×
  • 澳门新莆京娱乐网站
  • 问卷调查
  • 问卷调查系统
  • 区块链
  • 大数据
  • 数据中心
  • 创建问卷
问卷调查系统工具软件推荐
区块链

如何用模子阐明比特币安详性?区块津贴下降后

「比特币安全的最大威胁根植于协议本身:即区块奖励减少带来的安全风险。」

论文作者:Hasu(独立研究人员), James Prestwich(Summa 创始人), Brandon Curtis(Radar 研究总监)
编译及解读:LeftOfCenter

如果应用程序或协议在敌对环境中实现了它的目标,包括对抗那些愿意花费大量资源来破坏系统的参与者,那么我们就称其为「安全的」。遗憾的是,没有一个系统能够抵御无所不能的攻击者。因此,对待安全,一个实用的态度是最大限度地激励人们按照协议行事,同时尽可能减少违反协议的动机。

从这个角度,不妨看看比特币网络是否是「安全的」:

比特币的目标是建立这样一种支付系统

· 任何人都可以参加(免许可访问),
· 只有合法持有者才能消费代币(安全性),以及
· 所有有效的交易最终都会进入分类账(活跃度)。

人们持有比特币资产目前已超过 10 年,这表明比特币在实践中是安全的。但另一方面,在学术界和理论界,一直未能在学术研究的模型中重现比特币这种安全的特性,学者们斥之为「错漏百出」、「难逃一死」等,这也导致了「比特币在实践中安全,在学术中不安全」的一种「meme」。

好在独立加密货币研究者 Hasu、Summa 创始人 James Prestwich 和 Radar 研究总监 Brandon Curtis 最近发表了一篇论文,希望改变这一现状。

随机推荐:区块链: 给首席信息官的十大告诫

这三位作者在这篇论文中,通过介绍比特币安全模型,来弥补理论和实践之间的差距。该论文证明,比特币目前能够容忍非常高的攻击动机,而这是由数量少得惊人的因素所决定的。

该论文进一步说明了,为什么学者们提出的许多攻击,对矿工来说并不合理、并不合算。

在论文的第二部分中,三位作者还证明了,比特币安全的最大威胁根植于协议本身,而不是任何外部攻击者。

这个问题就是区块奖励减少带来的安全风险:作为比特币固定发行计划的一部分,区块奖励计划将会如期减少,一种普遍的观点认为,这将降低矿工的可预测收入,从而降低矿工对维持比特币网络安全性的承诺。该论文解释了,如果一个稳健的区块空间市场没有发展起来,区块回报的下降缘何将给未来带来巨大的风险。论文与普遍的看法相反,认为用户不能通过简单地等待更多的确认数来弥补这个问题。

最后,该论文还提出了几个可能的改进建议。

以下为该论文的一些核心内容:

1. 比特币为什么需要挖矿?

在比特币系统中,已经使用了公钥加密技术来对消息所有权进行证明和验证。其中,一个代币的所有者可以用其私钥签名一条消息。然后,网络中其他节点可使用发件人的哈希公钥来验证该消息是否有效,这满足了比特币系统中的「安全性」要求。

但是,有时候出现节点会收到两条消息,它们单独都是有效的,但又不可能同时有效(比如双花攻击),在这种情况下公钥加密完全不起作用了。

比特币如何解决这个问题呢?它用一组算力签名来代替单个可信的服务器签名,节点可据此在单条链上进行协调。生成这些签名的成本很高,且成本很容易被验证,因此高度可信。因此,当节点从矿工那里收到两个相互冲突的签名时,会选择成本更高的那个,这个分叉选择规则(fork choice rule)就是「中本聪共识」。

将动态成员多方签名 (DMMS) 用于比特币挖矿的想法最早由 Adam Back 和 Matt Corallo 等人提出。DMMS 是由变量和一组匿名签名者组成的签名,这些签名者可以随时进入和离开。他们在比特币网络算力份额代表了它们在网络中签名权重。这些签名是累积性的,因为每个区块都引用前一个区块,最终创建一条区块链

虽然矿工在构建自己的区块方面有一定自由度,但他们不能给自己分发更多代币,不能在同一链上偷别人的代币,也无法篡改区块发生的顺序。和其他节点一样,矿工必须像其他任何节点一样遵循比特币协议,并且节点会自动拒绝任何破坏协议的尝试。

但是,作为一种密码技术,该协议的局限性在于,不能覆盖所有方面,在一些重要方面协议无法强制执行,比如,一个节点本身并不知道两个冲突的交易中哪个才是有效的,或者两条竞争链中哪条更受欢迎。因此,用户依赖于分叉选择规则在单个链上进行协调。虽然该规则是比特币保持共识所必需的,但它也赋予矿工相当大的权力,而该权力不受协议本身的约束(且不可调控!)。

