據知情用戶反饋，Maxiopool礦池關閉的原因一是采用的Chia官方池協議存在漏洞，二是服務器成本過高導致的財務危機。

8月8日，Chia新協議礦池Maxiopool宣布永久關閉。這是一個不幸的消息，不過我們更應該關注的是他們關閉的原因：MaxioPool在鏈上池協議中發現了一個漏洞。他們發現、測試并證明，作惡礦工可以提交不完整的繪圖到礦池，這也能向礦池證明網絡空間，但卻無法出塊。以下我們將把這種攻擊方式命名為懶惰礦工攻擊(Lazy Farmer Attack)。

首先，我想祝Maxiopool團隊一切順利。我曾與該團隊一起合作測試官方礦池協議，那段并肩作戰的時光十分愉快，因此，我也不認為他們的團隊會輕率地做出永久關閉的決定。在我采訪過的所有礦池運營商中，他們是投資最多的運營商之一，他們開發了定制軟件和一系列實用工具，助推Chia網絡的長期發展。

他們發現的漏洞，相當容易實現，如果礦工在new_proof_of_space中標注出了/chia/farmer/farmer_api.py，就可以讓Chia客戶端不為區塊簽名，但仍可以繼續將這個未完成的區塊正確提交到礦池中。不過這種攻擊的動機似乎有些奇怪，畢竟為什么有人會想提交未簽名的區塊，然后讓自己一個塊都出不了呢？

攻擊者的動機是這樣的：假設我是一個惡意的礦池運營商，我想盡可能擴大我的網絡空間。一種方式是我可以把盡可能多的礦場接入到我的礦池，就像所有理智的參與者一樣，用誠實的方式來挖礦。而另一種方式是，我可以稍微修改我的Chia客戶端，接入我的主要競爭對手的礦池，用這個無法出塊的客戶端來降低他們的出塊幾率。如果我接入競爭對手礦池的惡意客戶端數量夠多，將能對手礦池產生實質性影響，減少接入對手礦池的礦工收益，使對手礦池的收益比自己礦池的低。

在這之后，再到ChiaForum或者Reddit發布競對礦池和自己礦池的收益對比，這樣一來，對手礦池的礦工就會紛紛開始退出。

所以利用這個漏洞的動機就是，礦池運營商之間為搶占市場份額的惡意競爭，一個礦池運營商利用這個漏洞去惡意打壓其他的礦池運營商，從而使自己成為市面上最好的礦池。同時，這種攻擊的成本非常低，只需要簡單的修改客戶端，并將客戶端加入競爭對手池，并不需要什么額外的成本。

當MaxioPool聯系到Chia官方團隊，并提供了關于該漏洞的詳細信息后，他們被解雇了，因為官方團隊無法理解為什么會有惡意礦池要這么做。但是這樣的系統漏洞被利用的風險還是很高的，畢竟每天都有攻擊成本更高、收益更少的漏洞被用于牟利，即使現在還沒有人利用這個漏洞作惡，未來也很可能會有。

那MaxioPool有沒有可能是因為其他原因而關閉，只是拿這個系統漏洞作借口的呢？答案是有這種可能。不過，我過去曾與MaxioPool合作過，并與他們的團隊在很多場合交流過，他們對Chia生態的發展十分關心和支持，并一直在努力為生態做貢獻，我自己也是使用MaxioPool來挖礦，所有我還是選擇相信他們。

這是一個可行的漏洞，惡意的礦池運營商絕對有動機利用它。與此同時，要監測出這個漏洞利用又是非常困難的，如果沒有大量的數據，很難判斷出是系統漏洞被利用還是簡單的運氣不好。

這種漏洞的根本原因，注意我把這稱為漏洞(Exploit)而不是錯誤(Bug)，是Chia區塊鏈架構是圍繞礦工簽署區塊設計的。因此只要礦工還有權控制出塊的過程，他們就有機會做出不符合自身利益的破壞行為。如果一旦有外部利益激勵，例如礦池運營商之間的惡意競爭，礦工就很有可能會參與作惡。我希望Chia官方可以認真對待這一漏洞，否則這個標榜“官方”的礦池協議有可能會被拋棄。

作者：Chris Dupres 翻譯&校對：林芒果 本文由礦視界（奇跡摩爾）翻譯整理編輯，如需轉載，請標明出處