網(wǎng)絡仍在運行。網(wǎng)絡恢復后，大多數(shù) DApp 用戶除了交易區(qū)塊確認速度稍慢外，沒有發(fā)現(xiàn)任何問題。

但驗證器會怎么樣呢？

非活動泄漏

當少數(shù)客戶端失敗時，懲罰是以與獲得它的速率相同的速率失去 ETH（正如您在我上面的驗證器圖中看到的），但如果 Geth 失敗，因為它會立即阻止鏈最終確定，所以懲罰會更加嚴厲。這種增加的懲罰被稱為非活動泄漏（The inactivity leak），當鏈停止最終確定 4 個周期（約 25 分鐘）或更長時間時，它會應用于離線驗證器。這種更嚴厲的懲罰旨在鼓勵離線驗證器盡快恢復在線，或者在最壞的情況下，銷毀離線驗證器的權益，直到他們的權益占總權益的 1/3 以下，從而允許在線驗證器完成鏈的確認。

在非活動泄漏期間，驗證器僅需離線 2 天就會損失其權益的 0.6%，或相當于 2 個月的權益獎勵！

僅需離線 5 天，就會消耗掉整整一年的質(zhì)押獎勵（3.5%）！這意味著需要超過 2 年多的質(zhì)押才能恢復驗證者在事件發(fā)生前擁有的余額。

在離線 1 周內(nèi)，10% 的權益，或 3 年的獎勵，將會丟失。在大約 20 天內(nèi)，50% 的權益將會丟失，在大約 40 天內(nèi)，90% 的權益將會丟失。

相比之下，由于少數(shù)客戶端故障而離線的驗證器在 40 天內(nèi)僅會損失其權益的 0.4%。

不活躍的懲罰將持續(xù)多久？

這取決于 bug。

如果 bug 能被修補，那么懲罰將持續(xù)到 Geth 團隊修補 bug 并將其應用到您的驗證器所需的時間（或切換到其他執(zhí)行客戶端所需的時間）。

實際上，我們預計這個問題可以在幾個小時或最多幾天內(nèi)得到解決。如果修復 bug 所需的時間與最近的 Nethermind 事件相同，驗證器將損失 0.004% 的權益，這不是什么大問題。

如果 bug 導致驗證器產(chǎn)生無效區(qū)塊，并且 Geth 將其視為有效并對其進行認證，情況就會變得糟糕。這將導致鏈分叉。鏈將分成兩個分支，一個包含無效區(qū)塊的分支（Geth 鏈），另一個忽略無效區(qū)塊的分支（非 Geth 鏈）。運行 Geth 的驗證器將認為這兩個分支都是有效的，因此決定在權重最重的鏈上構建。84% 的驗證器將其權益認證給 Geth 鏈，僅有 16% 的驗證器將其權益認證給非 Geth 鏈。因此，Geth 驗證器將選擇 Geth 鏈作為權重最重的鏈，并繼續(xù)在其上構建。

當然，一旦所有這些問題解決了，Geth 鏈上的區(qū)塊將被棄用（這將引起自己的問題），但更大的問題是 Geth 鏈將擁有足夠的權益（大于 2/3）來確認無效鏈。

一旦 Geth 鏈最終確定，如果一個驗證器對 Geth 鏈進行了認證，它就不能參與非 Geth 鏈的建設（直到非 Geth 鏈也被確認），否則會被削減。本質(zhì)上，運行 Geth 的驗證器已經(jīng)承諾使用無效鏈，并被鎖定在該鏈上，直到非 Geth 鏈被確認。這正是許多人誤解的關鍵風險所在。

由于 Geth 驗證器被困在無效鏈上，他們在非 Geth 鏈上被視為不活躍，并將遭受非活動泄漏的損失。沒有任何軟件更新或 bug 修補可以拯救這些驗證器。他們將被耗盡，直到他們的權益占網(wǎng)絡的 1/3 以下，從而讓非 Geth 鏈得以確認。

目前網(wǎng)絡上有 28,976,695 ETH 處于質(zhì)押狀態(tài)。其中 84%（約 2400 萬枚 ETH）可歸因于運行 Geth 的驗證器，16%（約 500 萬枚 ETH）歸于不運行 Geth 的驗證器。為了讓非 Geth 鏈得以確認，運行 Geth 的驗證器需要將其權益銷毀，直到其所占的剩余總權益少于 1/3。這意味著需要從這些驗證器中銷毀約 2150 萬枚 ETH（約占總權益的 90%），將 Geth 權益減少到約 25 萬枚 ETH，少于總量的 1/3（250 萬枚 + 500 萬枚 ETH）。非 Geth 驗證器控制的約 500 萬枚 ETH 現(xiàn)在將代表多于 2/3 的權益，使他們能夠確認鏈。