其中最出名的激励失败(incentive failure)就是双花攻击。这种情况是指,多数矿工首先在原链上使用 BTC 购买非 BTC 的产品或服务,一旦他获得了不可退回的货物或服务交付,他可以产生了一条更长的链条,而该交易从未发生过,因此同时获得了钱和商品。节点遵循成本更高的签名,会自动切换到新链,即使其中包含链下盗窃或其他恶意行为。

由此可见,诸如加密签名之类的「硬」协议规则不能完全确保交易顺序的安全,它也依赖于由矿工发布更新的用于服务比特币用户的「软」经济动机。

2. 为比特币的安全性建立模型

对于矿工来说,只有在无利可图的情况下才有动机不撤销交易,从而为此交易生成最终确认性。总有人会问,到底需要多少个确认才能保证支付的最终性?

Hasu、James Prestwich 和 Brandon Curtis 三人为比特币的安全性建立了一个模型,他们的安全模型得出的结论是:比特币的安全性和确认数目没有关系,安全只和 2 个因素有关。

2.1 安全假设

在该模型建立的基本支付系统假设中,区块奖励为 12.5 BTC,交易费为 0。挖矿所需的所有硬件和哈希算力都可按需租用,因此矿工对比特币网络没有长期的承诺。矿工的行为不会影响 BTC 的交易价,用户也不会违反中本聪共识。

在论文中,把通过这种「诚实挖矿」(honest mining) 行为所获价值定义 EV (诚实挖矿),那么,10 个区块间隔中, 矿工收入 MR(miner revenue) 就是 125 个 BTC。

假设矿工可自由加入网络挖矿,并且矿工之间存在完美竞争,那么可以预期,获得该奖励的挖矿成本(MC: mining cost)是 125 个 BTC,由此得出:

等式 1: 挖矿收入 (MR) – 挖矿成本 (MC) = 0
等式 2:EV(诚实挖矿) = MR – MC

因此,EV (诚实挖矿的所获的价值) 的基准为 0 BTC。

矿工希望从攻击活动中攫取的比特币价值则被定义为 MEV (Miner-extractable value),指矿工通过操纵共识或交易订单所攫取的其他价值。然后,可将攻击挖矿的最终 EV(例如双花)建模为:

等式 3:EV(攻击挖矿)=MEV+MR-MC

只要一直保持 EV(诚实挖矿) >EV(攻击挖矿),那么,一个理性的矿工就会遵守协议,而不是进行攻击。因此可得出,为了保证比特币的安全性,就必须让 EV(诚实挖矿) > EV(攻击挖矿) 。

假设一名矿工从一次 10 区块间隔中攫取的 MEV 为 100,那么可以得出:

案例 1:EV (攻击挖矿)= MEV + MR – MC=100+10-10=100;

由于 100>0,那么可以推出此时比特币是不安全的。

这一发现符合直觉,因为本次攻击区块链对攻击者而言并没有实际代价,只需 10 个 BTC 的预算,攻击成功后,该成本可被奖励抵消。

这里有 3 个值得注意的警告:

1)一旦攻击者撤销自己生成的某些区块,则攻击开始产生实际成本,因为他的有效挖矿收入 MR (攻击挖矿)下降,而 MC 保持不变。

2)如果少数防御矿工继续开采原始链,则会增加攻击的持续时间。但是,只要攻击者最终能超过原始链,这不会降低他的 EV (攻击挖矿),而只会提高其预算,而企图防御的捍卫者的资源被浪费。

3)在此模型中,我们假设,攻击者拥有大量哈希算力或几个较小攻击者进行联合攻击,攻击者之间的协调是没有成本的。但在现实世界中,如果各位矿工在 MEV 值或攻击持续时间上有分歧,可能会增加协调的成本。

2.2 市场治理

俗话说,消费可以说是一种投票,它是指经济参与者通过消费进行投票。在区块链市场中,用户(消费者)买卖 BTC 的行为,对于矿工(生产者或服务提供商)来说也是一种投票。一旦用户对矿工提供的服务不满意,对支付系统的信心可能会下降,如果矿工安全服务不到位让系统遭到攻击,就会引起消费者不满意,从而导致 BTC 交易价格下跌。

该论文将遭到攻击后比特币的美元价格表示为 p (攻击后价值,postAttackPrice),postAttackPrice=95%意思是「攻击导致比特币价格下跌了 5%」。

