Анализ двойного расходования на основе хешрейта в Bitcoin

Содержание

1. Введение

Модель безопасности Bitcoin основана на предотвращении двойного расходования — злонамеренного акта траты одной и той же цифровой монеты дважды. В данной работе представлен количественный стохастический анализ атак двойного расходования, основанный на хешрейте атакующего. Она проясняет и расширяет фундаментальную статистическую модель, представленную в оригинальной белой книге Сатоши Накамото, переходя от качественного понимания к точным вероятностным фреймворкам.

2. Блокчейн и выбор ветви

Блокчейн Bitcoin представляет собой дерево блоков, каждый из которых ссылается на своего предшественника. Сетевой консенсус выбирает самую длинную цепочку (или цепочку с наибольшей совокупной работой доказательства выполнения работы) в качестве валидной истории. Временные разногласия (форки) разрешаются, когда новый блок расширяет одну из ветвей, делая её длиннее. Этот механизм является полем битвы для атак двойного расходования, где атакующий тайно строит альтернативную цепочку.

3. Догоняющая игра

В этом разделе моделируется основной сценарий атаки: атакующий, обладающий долей q от общего хешрейта сети, пытается догнать и обогнать честную цепочку (с хешрейтом p = 1 - q), отставая на z блоков. Процесс моделируется как Биномиальное случайное блуждание. Вероятность того, что атакующий когда-либо догонит цепочку при отставании в z блоков, выводится как:

$P = \begin{cases} 1 & \text{если } q \ge p \\ (q/p)^z & \text{если } q < p \end{cases}$

Этот элегантный результат показывает, что для атакующего с менее чем 50% хешрейта (q < 0.5) вероятность успеха экспоненциально уменьшается с увеличением количества подтверждений z.

4. Ожидание подтверждений

Анализ смещается на точку зрения продавца: сколько подтверждений (n) следует подождать, прежде чем считать транзакцию безопасной? В работе рассчитывается вероятность того, что атакующий всё ещё может преуспеть после того, как продавец увидит n подтверждений. Это включает расчёт вероятности того, что атакующий найдёт n+1 блоков до того, как честная сеть найдёт n блоков, с учётом продолжающейся гонки. Полученные вероятности составляют основу для рекомендуемых глубин подтверждения.

5. Графики и анализ

В работе представлен графический анализ, отображающий вероятность успешного двойного расходования в зависимости от количества подтверждений продавца (n) для различных долей хешрейта атакующего (q). Ключевые визуализированные инсайты включают:

• Для q=0.1 (10% хешрейта) вероятность успеха падает ниже 0.1% уже после 5 подтверждений.
• Для q=0.3 требуется около 24 подтверждений для достижения того же уровня безопасности.
• По мере приближения q к 0.5 требуемое количество подтверждений резко возрастает, что иллюстрирует порог «атаки 51%».

Эти графики имеют решающее значение для оценки рисков и установления практических политик подтверждения.

6. Экономика двойного расходования

В работе представлена экономическая модель, рассматривающая атаку как задачу о разорении игрока с переменными ставками. Потенциальное вознаграждение атакующего — это стоимость транзакции, которую он намерен потратить дважды. Анализ рассматривает ожидаемую стоимость атаки для злоумышленника и приходит к выводу, что, если стоимость похищенных средств не является чрезвычайно высокой по сравнению с наградой за блок, рациональный атакующий с q < 0.5 сочтёт честный майнинг более прибыльным, чем попытки двойного расходования. Это согласуется с принципами теоретико-игровой безопасности.

7. Выводы

Анализ предоставляет строгий математический фундамент для понимания риска двойного расходования. Он подтверждает, что протокол Bitcoin обладает высокой устойчивостью к двойному расходованию со стороны атакующих с менее чем 50% хешрейта сети, при условии, что получатели ждут достаточного количества подтверждений. Работа количественно оценивает компромисс между временем подтверждения и допустимым уровнем риска.

8. Ключевая идея и взгляд аналитика

Ключевая идея: Работа Розенфельда — это не просто математика; это первая строгая модель ценообразования риска для расчётного слоя Bitcoin. Он преобразует интуитивное «правило самой длинной цепочки» Накамото в измеримое SLA (Соглашение об уровне обслуживания) безопасности, где глубина подтверждения n — это премия, уплачиваемая за конкретную вероятность финализации 1-P. Это фундамент, на котором построены все современные политики безопасности криптобирж.

Логика изложения: Гениальность заключается в представлении атаки как Биномиального случайного блуждания — классического стохастического процесса. Моделируя обнаружение блоков как процесс Пуассона, Розенфельд сводит хаотичную, параллельную гонку майнинга к решаемой одномерной задаче о разорении игрока. Переход от Раздела 3 (вероятность догона) к Разделу 4 (время ожидания продавца) критически важен; он соединяет возможности атакующего с политикой защищающейся стороны.

Сильные стороны и недостатки:
Сильные стороны: Сила модели — в её простоте. Решение в замкнутой форме $P = (q/p)^z$ мощно и легко интерпретируемо. Экономический анализ в Разделе 6 был опережающим своё время, предвосхищая современные строгие исследования теории игр для блокчейнов, которые можно увидеть на таких площадках, как ACM Conference on Advances in Financial Technologies (AFT).
Критический недостаток: Модель предполагает статического противника с фиксированным q. Она не учитывает стратегический, колеблющийся хешрейт — например, когда атакующий арендует огромные мощности облачного майнинга для короткого целевого рывка («атака Голдфингера»), угроза, отмеченная в более поздних исследованиях, таких как работа «Mining Pool» Эяля и Сирера. Она также игнорирует сетевую задержку и стратегии эгоистичного майнинга, которые могут эффективно увеличить эффективный q атакующего.

