Ein theoretisches Low-Cost-Angriffsszenario in PoW-Währungen

Das Szenario wurde von user:croraf und mir entworfen, als ich gestern eine Frage von mir diskutierte . Zur Verdeutlichung möchte ich es hier noch einmal in strengerer Form darstellen.

Um es klar zu machen, die ersten vier Annahmen :

  1. Transaktionen werden akzeptiert, wenn N Blöcke sie bestätigen.
  2. Wir können zu den meisten Minern Kontakt aufnehmen, sie sind egoistisch und kaum in die PoW-Währung investiert.
  3. Ein Angriff mit der Mehrheit der Schürfkraft ist möglich. Um es deutlicher zu machen: Wir gehen davon aus, dass das Umschreiben der Blockchain-Geschichte mit dem Rückgängigmachen vieler Transaktionen so überraschend ist, dass wir unsere Vorteile aus dem Angriff ziehen können, bevor die Währung fällt.
  4. Es gibt eine alternative Münze, die gegen unser folgendes Angriffsszenario resistent ist, ohne Wertkorrelation zu PoW-Währungen. Mining-Hardware ermöglicht es, sowohl die Altcoin als auch die PoW-Währung zu minen.

Nun das Angriffsszenario .

Wir machen eine Transaktion mit einem höheren Wert als der Abbau von N-Blöcken. Wir warten, bis N Blöcke unsere Transaktion bestätigen, sodass die Transaktion durch Annahme 1 akzeptiert wird . Dann bestechen wir die Mehrheit der Miner, um einen Fork zu erstellen, um unsere Transaktion rückgängig zu machen. Die Bestechung muss nur ein bisschen mehr sein als die Mining-Vorteile auf der „echten“ Kette, weil sie egoistisch sind und nicht daran interessiert sind, die Währung durch Annahme 2 am Leben zu erhalten . Allein durch die Zahlung des Bestechungsgeldes sind die Kosten des Angriffs im Verhältnis zum versprochenen Gewinn sehr gering! Die Miner und wir profitieren von dem Angriff, bevor die Währung nach Annahme 3 fällt. Dann sinkt vielleicht die PoW-Währung, aber die bestochenen Miner können den Altcoin ohne Verlust schürfen, was nach Annahme möglich ist 4 .

Wo liegt der Fehler, im Angriffsszenario oder in den Annahmen?

Ich denke, das Angriffsszenario ist richtig und die vorgeschlagenen Fehler in den Annahmen aus der gestrigen Diskussion können mich nicht überzeugen.

Die wichtigsten Kritiker, die ich bereits kenne:

Annahme 1 : Wir sollten nur Transaktionen mit Werten vertrauen, die mit Mining-Kosten vergleichbar sind, aber das macht die Währung ineffizient, was hier gezeigt wurde .

Annahme 3 : Wenn Sie dieser Annahme nicht vertrauen, leugnen Sie das übliche Angriffsszenario der PoW-Währung. Wenn Sie dies tun, warum sollten wir PoW dann nicht mit einem sehr niedrigen Schwierigkeitsgrad und einer sehr kleinen Mining-Power machen?

BEARBEITEN : Ich denke, wir können Annahme 3 überspringen, indem wir den Angriff mit einer Short-Position durchführen, was bedeutet, dass wir die Transaktion mit hohem Wert am Anfang mit von uns geliehenen Kryptos durchführen. Mir scheint klar zu sein, dass die Währung nach einem so großen Angriff fällt und wir sogar von dem Short profitieren.

