تحلیل دوبار خرج کردن مبتنی بر نرخ هش در بیت‌کوین

فهرست مطالب

1. مقدمه

مدل امنیتی بیت‌کوین بر جلوگیری از دوبار خرج کردن — عمل مخرب خرج کردن یک سکه دیجیتال دو بار — استوار است. این مقاله تحلیلی کمی و تصادفی از حملات دوبار خرج کردن بر اساس نرخ هش مهاجم ارائه می‌دهد. این کار مدل آماری بنیادین ارائه شده در وایت‌پیپر اصلی ساتوشی ناکاموتو را روشن و بسط می‌دهد و از درک کیفی به چارچوب‌های احتمالاتی دقیق حرکت می‌کند.

2. بلاک‌چین و انتخاب شاخه

بلاک‌چین بیت‌کوین درختی از بلاک‌هاست که هر کدام به بلاک پیشین خود ارجاع می‌دهند. اجماع شبکه، طولانی‌ترین زنجیره (یا زنجیره‌ای با بیشترین اثبات کار تجمعی) را به عنوان تاریخ معتبر انتخاب می‌کند. اختلافات موقت (فورک‌ها) زمانی حل می‌شوند که یک بلاک جدید یک شاخه را گسترش دهد و آن را طولانی‌تر کند. این مکانیسم، عرصه نبرد برای حملات دوبار خرج کردن است، جایی که مهاجم به طور مخفیانه یک زنجیره جایگزین می‌سازد.

3. بازی جبران عقب‌افتادگی

این بخش سناریوی اصلی حمله را مدل‌سازی می‌کند: مهاجمی با سهم q از کل نرخ هش شبکه سعی می‌کند پس از عقب افتادن به اندازه z بلاک، از زنجیره صادقانه (با نرخ هش p = 1 - q) پیشی بگیرد. این فرآیند به عنوان یک راه‌پیمایی تصادفی دوجمله‌ای مدل‌سازی شده است. احتمال اینکه مهاجم از یک کسری به اندازه z بلاک، هرگز به زنجیره صادقانه برسد به صورت زیر استخراج می‌شود:

$P = \begin{cases} 1 & \text{if } q \ge p \\ (q/p)^z & \text{if } q < p \end{cases}$

این نتیجه ظریف نشان می‌دهد که برای مهاجمی با کمتر از ۵۰٪ نرخ هش (q < 0.5)، احتمال موفقیت به صورت نمایی با تعداد تأییدها z کاهش می‌یابد.

4. انتظار برای تأییدها

تحلیل به دیدگاه تاجر تغییر می‌کند: قبل از اینکه یک تراکنش امن در نظر گرفته شود، باید چند تأیید (n) منتظر ماند؟ مقاله احتمال اینکه مهاجم حتی پس از دیدن n تأیید توسط تاجر همچنان موفق شود را محاسبه می‌کند. این شامل محاسبه احتمال یافتن n+1 بلاک توسط مهاجم قبل از یافتن n بلاک توسط شبکه صادقانه است، با در نظر گرفتن مسابقه جاری. احتمالات حاصل، پایه و اساس عمق‌های تأیید توصیه شده را فراهم می‌کنند.

5. نمودارها و تحلیل

مقاله تحلیل‌های گرافیکی ارائه می‌دهد که احتمال موفقیت یک دوبار خرج کردن را در برابر تعداد تأییدهای تاجر (n) برای نرخ‌های هش مختلف مهاجم (q) ترسیم می‌کند. بینش‌های کلیدی بصری‌سازی شده شامل موارد زیر است:

• برای q=0.1 (۱۰٪ نرخ هش)، احتمال موفقیت پس از تنها ۵ تأیید به زیر ۰.۱٪ می‌رسد.
• برای q=0.3، برای دستیابی به همان سطح امنیتی حدود ۲۴ تأیید لازم است.
• با نزدیک شدن q به ۰.۵، تأییدهای مورد نیاز به شدت افزایش می‌یابد که آستانه "حمله ۵۱٪" را نشان می‌دهد.

این نمودارها برای ارزیابی ریسک و تعیین سیاست‌های عملی تأیید حیاتی هستند.

6. اقتصاد دوبار خرج کردن

مقاله یک مدل اقتصادی معرفی می‌کند و حمله را به عنوان یک مسئله "خراب شدن قمارباز" با سهام متغیر قاب‌بندی می‌کند. پاداش بالقوه مهاجم، ارزش تراکنشی است که قصد دوبار خرج کردن آن را دارد. تحلیل ارزش مورد انتظار حمله برای مهاجم را در نظر می‌گیرد و نتیجه می‌گیرد که مگر اینکه ارزش کالاهای سرقت شده نسبت به پاداش بلاک بسیار بالا باشد، یک مهاجم منطقی با q < 0.5 استخراج صادقانه را سودآورتر از تلاش برای دوبار خرج کردن می‌یابد. این با اصول امنیتی نظریه بازی همسو است.

