比特币安全与出块补贴奖励关系模型(Part 1)

  • A+
所属分类:行情
摘要

这是一篇很长的硬核长文,我将分几次分享。 原文地址: https://uncommoncore.co/research-paper-a-model-for-bitcoins-security-and-the-declining-block-subsidy/ 比特币安全 与出块补贴奖励关系模型(Part 1)

这是一篇很长的硬核长文,我将分几次分享。

原文地址:

https://uncommoncore.co/research-paper-a-model-for-bitcoins-security-and-the-declining-block-subsidy/

比特币安全与出块补贴奖励关系模型(Part 1)

@Hasu James & Prestwich & Brandon Curtis

如果应用程序或协议能在理念对立的环境中实现其目标,那么该应用程序或协议是安全的。就比特币而言,目标是建立一种支付系统,任何人都可以参与,只有合法的所有者才能消费比特币,所有有效的交易最终都会进入账本。

在它存在的头十年中,比特币成功拥有了这些安全属性。同时,总的说来学术界未能在其模型中复制比特币的可靠经验,由此产生了这样一个模因:“比特币在实践中是安全的,但在理论上不是安全的。”在本文中,我们希望通过介绍我们的比特币安全模型来弥合理论和实践之间的鸿沟。

我们认为,比特币网络目前可以容忍非常高的攻击诱因,将刺激矿工诚实工作与系统安全长期保持一致。关键的问题是,挖矿需要大量的前期投资(通常是一整年的挖矿奖励才能回本),而这些投资的价值与网络的健康状况息息相关。在这些奖励金交付之前,任何损害比特币网络价值的行为都是极具破坏性的,这就是为什么说学者们担心的许多攻击其实在实践中是不现实的。

在文章下半部分,我们将证明,对比特币安全性的最大威胁相对于其他外部攻击来说,更多地体现在协议本身中。作为比特币固定增发计划的一部分,出块补贴奖励正在逐步下降,这将导致矿工忠诚降低。如果一个强劲的区块链市场不能发展起来,就需要解释为什么出块奖励下降会给未来带来巨大的风险。与普遍的看法相反,不能只简单地通过让用户等待更多区块确认来弥补这一点。最后,我们提出了思考问题的一般方法,包括几个可能的改善建议,供社区讨论。

1

为什么比特币需要挖掘

在过去的支付系统中,需要可信的中央服务器或服务器组来完成交易。事实证明,这是一个关键的失败点,因为中央验证器经常出错,或是被迫排除某些人群或某些类型的交易。因此,旨在提供无需许可访问的系统不能引入中心方的使用。中本聪发现了解决方案,用对等的点对点模式取代了流行的客户端-服务器模式,这种模式在BitTorrent等极具弹性的分布式网络中证明了自己的价值。

借助公共密钥加密技术,可以证明和验证消息所有权。在比特币中,比特币的所有者可以用他的私钥签名信息。然后,网络中的其他节点可以使用发件人的哈希公钥来进行验证,以证明该信息确实有效。这满足了比特币系统中的“安全性”要求。但是,当节点收到两条分别有效但彼此不能同时有效的冲突消息时(例如,某人尝试花费相同的比特币两次,即双花攻击),公钥加密技术几乎没有帮助。

比特币巧妙地解决了这个问题,它将可信服务器的签名替换为具有计算能力的群签名,节点可以遵循这些签名在单个链上进行协调。节点可以高度信任该签名,因为它的制作成本很高,并且该成本很容易验证。当节点从矿工处接收到两个相互冲突的签名时,它们会通过成本更高(注:算力更高,即更长的那一条链)的签名来区分它们。这一“分叉选择规则”现在被称为中本聪共识(Nakamoto Consensus)。

将比特币挖掘视为动态多方成员签名(DMM)的想法最先是由Back、Corallo等人提出的。DMM是由一组可变的匿名签名者进行签名,这些签名者可以随时加入或者离开。他们他们对签名的贡献会对在比特币网络中所占的计算能力份额进行加权。这些签名是累积的,因为每个区块都引用前一个区块,从而创建区块链。

计算签名的创建过程如下:首先,矿工通过生成随机输出来执行自加权计算。当这些输出值落入特定范围时,其他节点可以以此为依据,证明虚拟骰子平均必须滚动一定次数(类似于平均必须让1000面骰子滚动100次直到一个数字介于1到10之间。)接下来,一个矿工将他的区块(包括工作量证明)发布到网络的其余部分。如果满足共识规则,则其他节点会将其添加到区块链中,并以区块奖励和该区块中的所有交易费用来补偿获胜的矿工。

1.1 密码学的限制

虽然矿工在出块时有一定的自由,但他们不能给自己更多的比特币,不能在同一条链上偷别人的比特币,甚至不能改变区块的收益。矿工必须像任何其他节点一样遵守比特币协议,节点会自动拒绝任何破坏协议的尝试。

但是,协议在一些重要方面无法通过密码学强制执行。一个节点不知道两个冲突的交易中哪个是有效的,或者竞争链中哪个是首选的,因此用户依赖于分叉选择(fork-choice)规则在单条链上进行协调。虽然分叉选择规则是比特币保持共识所必需的,但它也赋予矿工相当大的权力,而该权力不受协议本身的约束(且不可调控)。

