0x01 Absert
本文提出了一种针对于区块链的自符合政策双花打击。当提交的买卖正在区块链中可用时,打击者会查看狡猾分支的长度,然表态应地更新打击政策。与通例双花打击比拟,供给了更弱小的政策。文中推导了打击乐成概率以及打击矿工预期回报的闭式表达式。
分解说明,正在提议的打击政策下,当打击者取得总收集处置才略的40%时乐成施行打击的大概性比传统打击政策预期的要高60%。为了应付这种打击大概性的推广,要求收集节点利用更普遍量确实认块来验证区块链中的买卖。算计了打击者正在区块链上开采好心分支的预期回报,并琢磨正在颠末多少个区块确认后,预期回报会降至零。
0x02 Self Mining Attack
正在最初的比特币原理中思虑了简化的打击模子。正在此模子中,假定区块链中主干链的块数遵守(r * q / p)的泊松散布,个中r是狡猾矿工变成的块数,而q以及p是打击矿工以及狡猾矿工不同孕育下一个区块的大概性。
打击者矿工变成s个块所需的平衡时光(假设s r,则打击乐成)为rT / p,个中T是建立一个块的平衡时光。这没有是一个准确的模子,由于仅思虑打击者建立的块的平衡数目,而没有是理论数目。
当受害矿工与打击者发明的区块合作时,打击者会让他丢弃发明的一切区块。换句话说,打击者仅将其自身对于区块链的视图供给给受害矿工。这样滥用了受害者的算计才略来开采打击者的区块链。正在0-确认的买卖中,打击者向卖家支拨买卖,卖家正在看到区块链中的买卖以前向打击者移交商品。然后,打击者查封了卖家节点的通信并将另一笔双花买卖发送到收集的另外全体。但因为打击者掌握着一切卖家的连贯,所以卖家没法将原始买卖告诉收集的另外全体。
0x03 System Model
上图阐明了规范收集中收集节点与矿工之间的流量。系统模子席卷以下实质:
收集节点:有n个收集节点也许彼此通信以供给或恳求办事。这些节点经过收集将其买卖提交给矿工。
矿工:矿工领受买卖并对于其施行处置,以变成蕴含已提交买卖的新区块。变成区块后,矿工合作将新变成的区块推广到区块链中。激动矿工供给采矿办事的惩罚是区块链代币大局的惩罚。
买卖池:假定提交的买卖投入收集中的买卖池。然后也许关连矿工施行开采。
区块链代币:收集节点以及矿工就区块链代币的价值完毕共鸣。节点将代币支拨给其他节点以猎取办事。代币也用于挖矿历程。每个矿工正在为区块链建立新区块时都会收到一些代币算作惩罚。惩罚金额由区块链法则决定。
假定一切节点均可以参加矿工或收集节点。即收集是未经答应的。而且,每个节点都恐怕安全地天生以及保存公钥/私钥。假设它没有能天生则至多须要安全地保存一个公钥/私钥。
正在双花打击中,打击者向另一个收集节点发失事务,该收集节点是一个狡猾的节点。打击者必需开始说服狡猾的收集节点该买卖已经过区块链体制确认。所以,打击者不断比及狡猾的收集节点正在区块链的某个块中领受到买卖。然后,打击者建立一个块,个中蕴含另一个与狡猾节点的第一个买卖辩论的买卖。
比如,正在第一笔买卖中,打击者证实她/他一经从其帐户向可靠节点的帐户发送了R代币,不过正在第二笔买卖中,打击者证实了将不异的R代币转化至打击者冤家的帐户。所以,打击者试图双花不异的代币。假设其他收集节点采用了区块链中的第二笔买卖,则理论上打击者已说服那些收集节点第二笔买卖无效,而第一笔买卖则有效。所以,第一笔买卖仅正在短时光内无效。正在此时期,狡猾节点会弗成逆地向打击者供给办事。
0x04 Attack Model
正在本争论中,经过定义新的打击场景来思虑更周全的打击模子。与传统打击模子一律,模子中的打击者正在向矿工池提交狡猾节点的买卖后马上结束建立好心分支。不过与传统的打击模子分歧,当提交的买卖呈现正在区块链中的某个块上时,模子中的打击者会验证其好心分支是否比无效分支更长。
假设好心分支更长,则打击者将连续天生更多的块,直到它恐怕经过孕育渊博长的好心链乐成地对于系统施行打击。假设主干分支更长,则打击者将其好心分支更换为狡猾链的副本,并将新块推广到反复的主干分支中,直到也许乐成打击系统为止。这种积极的方式使模子中的打击者正在掌握区块链方面取得更高的乐成概率。
