如果一個應用程序或協議在充滿對抗性的環境中能夠實現目標,那它就是安全的。就BTC而言,其目標是建立一個任何人都可以參與的支付系統,只有合法所有者才能花費代幣,所有有效交易最終都將存入分佈式賬本。
在它存在的頭十年中,BTC成功地擁有了這些安全屬性。但是與此同時,學術界在很大程度上未能在其研究模型中複製BTC的穩固性,由此產生了“BTC只有在實踐中是安全的,但在理論上不安全”之類的論調。本文旨在通過介紹BTC安全模型,來彌合理論與實踐之間的鴻溝。
我們認為,BTC目前可以承受很高的攻擊,從而使礦工動機與系統利益保持長期一致。挖礦需要大量的前期投資,其價值與網絡的健康狀況息息相關。通常情況下,礦工相當於提前購買他們在未來兩年內預期要開採的所有代幣的一半。在礦工收到這些代幣之前,任何損害代幣價值的行為都極具破壞性,這說明了為什麼學者們擔心的許多攻擊在實踐中都行不通。
另一方面,相比於外部攻擊者,BTC安全性的最大威脅更多地體現在協議本身。BTC的區塊獎勵減半機制將導致該網絡與礦工的利益捆綁性降低。如果沒有蓬勃發展的區塊空間市場,區塊獎勵的下降會對未來構成重大威脅。用戶無法僅通過等待更多的區塊確認來彌補這一點。
最後,我們提供了新的思路,包括一些可供社區討論的改進建議。
本文於今年10月正式發佈,為Hasu、James Prestwich和Brandon Curtis的共同作品,在創作過程中借鑑了Nick Szabo、Emin Gun Sirer等人的既有研究成果。加密谷編譯此文,供專業投資人和技術愛好者參考。由於全文篇幅較長(接近16000字),分為三期刊出,此為第二篇。上篇請見:
《深度 | 區塊獎勵即將減半,BTC還安全嗎?(上)》
挖礦攻擊
接下來,我們想探究,在已知模型下對BTC系統的最主要的攻擊手段是如何進行的。
在很大程度上,BTC網絡上可能發生的攻擊取決於攻擊者擁有的算力多寡。理論上講,礦工只需要30%的總算力就可以從事自私挖礦或頑固挖礦。他們通過挖出區塊後不廣播到全網,而是直接對下個區塊進行預挖,以達到浪費競爭者算力的目的,從而賺取到超過公平挖礦的收益。
但據我們所知,截至目前,這些策略尚未在BTC網絡中出現。這是因為,我們的模型表明,礦工不大可能採取使公眾降低對BTC信任度的策略,因為即使是價格的小幅下跌也會破壞礦工自身的利益,遠超過他們希望獲得的MEV。
研究數據可以支持這一理論。2014年,GHash.io礦池算力一直在全網算力的50%左右波動,他們通過零礦池手續費等政策吸引了大量礦工。甚至涉嫌以虛高價格收購熱門的博彩網站BetCoin Dice。隨著礦池集中化的新聞通過BTC社區傳播,人們對該系統的信心被動搖了。幾個重要人物公開出售了部分BTC。隨後,礦工開始大量逃離礦池,以保護他們的投資。
自此之後,沒有任何一個礦池敢於再次達到這種算力水平。礦工似乎已經意識到,任何形式的市場恐慌都會對其底線產生極大的負面影響。
在這裡,我們可以看到拜占庭模型與理性模型之間的差異:在拜占庭模型下,一旦礦工的算力> 50%,BTC就是不安全的。然而在複雜的現實世界中,狀態穩定的BTC很可能存在算力壟斷者。也許目前已經存在壟斷者,但我們無法印證。分析參與者的動機可以發現,在多數挖礦者的存在的前提下,BTC不會自動失敗。
當礦工擁有超過50%的算力時,他可以確定自己提出的任何鏈都將成為中本聰共識中的規範鏈。這是對BTC用戶進行更嚴重攻擊的前提。這些攻擊可分為兩類:雙花和破壞。
3.1雙花
在雙花攻擊中,攻擊者重寫了一條鏈,將此前用BTC進行了消費的鏈替換為一條仍擁有商品但未付款的鏈。
我們的模型表明,BTC價格的小幅下跌使得即便是大規模的雙花攻擊也不可行,因為MEV的收益必須高於礦工捆綁利益的損失。此外,礦工還必須考慮到一個因素:用戶完全可以中止中本聰共識,從而間接地造成自己的收益受損。
雙花的攻擊者希望最大程度地降低網絡感知其攻擊意圖的可能性,以免觸發懲罰機制。他可以使其重新組織的區塊一直維持在少於100個,由此原鏈上的token獎勵才行得通。