Ich würde 10 generisch machen und durch N ersetzen. Und die dritte Annahme aus der Liste entfernen.
Hallo nochmal, schön dich zu sehen. Ja, du hast Recht, 10 ist keine besondere Zahl und deshalb wurde sie jetzt allgemein gehalten. Ich habe die dritte Annahme gemacht, weil dies das Hauptargument in der gestrigen Diskussion von @Briguy37 war.
Was meinst du mit "Transaktionen werden akzeptiert, wenn N Blöcke sie bestätigen"? Jeder Knoten im Netzwerk akzeptiert Transaktionen, validiert sie anhand einer Reihe von Regeln, und dann gehen sie in einen Mempool und werden dann von einem Miner in einen Block aufgenommen. Wenn Sie also "N Blöcke" warten, haben andere es bereits verarbeitet ... Unabhängig davon gibt es Bewertungen der Schürfleistung (der 51% -Angriff). Wahrscheinlich auch mit 40%. Wie "bestechen" Sie die Miner? Die ausgeführte Software folgt den Bitcoin-Regeln. Wenn sie einen abweichenden Block erstellen, verlieren sie den "beabsichtigten" Nutzen (auch bekannt als Coinbase-Werte können nicht ausgegeben werden).
ahh, ich verstehe: Sie wollen N Blöcke warten und dann Ihre "hochwertigen TX" an das Netz senden und die Mehrheit der Miner davon überzeugen, einen Fork zu machen. Nichts einfacher als das! Wenn Sie das Netz so fehlerhaft gemacht haben, würden alle von der Währung weggehen, und Sie haben einen einmaligen Gewinn erzielt?
Ich habe zuerst die Transaktion mit hohem Wert gesendet, dann gewartet, bis ich sicher sein kann, dass ich das bekomme, wofür ich bezahlt habe, und dann habe ich Miner bestochen, damit sie das Geld aus der Transaktion doppelt ausgeben, also mache ich den üblichen Mehrheitsangriff. Anders ist, dass die Kosten meiner Meinung nach bei PoW nur ​​die Kosten für die Bestechung der Miner sind und nicht die Kosten für das Halten der Mining-Macht. Der Angriff ist also viel billiger als angenommen.
Für Kosten und Risiken im Best- und Worst-Case-Szenario meines Angriffs siehe meine Antwort in bitcoin.stackexchange.com/questions/1093/…

Antworten (1)

Wo liegt der Fehler, im Angriffsszenario oder in den Annahmen?

Der Fehler liegt darin, dass Sie die Opportunitätskosten abgezinst haben, die ein Gegner oder ein Konglomerat von Bergleuten benötigt, um die Kette zu untergraben, indem Sie von einem früheren Block abzweigen. Der Schlüssel hier ist, dass das Verzweigen der Blockchain in einer beliebigen Höhe und das erneute Erstellen der Blöcke mit inhärenten Kosten verbunden sind. Die Kosten können in Form block subsidy + total transaction feesder Anzahl von Blöcken ausgedrückt werden, die ein Gegner reproduzieren möchte.

Erstens werden ehrliche Miner daran nicht beteiligt sein, da sie auf ihre vorherigen Einnahmen verzichten und die doppelte Arbeit leisten müssten, um die Differenz zu Ihren versprochenen Bestechungstransaktionsgebühren wieder zu verdienen, also die Konflikttransaktion, mit der Sie den Miner bestechen möchten muss so groß sein, dass es (mindestens) das Doppelte * N sein muss. block subsidy + total transaction feesWobei N die Gesamtzahl der Blöcke ist, die Sie neu organisieren möchten. Noch wichtiger, was will der Angreifer erreichen, indem er eine so große Summe an Bestechungsgeldern verschenkt (ist dies tatsächlich anreizkompatibel)?

Zweitens macht Annahme 3. einfach nicht viel Sinn, da es ihr an Anreizkompatibilität mangelt. Wie Sie gezeigt haben, ist es sicher, dass ein Miner einen nackten Short an einer Börse ausführen kann, bevor er sich zu Ihrem beschriebenen Angriff verschwört, es besteht ein Risiko, einen solchen Handel zu tätigen, da eine Börse aus allgemeinem Interesse Zahlungen an einen konspirierenden Miner, der sich verpflichtet, ablehnen oder zurückhalten kann eine solche Transaktion. Einfach ausgedrückt ist es für Bergleute anreizkompatibler, Transaktionen auf ehrliche Weise abzubauen.

@sigmabe, ich habe erklärt, dass der Leerverkauf ein Kurs- und Marktrisiko für einen Gegner hat.
Ja, das ist klar, wir müssen eine Gebühr zahlen, um die Coins kurzzeitig zu verleihen. Vielleicht ist die Gebühr sehr hoch und für das Ausleihen von Münzen im Wert von 10 Millionen $ müssen wir 1 Million $ Gebühren zahlen. Alles in allem haben wir jetzt das 10 Millionen $ Flugzeug, das wir mit unserer Transaktion gekauft haben. Und die einzigen Kosten sind 1 Million $ Gebühren für den Short und 1 Million $ um die Miner zu bestechen.
Vielleicht gibt es ein Missverständnis: Wir halten eine Short-Position, nicht die Miner. Unser Short wird realisiert, indem wir Münzen für 10 Millionen $ für den Angriff ausleihen.
Ein theoretisches Low-Cost-Angriffsszenario in PoW-Währungen
AntwortenHierDatenschutz-Bestimmungen1y, 0v