打击者是矿工收集中的矿工,大概是与小量矿工协调以经过打击区块链来掌握收集的收集节点。打击区块链意味着建立新的区块链,以便正在区块链中建立新分支,并使先前推广到区块链及其买卖中的区块作废。
打击者也许拜候收集的掌握通道,并且也许猎取区块链的副本以猎取相关区块链内买卖的学识。异样,没有一切代币的打击者大概会最初向其他节点供给一些办事以猎取渊博的代币。然后利用代币,打击者恐怕提交作假买卖。
假定节点没有受到毁伤,也便是说打击者没法拜候合法收集节点或矿工的私钥。合法的收集节点也许处置并正确遵守区块链协议。比如,假设矿工节点领受到有效买卖,如拥有零代币的智能合约买卖,则它将算作有效恳求被丢弃。
打击者没法天生正确的买卖,比如正在买卖中推广有效的数字出面。这是因为区块链的性子。正在将正确的买卖插入到区块中之后,该区块没法从其他矿工那边取得渊博确实认,所以没法被视为区块链中的新区块。
0x05 Security Goals
根据定义,假设每个正在最大时光t运行的打击者都以最高概率ε乐成打击安全规划,则该规划被称为(t,ε)-secure。这意味着为了证实规划的安全级别须要再现打击规划所需的处事量及其相干概率。
如上图所示,分歧的矿工以及收集节点大概会正在区块链中追随分歧的等长分支,进而正在系统中建立了一个分叉。一个分叉拥有两个等长的分支,导致平手,由于两个分支均可以被以为是无效的。
不过如图(b)所示,一旦正在分支中开采了一个新块,一切收集节点都将采用更长的分支算作主干分支。所以,分叉的另一个链中的块将被轻视。假设该区块正在决绝链中最终一个区块的z区块之外,则正在较长链中给定区块内产生的买卖被称为z确认。比如,正在(b)中,有一个针对于块4b中一切买卖确实认,而有两个针对于正在块3中一切买卖确实认。
假定代币仅由区块链中定义的体制建立,比如处事量证实(PoW)体制。所以,代币的起因是基于矿工正在采矿历程中破费的精神。矿工是狡猾的依然打击者。假设他们是打击者,他们将没有费吹灰之力就没法正在区块链中建立新代币。
1)通例的双花打击:而今回首一下将正在系统模子上映照的区块链中产生的双花打击的产生率。打击者天生买卖以恳求狡猾的收集节点供给办事,并批准支拨一些代币算作回报。比如,假设节点B向节点A供给了一定的收集办事,则节点A会将R代币让渡给节点B。称此为良做爱易。该买卖然后被广播到收集(下图中的方法A)。
广播良做爱易后,打击者建立与良做爱易辩论的第二笔买卖。比如,节点A将R代币转化到节点C。然后,正在没有向狡猾矿工广播第二个买卖的状况下,打击者矿工奇奥结束天生新块,然后推广这些块到与狡猾分支并行的分歧块链。将此称为好心分支,该链中的一个块蕴含第二个买卖。
颠末特定时光后,良做爱易将呈现正在主干链的第k块中(方法B);也便是说,主干分支将乐成建立k个陆续的区块,直到提交的买卖呈现正在个中一个区块中。假定打击者正在那以前不断正在奇奥开采m1块。打击者将连续正在其好心链中奇奥推广新块,直到收集节点正在主干链的块k之后看到z个块为止。假定打击者正在方法B以及C之间建立了m2个以上的块。所以,好心链的长度为m = m1 + m2。
正在方法C,领受到z个确认块之后,算作良做爱易中提到的R代币的领受者的收集节点假定支拨一经告竣,并向打击者供给办事(方法C)。一旦打击者从狡猾的收集节点领受到办事,它就会向收集揭示好心链。这正在区块链中孕育了一个分支;主干分支以及好心分支。而今,假设好心链擅长主干链(m1 + m2 z + k),则收集节点将追随好心分支并轻视主干链。所以,良做爱易被第二个买卖取代,即双花打击乐成。
2)自符合政策双花打击:与传统的打击政策一律,打击者正在方法A之后结束建立好心链。正在方法B,买卖呈现正在主干链中的区块中。这时,假设打击者发明好心链m1的长度比主干链的k长,将连续选择传统的打击政策,即正在好心链中的m1块上推广新的块(下图中的状态1 )。即使打击者正在方法A以及方法B之间算计了较长的链,也没法将其展示给收集,由于这会制止一般事情中的领受方节点正在方法C供给办事。