Практические выводы: 1. Для бирж: Не используйте универсальное количество подтверждений. Используйте формулу Розенфельда динамически. Для депозита в $100 может хватить 3 подтверждений. Для вывода $10 миллионов нужны десятки подтверждений, а ещё лучше — переход на цепочку с усиленной финализацией. 2. Для разработчиков протоколов: Эта работа является каноническим аргументом в пользу Proof-of-Stake (PoS). Экспоненциальная стоимость безопасности ((q/p)^z) в PoW экономически жестока. Системы PoS, такие как Casper в Ethereum, как описано в их исследовательских спецификациях, стремятся заменить эту вероятностную финализацию криптографической, «сжигаемой» финализацией, фундаментально меняя расчёт атаки. 3. Для продавцов: Главный вывод заключается в том, что для мгновенных платежей с небольшой суммой (например, за кофе) ожидание любых подтверждений непрактично. Эта экономическая реальность напрямую стимулировала развитие внецепных платёжных каналов (Lightning Network), которые полностью обходят проблему Розенфельда, выводя транзакции за пределы базового слоя.

9. Технические детали и математический аппарат

Базовая модель рассматривает обнаружение блоков как независимые испытания. Пусть p — вероятность того, что честная цепочка найдёт следующий блок, а q = 1-p — для атакующего. Состояние системы — это отставание атакующего z. Вероятность p_z того, что атакующий когда-либо достигнет паритета, начиная с отставания z, удовлетворяет рекуррентному соотношению, выведенному из задачи о разорении игрока:

$p_z = q \cdot p_{z-1} + p \cdot p_{z+1}$

С граничными условиями p_0 = 1 (паритет означает успех) и p_\infty = 0. Решение этого уравнения даёт решение в замкнутой форме $p_z = (q/p)^z$ для q < p.

Для сценария продавца с n подтверждениями вероятность успеха атакующего — это вероятность того, что он сможет построить цепочку длиннее честной, начиная с отставания в n блоков. Это рассчитывается путём суммирования по всем возможным сценариям лидерства в момент, когда продавец транслирует транзакцию.

10. Фреймворк анализа: пример

Сценарий: Криптовалютная биржа получает крупный депозит. Она должна решить, сколько подтверждений требуется, прежде чем зачислить средства на счёт пользователя.

1. Определение параметров:
   • Оценочная доля хешрейта атакующего: q = 0.2 (20%). Может быть основана на публичных данных пулов майнинга.
   • Сумма под риском (размер депозита): V = $500,000.
   • Допустимый уровень риска биржи: Приемлемая вероятность двойного расходования: $\epsilon = 0.001$ (0.1%).
2. Применение модели Розенфельда: Нам нужно найти наименьшее n, такое что вероятность атаки $P(n, q) \le \epsilon$. Используя формулу $P \approx \sum_{k=0}^{\infty} \frac{\lambda^k e^{-\lambda}}{k!} \cdot (q/p)^{n+1-k}$ для $k \le n+1$ (где $\lambda = n(q/p)$), или обращаясь к предварительно рассчитанным графикам/таблицам.
3. Расчёт/Результат: Для q=0.2 и \epsilon=0.001 требуемое количество подтверждений n составляет приблизительно 9.
4. Политическое решение: Биржа устанавливает требование подтверждения для данного актива в 9 блоков. При времени блока 10 минут это подразумевает 90-минутный период удержания для депозита, балансируя между безопасностью и пользовательским опытом.

11. Будущие применения и направления исследований

• Динамические политики подтверждения: Интеграция данных о хешрейте в реальном времени и стоимости мемпула для динамической корректировки n, создание «чувствительного к риску» механизма подтверждения.
• Межцепочная безопасность: Применение модели для оценки безопасности мостов между блокчейнами и кросс-чейн транзакций, где экономическая стоимость под риском может распределяться по нескольким цепочкам с разными значениями q.
• Постквантовые соображения: Исследование того, как появление квантовых вычислений может повлиять на стоимость выполнения атаки 51% (путём взлома алгоритмов майнинга) и перекалибровку параметра q в моделях безопасности.
• Интеграция с MEV (Максимально Извлекаемая Стоимость): Современные атаки двойного расходования часто являются компонентами более сложных MEV-стратегий. Будущие модели должны учитывать дополнительную прибыль, которую атакующий может извлечь из переупорядочивания или цензурирования блоков, помимо суммы двойного расходования.

12. Ссылки

1. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
2. Rosenfeld, M. (2014). Analysis of Hashrate-Based Double-Spending. arXiv:1402.2009.
3. Eyal, I., & Sirer, E. G. (2014). Majority is not Enough: Bitcoin Mining is Vulnerable. International Conference on Financial Cryptography and Data Security.
4. Buterin, V., & Griffith, V. (2017). Casper the Friendly Finality Gadget. arXiv:1710.09437.
5. Gervais, A., Karame, G. O., Wüst, K., Glykantzis, V., Ritzdorf, H., & Capkun, S. (2016). On the Security and Performance of Proof of Work Blockchains. ACM SIGSAC Conference on Computer and Communications Security.