等式 4:EV (攻击挖矿)= p (攻击后的价值 postAttackPrice) x (MEV +MR)-MC

在更新后的公式中,由于攻击导致 BTC 价格下跌,MR (区块奖励+费用)和 MEV 的价值都变小了,而挖矿成本(MC)保持不变。这很好推理,攻击后,BTC 数目虽然没有亏损,但是损失了 5%的购买力,价值只相当于攻击前的 95%。

由于引入了市场治理,因此只要 MR (诚实挖矿)大于 p (postAttackPrice)*(MEV + MR (攻击挖矿)),那么我们可以说,EV (攻击挖矿)是无利可图的,可表示为:

等式 5:If MR>p (postAttackPrice)*(MEV +MR),EV (攻击挖矿)<0,

由此,我们可以得出保持系统安全的 3 种方式:

1) MEV 保持足够低,例如,因为很少有人使用比特币进行交易,或者用户在没有其他保证(例如知道买家的身份)的情况下不会考虑最终付款。

2) p (postAttackPrice)很低,这意味着,用户对比特币的用途非常敏感,一旦矿工无法履行自己职责,这些用户马上就会转到其竞争对手上。如果 BTC 的价格易于崩溃,那么,其他形式的攻击 (比如 sabotage 攻击) 就会变得更具吸引力,从而增加 MEV。

3) MR 值足够高,这样的话, p (postAttackPrice)对 MR 的影响,开始超过从 MEV 的潜在收益。

2.3 矿工的长期承诺

之前的这些假设,都属于「不切实际的假设」,即可按需租用挖矿所需所有资源(该观点主导了比特币安全性的学术评论)。实际上,现实中的挖矿行为并非如此。在激烈的竞争中,如果某一名矿工在同等预算成本下增加了可获得的收入,那么其他矿工就必须跟上步伐,要不然就会有收入减少的风险。

挖矿几乎没有一直存在的护城河。结果就是,挖矿产业的工业化速度可能超过历史上任何其他行业。

随着挖矿业工业化程度越来越高,创建区块的单位成本变得越来越重要。实际中,有几种降低业务中单位成本的方法:

1)如果生产设施产能不足,则企业可出售更多产品,将日常开销平均分摊在更多商品上。在挖矿行业中,每个哈希值都有一个以比特币网络形式的自动购买者,因此,在这一点上没有优化的空间。

2)该业务可以减少生产的日常材料成本。具体到挖矿中,其目标是不断寻找更便宜的能源,更好地散热或冷却以及制造优化。

3)企业可以通过使其生产设施专业化来降低成本。在挖比特币中,这意味着只针对 SHA-256 哈希算法优化的专业硬件,一旦该硬件设备不能挖比特币,就一文不值了。值得注意的是,这甚至适用于以太坊等大型 GPU 挖掘网络。虽然可用通用硬件挖以太坊代币,但对 GPU 的需求却不足以使供应突然达到饱和的状态。因此,一旦以太坊的价格崩溃,以太坊的矿工承诺也将失去大部分的价值。

4) 矿工还可通过签订长期购电协议(PPA)来降低单位的能源成本。

因此,为了降低单位成本,保持挖矿竞争力,一个理性矿工需要高度专业化的硬件,并致力于该网络长远的发展。矿工专业化程度越高,其资产和支出的不可回收性就越大。从等式 1 中,可得知 MR + MC =0。这意味着,可用挖矿总收入(也就是区块奖励总和)填补挖矿成本。

那么,一个矿工必须预先承担多少费用呢?在与比特币矿工和专家交谈之后,该论文的作者得出了一个粗略估计,即普通矿工、乃至整个挖矿业,不可回收的成本约占总成本的 50%,此外,这些资产会平均在 24 个月内贬值。

据此推算,如果预期挖掘两年的比特币,那么整个挖矿行业须将整整一年(两年* 50%)的区块奖励作为长期承诺成本。

以一个区块 12.5 枚 BTC 来计算,一年就是 658,800 枚 BTC。换句话说,2 年的合理的挖矿单位成本是 658,800 枚 BTC,或 105,408 枚区块。

这项承诺成本取决于,未来两年内挖矿市场(包括能源和硬件生产商)对比特币的价格预期。如果他们期望比特币生存和繁荣,他们可能会假设比特币的平均价格等于或高于当下的比特币价格。如果比特币的价格在折旧阶段(2 年内)下跌,矿工可能会为此付出巨大的损失。

因此可以说,矿工坚定地致力于实现最大化 BTC 价值和网络效用的方式挖比特币。由此得出:
等式 6:EV (攻击挖矿)= p (攻击后的价值 postAttackPrice) x(MEV +MR)-MC-(1- p)*Commitment