不过,假设正在方法B中主干链较长,即m1小于k,则打击者意识到它一经滞后,并且假设连续利用好心链,则必需负担更高的算计老本(下图状态2 )。所以,与通例打击政策分歧,打击者没有会连续利用好心链。相反,它会积极从好心链中复制k-1块,并向该副本推广新块,以进步其受到打击的大概性。主干链蕴含块k中的良做爱易。所以,打击者没有会复制块k,而只思虑主干链的前k-1个块。两种状况都鄙人图所示。
0x05 Security Analysis
假定打击者以及狡猾矿工而是竟然下一个区块的概率不同为q以及p =(1- q)。一旦打击者建立了比主干链更长的好心链,打击者就也许掌握该区块链。那么乐成打击区块链PV(k,z)的概率为:
个中P(m1
z)是m1
z的毗连概率,P(m1≥k,m1 + m2 z + k)是m1≥k以及m1+m2 z + k的毗连概率。正在方法A之后的一切时分,只有好心链比主干链长g块,打击者都会建立一条比主干链更长的好心链的概率由p(g)示意:
也便是说,假设q≥p,则打击者最终将以概率1掌握该链。不然,打击者将以ag的概率掌握该链。上面命题1中以q以及p给出ag的表达式。
命题1:将为区块链建立的新块建模为马尔可夫历程(陆续时光,割裂状态空间),如上图所示。打击者以及狡猾矿工天生下一个块的概率不同是q以及p =(1- q)(q
个中a(g-1)是打击者也许乐成开垦g-1个区块的条件概率,假定最终一个块也已被打击者开垦,a(g+1)是打击者也许乐成开垦g+1个区块的概率,由于最终一个区块是由狡猾的矿工开垦的。
(3)选择思虑初始条件a-1 = 1以及a0 = q / p的递归联系的大局证实等式。
而今反省打击者的好心链比主干链保守g块的概率。假设打击者链以及狡猾链不同拥有f以及h个块,则分解g = h-f个块。上面的假定给出了当打击者以及狡猾矿工不同天生概率为q以及p的下一个块时,正在好心以及狡猾分支中生存f以及h块的概率p(f,h)。
假定时光单元渊博小,打击者以及狡猾矿工没法同时天生两个块。所以,也许假定打击者的好心链保守主干链g=h-f块的概率异常于打击者乐成天生f块的概率,并且没法建立h块(由于h块是由狡猾的矿工天生的),f
然后将打击者天生的块数f建模为负二项式随机变量,即fNB(h,q),由于f是h退步以前的乐成次数,乐成概率为q。那么,打击者拥有f乐成以及h退步的概率p(f,h)为:
当打击者查看到好心链正在方法A以及B之间蕴含k个块时,得出系统受到打击的概率的表达式。
命题2:当打击者查看到主干链正在方法A以及方法B之间有k个块时,z个确认块验证下乐成打击的概率为:
个中p(m1,k)是好心链以及主干链中方法A以及B之间不同为m1以及k个块的毗连概率,p(m2,z)是方法之间好心链以及主干链的块不同为m2以及z的毗连概率,ag是当好心链比主干链保守g块时打击乐成的概率。
证实:根据(2)以及(4),当主干链拥有h个块且q
根据(6),状态1中打击者乐成打击区块链的概率为:
异样,状态2的打击者乐成打击区块链的概率为:
最终,(8)以及(7)代入(1)给出的乐成打击的概率为:
下图给出了当打击者建立下一个区块的乐成概率不同为q = 0.2、0.3以及0.4时,(9)中针对于分歧z值的PV(k,z)。算作规范打击规划,思虑正在区块链文献中常常争论的打击模子,打击者正在方法B中没有查看(并运用)狡猾链的长度。乐成打击的大概性较高,主假如由于假设打击者未能正在方法B以前建立更长的链,则打击者也许正在方法B利用无效链(前k个块)。
当q减小时,乐成的打击概率升高,由于q较小意味着打击者天生下一个块的机缘较小。还也许查看到,当推广块确认数z时,乐成打击的大概性会仓卒升高。这说明,即使打击者挑选了符合性政策,当利用渊博多确实认块来验证每笔买卖时,区块链系统也能抵当双花打击。
对于挑选的q值的议论:正在分解落选择了没有逾越0.4的q值。而今注释为甚么挑选的q值渊博高。
正在区块链文献中,假定打击者建造新区块的概率q始终小于狡猾矿工的相映概率p,即假定(q