大規模的重寫影響的不再是單個用戶,而會在事實上摧毀代幣體系,併產生連鎖反應,使得更多的交易無效。
攻擊者會盡可能地還原原鏈上的所有交易,僅更改雙花交易的記錄,以隱藏攻擊意圖。
考慮到以上限制,單純的雙花攻擊不太可能在短期內成為礦工的理性選擇。
3.2破壞
與單純的雙重支出攻擊不同,破壞攻擊者無意在BTC系統內賺錢。他根本不關心可能的用戶懲罰。與之相反,破壞攻擊者試圖通過各種手段造成BTC價格崩潰,使用戶對網絡失去信心。
對於做空BTC價格的人來說,破壞性攻擊行為是合理的。也有可能,他們的目的是為了捍衛被BTC威脅到的現有收入。類似的收入來源可能是法幣體系的鑄幣稅,也可能是人們通過數字資產隱藏財產逃避的稅收。
這種攻擊動機有點類似《007》系列電影中,大反派計劃通過對諾克斯堡(美國國庫黃金儲備基地)的儲備黃金進行汙染,以使自己手上的黃金變得更稀缺、更有價值,因此也被稱為“金手指攻擊”。
為了最大程度地削弱用戶對系統的信任,攻擊者聚焦於BTC的三個原初設計目標:安全性(safety)、活躍性(liveness)和無許可訪問(permissionless
access)。他們打算使這些特性逐一失效。
實現這一目標的其中一種方法是建立算力壟斷,並完全停止處理任何交易。如果願意,任何掌握大算力的礦工都可以通過直接忽略小算力礦工挖出的區塊來建立壟斷。因為他佔據優勢,所以小算力礦工創建的區塊最終會被重寫。
達到算力壟斷的礦工可以拒絕打包任何交易,也可以通過設置最低交易額來勒索用戶的交易費,或者乾脆建立自己的交易處理規則。例如,他可以忽略所有未通過其個人KYC / AML檢查的交易。用戶可以通過三種基本方法來防禦此類審查攻擊。
- 我們應該確定,審查制度造成的損害等於被審查用戶從系統中退出的成本。BTC存在的同類競品越多,退出成本就越低,而率先審查BTC用戶的動機就越低。類似的邏輯適用於on-ramps和off-ramps,例如去中心化交易。這裡有一個有趣的悖論:BTC上強大的KYC / AML層使盜竊行為的吸引力降低(黑客攻擊Bitfinex獲得的代幣被列入黑名單),但它也使系統更容易受到審查攻擊。另一方面,一個沒有任何身份認證的系統會存在更多的盜竊動機,但減少了審查攻擊的動機。
- 當交易開始被審查時,攻擊者處理的交易會減少,被審查的用戶可以增加其未確認交易的交易費。這會導致MR(誠實挖礦)和MR(攻擊挖礦)之間形成一個收益差。被審查的用戶此時可以有效地free-rolling(進行任何操作都只增加正向收益,不會影響到現有的收益格局),並且可以不斷提高交易費,直到他們消耗掉所有的餘額為止。這種收益差可以吸引其他大算力礦工挑戰現有的算力壟斷格局。
- 最後,用戶可以協調,通過以暫停中本聰共識、修改規則的方式對壟斷性礦工進行懲罰。比如可以將工作量證明算法從SHA256更改為其他算法。當然,壟斷礦工也可以不斷重寫原鏈,而不是用無效區塊來擴展原鏈。但是其效果是相同的。
不斷下降的區塊獎勵
通過模型預測未來時,我們必須考慮哪些參數將會發生變化,以及,發生這種變化的原因。
通過上述分析,我們已經得出如下結論:BTC的安全性很大程度上來自意外的少數因素:礦工的利益捆綁,MEV和用戶的價格敏感性。暫停中本聰共識的協調能力可以解決問題,但這不能成為安全本身的基礎。因為,如果已經存在一種比中本聰共識更便宜的協調機制,那我們就不需要挖礦了。
如今,BTC的波動性要求礦工具有更高的風險承受能力。如果價格持續攀升,達到頂峰,BTC維持穩定,挖礦行業將開始變得類似於傳統的商品市場,屆時就可以為生產者提供低波動性,當然,收益也會隨之降低。這是一個動態均衡的過程。
較低的波動性使得礦工可以利用較高的槓桿,那時候,即使是很小的價格變動也更容易被察覺。
如果BTC嚴重地威脅到主權國家的法幣地位和政府的稅收能力,那麼,政府就會加大審查力度。深度衍生品市場的存在還可以使人們更容易對BTC的價格進行大規模做空,這進一步增加了可能的MEV。