在非租用算力的情况下,矿工挖掘比特币会有承诺成本,一旦因为攻击导致价格下跌,将影响全年的收入。

值得注意的是,攻击者无需拥有 100%的哈希算力才能攻击成功。如果他用 60%的哈希算力进行攻击,那么他自己的承诺将仅占总承诺的 60%,即 395,280 BTC。

案例 2:EV (用 60% 哈希算力进行攻击挖矿) = 95%(5BTC+8*12.5BTC)-(8X12.5 BTC)-5%*395280 BTC=-19.764 BTC

一个占有 60% 哈希算力的攻击者,想通过挖矿攻击获利,MEV 值约为?21,000 BTC,即 1.87 亿美元,对 MEV 高容忍度表明,目前比特币网络确实是安全的。

这些发现可以推广到使用 PoW 的所有加密货币。这也说明了,投入成本的不可回收性对于对于安全性有极其重要的意义。

2.4 终止中本聪共识

至此已经证明,比特币网络对 MEV 的高容忍度,大大提高了攻击获利的成本。但是,为了完善该比特币安全模型,该论文的作者还更新了最后一个假设:即比特币用户永远不会质疑中本聪共识。

市场上用户需要寻求最小信任化的信号,该信号允许用户在单条链上进行协调。用户愿意为这些信号花钱,是因为它是最便宜的协调方式。但是,这意味着,如果大多数用户对此不满意,用户也不一定会遵循矿工发出的信号。在比特币的历史中多个先例证明了用户有可能忽略中本聪共识,因为生成的链不再代表他们所签署的社会契约。

多个案例表明,如果在治理决策上产生分歧,用户可以运行自定义代码命令(比如 invalidateblock )来暂停中本聪共识,剥夺矿工的权力。

因此,在实际攻击时,攻击者还需考虑用户暂停共识的风险。

在此,该论文用 p(followNC) 来定义用户通过链下协调中止中本聪共识的概率,这会使攻击者的潜在回报降低,同时攻击成本保持不变。

由此推出:

等式 7 :EV (攻击挖矿) = p(followNC)*p (攻击后的价值 postAttackPrice) x(MEV +MR)-MC-(1- p)*Commitment

因为攻击期间内它仅影响 MR 和 MEV,而不会影响矿工承诺,与市场治理相比,NC 暂停给安全带来的影响更少。

但是,从理论上讲,用户不仅可以更改交易历史记录,还可以更改核心协议规则。如果他们将挖矿算法从 SHA256 更改为其他算法,即使比特币价格不会跌到零,但用户也可能立即使整个矿工的承诺变得完全无效。这使得这种社会干预(social intervention )也成为一种有效防御攻击比特币价格或网络攻击的方法。

2.5 总结

一些核心发现: 
1)为了保障高度安全性,在用户考虑最终确认性的期间内,诚实挖矿的价值必须要高于攻击挖矿的价值。

2) 如果用户需要大笔交易,则 MEV 的值需要足够高。

3)系统对 MEV 的高容忍能力,取决于系统对恶意行为矿工的惩罚力度。用户可通过 2 种方式惩罚矿工:
a)首先,用户可出售部分或全部比特币。当比特币价格下跌了 10%,矿工则会损失相对攻击之前的承诺价值的 10%。
b)其次,用户可以协调链下暂停中本聪共识。

4)矿工的长期承诺成本越大,潜在的惩罚力度就大,矿工的长期承诺成本越小,潜在的惩罚力度就越小

5)矿工的长期承诺成本与矿工收入(MR)、总成本中承诺成本占比和折旧时间表相关。

3. 挖矿攻击有哪些?

根据以上模型,该论文推导出了对比特币系统最主要攻击是如何进行的。

攻击与哈希算力高度相关。理论上,只需持有 30% 哈希算力就可以进行自私挖矿(selfish mining)或固执挖矿(stubborn mining),但目前为止,这类攻击至今尚未发生在比特币网络中。

该论文建立的模型表明,一个理性的矿工致力于降低公众对比特币信任度的策略是不可能的,因为即使只是价格小幅下跌,也会降低其承诺的价值,该价值会比从 MEV 获得的价值高。

一个案例可支持该理论。2014 年 GHash.io 矿池哈希算力大于 50%,这导致了博彩网站 BetCoin Dice 的双花攻击事件。此事在比特币社区引发骚乱,普遍认为其中心化矿池导致了信任被动摇。很多巨鲸开始出售自己的比特币。

之后,个体矿工大量逃离了该矿池,以保护他们的投资。在那之后,没有一个矿池敢达到如此高比重的哈希算力水平。矿工似乎已经意识到,任何形式的市场恐慌最终都会对自己产生不利影响。