PoW体制旨正在掌握矿工收集天生新区块所需的时光延续时光T。现有系统中T的示例值对付比特币区块链为T = 600(s),对付以太坊区块链为T = 10(s)。而今,收集哈希率要求(hash/s)也许算计为(2^d/T)。假设假定矿工利用的每个硬件模块都拥有最大的算计才略,假设哈希率为20(GH/s),则矿工应根据现在墟市价值为每个硬件模块破费约500美元。
这说明矿工正在比特币区块链上的总投资老本约为1,960亿美元。为了不同到达0.4、0.3以及0.2的q值,打击者应该不同拥有矿工收集中全数硬件模块的40%,30%以及20%。这不同异常于总投资78.7、59.0以及393亿美元。如许大的投资老本说明,分解挑选的q值渊博高以用于理论想法。
上图再现了当打击者建立下一个区块的乐成概率为q = 0.4以及0.3,无效买卖确认区块的数目为z = 5、10时,分歧k值的区块链乐成打击概率。 z = 5以及10时,打击者的乐成打击概率随着k逐渐升高。这说明当打击者采用政策时,收集就没法经过减慢买卖确认的速率来显着升高乐成打击的大概性。相反,当打击者挑选传统的打击政策时,乐成的打击概率会随着k的推广而仓卒升高。上述动作分裂说明,分解中思虑的积极打击政策尤其弱小。
上图中,绘制了zmin与k的联系图,个中zmin是将乐成打击概率PV(k,z)不同维持正在0.05、0.10以及0.15以下所需的最小确认块数。开始查看到随着k的推广,直到阈值水平(k = 40上下),常常须要较小量量确实认块。逾越此阈值水平,推广k没有会作用zmin;也便是说,减慢收集速率以推广k并没有特定意味着收集也许利用较小量量确实认块结束验证买卖。正在此分解中利用了Brent优化方式.,所以zmin大概没有会随k单调减小。
0x06 Expected reward for attackers
每个节点将买卖发送到矿工池,每个矿工从池落选择一组买卖以建立一个新块。正在框架中,矿工也许根据其处事量取得惩罚,也便是说,矿工证实他们一经经过追寻无效的哈希值破费了特定的时光来束缚难题。比如,矿工利用SHA256的哈希函数来算计某个块的哈希值。利用此算法,大概有2^256个哈希值。假设假定一个无效的哈希值拥有d个前导零,找到第一个哈希值所需的哈希运算数是多少何散布的,渴望值为2^d。所以,孕育无效块的预期老本Cb由下式给出:
个中Ch是矿工施行的每个哈希运算的老本。假定Rb是每个矿工也许组成区块链的区块惩罚。不然它没有会取得一切惩罚,而只须要支拨区块算计老本Cb(d)。所以,打击者每块Rnet的预期净惩罚为:
而今,假定正在方法A以及B之间和方法B以及C之间的主干链中不同有k个以及z个块,并且正在方法A以及B之间和方法B以及B之间的好心链中有m1以及m2个块。也许利用(11)的每块净惩罚Rnet以及(9)的乐成打击概率PV来取得打击者正在开采好心链时预期的惩罚为:
个中,第一个以及第二个求以及项是指开采一条比主干链长至多一个区块的好心链的净回报,即当m1≥k时,m1+m2 k+z以及m1<k(不同为状态1以及状态2)。第三以及第四个求以及项是指开采没有逾越主干链的好心链的净回报,即m1+m2≤k+z。
上图再现,预期惩罚受等待区块数k的作用,该数目与矿工建立新区块的迟延相关。
0x07 Conclution
分解说明,提出的自符合政策模子乐成打击的大概性比传统的双花打击高很多。比如,对付0.01的乐成打击概率,利用通例打击模子,收集节点须要等待确认块数z至多为52才华验证买卖。
相反,正在自符合打击模子中须要z至多为60。所以为了加重此打击的作用,须要等待更多确实认块。然而假设狡猾节点利用渊博大度确实认块来验证买卖,则乐成的打击概率也许降到很低。
其余还分解了正在开采好心链时对于打击者的预期惩罚。了局说明,当利用大度的区块确认来验证买卖时,预期的惩罚很小。比如,正在5个等待块中领受买卖的状况下,狡猾节点应等待30个确认块,以使打击者的预期收到的惩罚微乎其微。
https://www.anquanke.com/post/id/199690