這將是一個極其痛苦的過程，大約需要 40 天時間來完成。它將導致所有 ETH 的總供應量減少約 18%，，使總供應量低于 1 億枚 ETH。

爭奪出口

這里的一個重要點是，處于無效鏈上的驗證器不太可能坐視不管。他們?nèi)匀挥羞x擇退出他們的權益的選項，如果他們不這么做，網(wǎng)絡將在他們的有效余額達到 16 ETH 時強制將他們驅(qū)逐出去。但這并不意味著他們的損失僅限于 16 ETH。

當你退出一個驗證器（即使是被強制退出）時，你會進入退出隊列，而你在退出隊列中時，你仍會流失 ETH！

我們知道，在最壞的情況下，需要約 40 天的時間，非活動泄漏才能允許有效鏈重新開始確認。那么退出隊列需要多長時間呢？

退出隊列有一個流失限制，限制每個時期可以退出網(wǎng)絡的驗證者數(shù)量（約 6.4 分鐘）。流失限制定義如下：

當前的退出率為每 6.4 分鐘退出 13 個驗證器，如果每個運行 Geth 的驗證器都想退出，至少需要約 260 天才能讓所有驗證器退出。鑒于 90% 的權益將在約 40 天內(nèi)被銷毀，大多數(shù)驗證器的余額將在他們能夠退出鏈之前就被耗盡。

最初 2% 的 Geth 驗證器發(fā)起退出的將在前 5 天內(nèi)退出，損失的最大值約為 1 年的質(zhì)押獎勵。

你需要成為前 3% 的退出驗證器，才能將損失控制在你權益的 10% 以下。

只有前 8% 的退出驗證器才能將損失控制在其權益的 50% 以下。此時，任何未手動發(fā)起退出的人將被強制退出，并添加到退出隊列中，有效余額為 16 ETH。

在 40 天后，當他們的 90% 權益被銷毀時，超過 85% 的驗證器仍將在隊列中。

退出的能力將無法拯救你，你的下行風險不僅限于你被強制退出的損失（16 ETH）。

那么削減呢？

一些人錯誤地認為，如果出現(xiàn) bug，運行 Geth 的質(zhì)押者不僅會遭受非活動泄漏，還會被削減。這是錯誤的。

削減懲罰只適用于雙重簽名事件，這完全由共識客戶端控制。Geth 中的 bug 不應該導致共識客戶端犯下可削減的錯誤。Geth 產(chǎn)生無效區(qū)塊不是可削減的錯誤。

只有非活動泄漏的懲罰適用于 Geth 的 bug。

你應該怎么做？

當今運行 Geth 的質(zhì)押者可能并不完全了解運行絕對多數(shù)執(zhí)行客戶端相關的風險。許多人錯誤地假設，一旦出現(xiàn) bug，將在幾小時內(nèi)發(fā)布補丁解決問題，并且在此過程中損失的以太幣很少。

許多人并不了解，證明一個無效區(qū)塊的風險會讓他們被鎖定在一個無效的最終鏈中，幾乎可以肯定他們大部分 ETH 將被銷毀。這是一個有可能成為現(xiàn)實的真實風險。

質(zhì)押以太坊并非無風險收益。你是否會向最大潛在收益為每年 3.5% 的工具投資至少 75000 美元？但有可能產(chǎn)生 100% 的損失？可能不會，但這正是今天 84% 的以太坊質(zhì)押者所做的。

通過轉(zhuǎn)向少數(shù)客戶端（假設相同的 bug 不會在多個客戶端中出現(xiàn)），你可以將損失最大限制在年化 3.5%。

有了這些知識，任何人仍在運行 Geth 看起來都是瘋狂的。我只能假設那些運行 Geth 的人并沒有完全理解這個風險。

如果你持有 LST（例如 stETH、cbETH 等），并且 LST 在其驗證器上運行 Geth，請理解你的以太坊處于風險中，并考慮取消質(zhì)押或切換到另一個 LST，直到 Geth 不再占據(jù)超主流地位。