在这里,我们可以看到拜占庭模型与理性模型之间的差异:

在拜占庭模式下,一旦矿工的哈希能力大于 50%,比特币就不安全。然而,复杂世界中比特币的稳定状态很可能是哈希算力的垄断造成。目前可能就属于是垄断状态,这一点无力反驳。

参看所有参与者的动机可表明,在有一个占据 51% 以上算力的矿工存在的情况下,比特币也不会自动失败。不过,当矿工拥有超过 50%的哈希能力时,就可以确定自己提出的链最终将成为中本聪共识的规范链,这有可能产生两类眼中的攻击:双花攻击和破坏活动攻击。

3.1 双花攻击

模型表明,BTC 价格小幅下降不大可能导致大规模的双花攻击,因为从 MEV 获得的收益必须要高于损害矿工的长期承诺成本才可让攻击获利。此外,矿工还得考虑用户可能暂停中本聪的共识,这样就完全否定了攻击者可获得的回报。

随之而来的是,双花攻击者,希望最大程度地减少可感知到和实际的网络中断,以免引发上述任何处罚。攻击者可通过将重组保持在 100 个区块以内,原链的挖矿奖励可被用于花费。如此深入的重组将不再仅仅影响个人用户,有可能引发与预期更多的无效交易。袭击者会尽力重播每一个交易,包括挖矿奖励输出,仅使用已更改的双花交易重新创建完全相同的历史记录。

鉴于以上种种限制,对于一个理性的矿工来说,是不会选择进行孤立的双花攻击的。

4. 区块奖励不断下降,比特币安全性如何?

关于比特币安全性的模型必须考虑未来可能发生变化的参数,以及考虑他们为什么会发生变化。该论文认为,比特币的安全性取决于这几个要素:矿工的承诺、MEV 和用户对价格敏感度。

如今,比特币的高波动性要求矿工有很高的风险承受能力。一旦比特币的价格升值并达到顶峰并长期保持在稳定的峰值,那么,挖矿可能会开始类似于传统的商品市场,其生产者的收益和波动性变低。更低的波动性将会使矿工倾向于寻求更高的杠杆率,将极小的价格波动放大。

如果比特币严重威胁到主权货币,那么政府对其攻击的动机会变大,它们可能会实施审查制度等形式破坏和攻击比特币网络。深度衍生品市场的存在更易于人们加大赌注做多做空比特币的价格,这进一步增大了 MEV 的可能性。

然而,以上均不是变动最大的因素,最大可变因素在于比特币协议本身,比如,矿工激励下降带来的影响。

作为矿工长期承诺成本的决定性因素,矿工的所有利润来自于区块奖励,该奖励由两部分组成:

1)每铸造一个新代币的区块补贴 
2)交易费

区块补贴目前占全部区块奖励的 99%,目前正在逐步降低,到 2020 年,比特币的年发行量将降至 1.8%,到 2028 年,该数字减半至 0.5%。

这就导致一个结果,作为矿工最重要的收入来源,逐渐降低的矿工补贴,必须被某种全新的收入来源所取代。

到目前为止,比特币的安全性由其本身价值支撑。未来,比特币的安全性将由目前尚不存在的二级市场支撑。

是否能找到足够支持比特币安全性的二级市场具有很大的不确定性。现在,收取交易费的目的是为了仲裁有效区块空间的优先权。未来,为了给矿工创造足够的收入,对区块空间的需求必须要远远大于区块空间的供给,只有这样才能创造对区块空间的需求,从而提高交易费用的价格。

然而,即使未来用户对区块空间的需求很高,也有可能交易费仍然很低。如果大多数人只是持有比特币,或者大部分交易是发生在中心化交易所或各种链下解决方案上,那么,就会出现交易费较低这种情况。

4.1  增加确认数能够弥补奖励补贴下降带来的影响吗?

有一种说法是,可通过增加确认数来弥补不断下降的奖励补贴对比特币安全造成的影响。但 Hasu、James Prestwich 和 Brandon Curtis 三人建立的模型表明,即使是更多的区块确认数也无法保障比特币的安全性。

该论文举了个例子来证明这个结论:

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

随机推荐:区块链技术如何对音乐行业产生重大影响?

人已赞赏
区块链

Filecoin的终极指南:深挖Filecoin白皮书

2019-10-20 0:00:00

区块链

地方政府如何利用区块链技术保护城市中心

2019-10-22 0:00:00

问卷调查系统工具软件推荐
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
有新消息 消息中心
搜索
XML 地图 | Sitemap 地图