7. نتیجه‌گیری

تحلیل، یک بنیان ریاضی دقیق برای درک ریسک دوبار خرج کردن فراهم می‌کند. تأیید می‌کند که پروتکل بیت‌کوین در برابر دوبار خرج کردن توسط مهاجمان با کمتر از ۵۰٪ نرخ هش شبکه، به شرطی که دریافت‌کنندگان برای تعداد کافی تأیید منتظر بمانند، بسیار مقاوم است. این کار مبادله امنیت بین زمان تأیید و تحمل ریسک را کمّی می‌کند.

8. بینش کلیدی و دیدگاه تحلیلی

بینش کلیدی: کار روزنفلد فقط ریاضی نیست؛ این اولین مدل قیمت‌گذاری ریسک دقیق برای لایه تسویه بیت‌کوین است. او قاعده شهودی "طولانی‌ترین زنجیره" ناکاموتو را به یک SLA (توافقنامه سطح خدمات) امنیتی قابل اندازه‌گیری تبدیل می‌کند، جایی که عمق تأیید n، حق بیمه‌ای است که برای یک احتمال خاص از قطعیت 1-P پرداخت می‌شود. این سنگ بنایی است که تمام سیاست‌های امنیتی مدرن صرافی‌های ارز دیجیتال بر آن ساخته شده‌اند.

جریان منطقی: نبوغ در قاب‌بندی حمله به عنوان یک راه‌پیمایی تصادفی دوجمله‌ای — یک فرآیند تصادفی کلاسیک — نهفته است. با مدل‌سازی کشف بلاک به عنوان یک فرآیند پواسون، روزنفلد مسابقه آشفته و موازی استخراج را به یک مسئله یک‌بعدی قابل حل "خراب شدن قمارباز" کاهش می‌دهد. جهش از بخش ۳ (احتمال جبران عقب‌افتادگی) به بخش ۴ (زمان انتظار تاجر) حیاتی است؛ این پل بین توانایی مهاجم و سیاست مدافع است.

نقاط قوت و ضعف:
نقاط قوت: سادگی مدل نقطه قوت آن است. راه‌حل بسته $P = (q/p)^z$ قدرتمند و به راحتی قابل تفسیر است. تحلیل اقتصادی در بخش ۶ از زمان خود جلوتر بود و تحقیقات نظریه بازی دقیق امروزی بلاک‌چین را که در محافلی مانند کنفرانس ACM در مورد پیشرفت‌های فناوری‌های مالی (AFT) دیده می‌شود، پیش‌بینی کرد.
نقص بحرانی: مدل یک دشمن ایستا با q ثابت را فرض می‌کند. این مدل نرخ هش استراتژیک و نوسانی — مانند مهاجمی که ظرفیت عظیم استخراج ابری را در یک انفجار کوتاه و هدفمند اجاره می‌کند (یک "حمله گلدفینگر") — را در نظر نمی‌گیرد، تهدیدی که در تحقیقات بعدی مانند مقاله "استخر استخراج" توسط ایال و سیرر برجسته شده است. همچنین تأخیر شبکه و استراتژی‌های استخراج خودخواهانه را که می‌توانند به طور مؤثر q اثربخش مهاجم را افزایش دهند، نادیده می‌گیرد.

بینش‌های عملی: 1. برای صرافی‌ها: از یک عدد تأیید یکسان برای همه موارد استفاده نکنید. از فرمول روزنفلد به صورت پویا استفاده کنید. برای یک سپرده ۱۰۰ دلاری، ۳ تأیید ممکن است کافی باشد. برای یک برداشت ۱۰ میلیون دلاری، به ده‌ها تأیید نیاز دارید، یا بهتر است، به یک زنجیره تقویت شده با گجت قطعیت منتقل شوید. 2. برای طراحان پروتکل: این مقاله استدلال متعارف برای اثبات سهام (PoS) است. هزینه امنیتی نمایی ((q/p)^z) در اثبات کار از نظر اقتصادی خشن است. سیستم‌های PoS مانند کاسپر اتریوم، همانطور که در مشخصات پژوهشی آن مستند شده است، به دنبال جایگزینی این قطعیت احتمالاتی با قطعیت رمزنگاری و قابل جریمه هستند که محاسبه حمله را به طور اساسی تغییر می‌دهد. 3. برای تاجران: نکته اصلی این است که برای پرداخت‌های فوری با ارزش کم (مانند قهوه)، انتظار برای هرگونه تأیید عملی نیست. این واقعیت اقتصادی مستقیماً توسعه کانال‌های پرداخت خارج از زنجیره (شبکه لایتنینگ) را تقویت کرد که با انتقال تراکنش‌ها از لایه پایه، مشکل روزنفلد را به کلی دور می‌زند.