BTC最大的安全威脅根植於協議本身,而不是任何形式的外部攻擊者。這一系統中最大的變量已被編碼進入協議。所有礦工收入都是其利益捆綁強度的決定性因素,來自於區塊獎勵,這其中包括:固定的區塊獎勵和交易費用。
固定區塊獎勵佔全部區塊獎勵的99%,目前正在根據BTC的固定發行時間表逐步減少。2020年,BTC的年發行量將降至1.8%。到2028年,該數字將減半至0.5%。
這最終會導致,最重要的礦工收入來源(固定區塊獎勵)將不得不被新的收入來源所取代。
到目前為止,BTC已經從其本身價值中獲得了安全性。展望未來,它將從尚待發展的二級市場中獲得安全性。
這種收入來源過渡能否成功,在很大程度上決定了BTC的未來。如今,交易費的目的是對區塊空間的供應優先級進行判定。為了創造足夠多的礦工收入,對區塊空間的需求必須要超過區塊空間的供應。價格,是維持這一體系順暢運行的重要因素。
雖然未來對區塊空間的需求可能會很高,波動性很小,但還是存在某些情況下,市場發現BTC很有用,而交易費用仍然維持低位。如果大多數人只是持有BTC,大多數交易都發生在中心化交易所或各種鏈下解決方案,就會發生這樣的情況。
4.1區塊確認對安全性的影響
坊間認為,固定區塊獎勵的下降不會帶來重大風險,因為用戶可以通過等待多個區塊確認來彌補。我們的模型表明,安全性和區塊確認數量之間的關係要複雜得多。
首先,我們考慮額外的區塊確認對礦工捆綁利益的影響。如前所述,礦工已經提前投入了未來兩年內他們期望挖到的代幣的50%。他們的總捆綁利益為658,800 BTC,也就是平均每區塊6.25 BTC。在每個區塊中,礦工將6.25 BTC的運營成本與6.25 BTC的捆綁利益成本合併為每區塊12.5的總MC,等於區塊獎勵。
如果用戶認為6個區塊之後才能最終確認一筆交易,則雙花攻擊者的最小攻擊週期就是7個區塊。為了挖出這7個區塊,攻擊者只需額外再花費7 * 6.25 BTC = 43.75 BTC。
在持續的7個區塊攻擊中,他需要冒巨大的風險(相當於658,800 BTC),這還沒有計入運營成本中的43.75 BTC。
如果將計劃通過攻擊獲得的區塊獎勵變更為70個和700個,那麼,上述週期和成本將分別為:12個小時,658,800 BTC加437.5 BTC;5天,658,800 BTC和4,375 BTC。
我們可以看到,如果用戶願意等待一週,那麼礦工的總捆綁利益風險只增加了不到1%。所以,等待更多的區塊確認數並沒有實質性地增加礦工所承擔的風險,並且也不會有人進行一筆需要等待數月以上才能最終確認的交易。如果將來區塊獎勵減半,則此邏輯同樣適用。而區塊確認數的增加會更多的影響MR這部分礦工利益捆綁。每增加一個區塊確認,會增加相當於當前區塊獎勵的50%的額外成本。隨著MR的減小,每個額外成本也將同步減小。
在低區塊確認數下,這一邏輯會有很大變化。雖然持續時間較長的攻擊者會被認為需要更多的算力,因此承擔較大的風險,但持續時間較短的攻擊者並不需要擁有大額算力。具有10%總算力的礦工成功重寫兩個區塊的幾率為17%,而他成功重寫6個區塊的幾率只有1%。
如果礦工的利益捆綁成本低,而MEV很高,則在這個概率下攻擊是有利可圖的。因此,等待前幾個區塊確認並不是針對大額算力攻擊者的有效防禦手段,而僅僅對小額算力礦工奏效。
雖然等待6個區塊確認和60個區塊確認之間可能並沒有顯著差異,但是在等待超過100個區塊確認數後,安全性收益會再次開始累加。如前所述,這是區塊獎勵可支配的閾值,超出此深度的區塊重寫對網絡的破壞性更大。用戶受到的干擾越大,則他們通過拋售代幣或中止中本聰共識進行反擊的協調成本就越低。
因此,當在沒有協議外追索權的情況下收到款項時,一個可能比較合理的規則是:對於鉅額交易,要等待> 100個區塊確認;而對於其他任何交易,則要等待6個區塊確認。我們發現,在6到100個區塊確認數之間,礦工的攻擊成本幾乎沒有增加。(未完待續)
Hasu、James Prestwich、Brandon Curtis 作者
Harry Zhang 翻譯
Roy 排版
內容僅供參考 不作為投資建議 風險自擔
閱讀更多 加密谷 的文章