9. جزئیات فنی و چارچوب ریاضی

مدل هسته‌ای، کشف بلاک را به عنوان آزمایش‌های مستقل در نظر می‌گیرد. فرض کنید p احتمال یافتن بلاک بعدی توسط زنجیره صادقانه باشد و q = 1-p برای مهاجم. حالت سیستم، کسری مهاجم z است. احتمال p_z اینکه مهاجم از کسری z هرگز به برابری برسد، رابطه بازگشتی حاصل از مسئله "خراب شدن قمارباز" را ارضا می‌کند:

$p_z = q \cdot p_{z-1} + p \cdot p_{z+1}$

با شرایط مرزی p_0 = 1 (برابری موفقیت است) و p_\infty = 0. حل این معادله منجر به راه‌حل بسته $p_z = (q/p)^z$ برای q < p می‌شود.

برای سناریوی تاجر با n تأیید، احتمال موفقیت مهاجم، احتمال ساختن زنجیره‌ای طولانی‌تر از زنجیره صادقانه است که از n بلاک عقب شروع می‌شود. این با جمع‌بندی بر روی تمام سناریوهای ممکن پیشروی زمانی که تاجر تراکنش را پخش می‌کند، محاسبه می‌شود.

10. چارچوب تحلیل: یک مثال موردی

سناریو: یک صرافی ارز دیجیتال یک سپرده بزرگ دریافت می‌کند. باید تصمیم بگیرد قبل از واریز به حساب کاربر، چند تأیید لازم است.

1. تعریف پارامترها:
   • سهم تخمینی نرخ هش مهاجم: q = 0.2 (۲۰٪). این می‌تواند بر اساس داده‌های عمومی استخر استخراج باشد.
   • ارزش در معرض خطر (مبلغ سپرده): V = ۵۰۰,۰۰۰ دلار.
   • تحمل ریسک صرافی: احتمال قابل قبول دوبار خرج کردن: $\epsilon = 0.001$ (۰.۱٪).
2. اعمال مدل روزنفلد: باید کوچکترین n را پیدا کنیم به طوری که احتمال حمله $P(n, q) \le \epsilon$. با استفاده از فرمول $P \approx \sum_{k=0}^{\infty} \frac{\lambda^k e^{-\lambda}}{k!} \cdot (q/p)^{n+1-k}$ برای $k \le n+1$ (جایی که $\lambda = n(q/p)$)، یا با مراجعه به نمودارها/جداول از پیش محاسبه شده.
3. محاسبه/نتیجه: برای q=0.2 و \epsilon=0.001، تأییدهای مورد نیاز n تقریباً ۹ است.
4. تصمیم سیاستی: صرافی نیازمندی تأیید خود را برای این دارایی روی ۹ بلاک تنظیم می‌کند. برای زمان بلاک ۱۰ دقیقه، این به معنای یک دوره نگهداری ۹۰ دقیقه‌ای برای سپرده است که امنیت و تجربه کاربری را متعادل می‌کند.

11. کاربردهای آینده و جهت‌های پژوهشی

• سیاست‌های تأیید پویا: ادغام داده‌های نرخ هش بلادرنگ و ارزش مم‌پول برای تنظیم پویای n، ایجاد یک موتور تأیید "حساس به ریسک".
• امنیت زنجیره‌های متقاطع: اعمال مدل برای ارزیابی امنیت پل‌های بلاک‌چین و تراکنش‌های زنجیره‌ای متقاطع، جایی که ارزش اقتصادی در معرض خطر ممکن است چندین زنجیره با مقادیر q مختلف را در بر گیرد.
• ملاحظات پساکوانتومی: تحقیق در مورد اینکه ظهور رایانش کوانتومی چگونه ممکن است بر هزینه انجام یک حمله ۵۱٪ (با شکستن الگوریتم‌های استخراج) تأثیر بگذارد و کالیبره مجدد پارامتر q در مدل‌های امنیتی.
• ادغام با MEV (ارزش قابل استخراج حداکثری): حملات دوبار خرج کردن مدرن اغلب اجزای استراتژی‌های MEV پیچیده‌تر هستند. مدل‌های آینده باید سود اضافی را که یک مهاجم می‌تواند از مرتب‌سازی مجدد یا سانسور بلاک‌ها فراتر از مبلغ دوبار خرج شده استخراج کند، در نظر بگیرند.

12. منابع

1. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
2. Rosenfeld, M. (2014). Analysis of Hashrate-Based Double-Spending. arXiv:1402.2009.
3. Eyal, I., & Sirer, E. G. (2014). Majority is not Enough: Bitcoin Mining is Vulnerable. International Conference on Financial Cryptography and Data Security.
4. Buterin, V., & Griffith, V. (2017). Casper the Friendly Finality Gadget. arXiv:1710.09437.
5. Gervais, A., Karame, G. O., Wüst, K., Glykantzis, V., Ritzdorf, H., & Capkun, S. (2016). On the Security and Performance of Proof of Work Blockchains. ACM SIGSAC Conference on Computer and Communications Security.