最著名的“激励失败”是双花攻击,多数矿工首先在原始链上使用BTC购买非BTC产品或服务。一旦他确定接收了产品或服务,他就会产生一条更长的链,而该交易从未发生过,这最终导致金钱和货物的丢失。勤奋地遵循最昂贵签名选择机制的节点会自动切换到新链,即使其中包含脱链盗窃或其他恶意行为。

由此可见,诸如加密签名之类的“硬”协议规则不能完全确保交易顺序的安全——它也依赖于矿工所发布的服务于比特币用户的更新这样的“软”经济动机。

2

对比特币的安全性进行建模

如果用户不能信任该协议来记录“正确的”交易历史,他们怎么知道交易是否是最终确认的,或者该交易在未来能否被矿工逆转呢?在传统的金融体系中,交易是最终确认的,因为法律禁止逆转交易。在比特币中,法律无法触及矿工,他们可以匿名,在世界任何地方操作,随时加入和离开这个网络。如果这对矿工来说是有利可图的,我们预计他们会一直取消并逆转交易,包括那些付钱给他们让他们取消或逆转的交易。因此,用户不应将支付视为最终支付,除非逆转交易无利可图。民间说法把这个问题表述为“要等多少个区块确认才能付清货款”。我们展示了为什么除了中本聪共识之外的额外确认不会真正增加比特币的安全性。相反,安全主要是两个简单因素的结果。

2.1 安全性假设

我们首先建立一个基本的支付系统,一次性补贴(即单个区块奖励)12.5BTC,不收取任何手续费用。挖矿所需的所有硬件和算力(Hash power)都可以按需租用,因此不需要矿工对比特币网络保持长期忠诚的承诺。他们的行为并不影响BTC的交易价格,也没有任何用户会忽视中本聪共识选择的算力最集中的那条链。所有系统下都使用比特币作为基础货币。

我们将遵循中本聪共识协议的BTC值定义为EV (诚实挖掘,挖矿)。

在十个区块的示范时间内,矿工收入(MR:Miner Revenue)为125 BTC。假设挖矿过程对所有矿工开放并实现矿工之间的公平竞争,我们可以预计他们所有人将花费125 BTC的采矿成本(MC:Miner Cost)来获得此项奖励。

比特币安全与出块补贴奖励关系模型(Part 1)

(等式1:挖矿收入(MR)-挖矿成本(MC)= 0)

比特币安全与出块补贴奖励关系模型(Part 1)

(等式2: EV(诚实挖矿值:Honest Mining)= MR-MC)

因此,EV(诚实挖矿值)基线被设立为0 BTC。

矿工可提取价值(MEV:Miner-extractable value)描述了矿工希望从自己的工作中赢得多少BTC。这个概念是由戴安、戈德费德等人提出的。MEV原本描述矿工可以从智能合约中提取的价值,但我们将其扩展到涵盖矿工可以从操纵共识或交易顺序中提取的所有价值。

值得注意的是,MEV既包括以比特币计价的链上资产产生的价值,也包括可能以其他货币计价的链下资产产生的价值,甚至包括攻击者的无形利益。

比特币安全与出块补贴奖励关系模型(Part 1)

(等式3:MEV = MEV(链上)+ MEV(链下))

从比特币用户的角度来看,MEV没有描述一个人可以在一个区块中安全地转账多少钱,因为攻击者可能会同时对多个不同各方展开双花攻击。它甚至没有描述所有用户在一个区块中可以安全地转账多少钱,因为攻击者可能会在几个连续的区块上进行双花攻击。MEV描述了攻击者的可提取的全部价值。因此,仅根据自己的个人交易来计算MEV的用户将低估矿工的实际激励幅度。因此,最终可以将EV恶意挖矿值(Attack Mining),例如双花攻击建模为:

比特币安全与出块补贴奖励关系模型(Part 1)

(等式4 : EV(恶意挖矿值: Attack Mining)= MEV + MR-MC)

只要EV(诚实挖矿值) >EV(恶意挖矿值),理性的矿工就会遵循中本聪共识,而不是攻击它。

由此可见,EV(诚实挖矿值) >EV(恶意挖矿值)是必要的。是比特币不受理性攻击者攻击的条件。

于是,EV(诚实挖矿值) 与EV(恶意挖矿值)之间的区别描述了比特币对非理性(“拜占庭”)攻击者的容忍度,后者并不关心利润,会以任意的理由攻击比特币。值得注意的是,这种容忍不必包括攻击者直接从攻击中获得的价值,例如通过对比特币价格进行大笔做空而获得的价值。MEV已捕获所有此类值。

在这个简单的模型中,我们甚至不需要谈论拜占庭式攻击者。该系统已经无法针对合理的系统进行攻击,因为任何MEV> 0足以使攻击比诚实挖矿更具吸引力。假设一名矿工可以从持续10个区块的攻击中提取100 MEV值,我们可以发现:

比特币安全与出块补贴奖励关系模型(Part 1)

(示例1:EV(诚实挖矿值) = MEV + MR – MC = 100 + 10 – 10 = 100; 100 > 0, 因此比特币是不安全的)

这一发现与直觉是一致的,因为攻击链对攻击者来说没有实际成本;它只需要10BTC的预算。他花在攻击上的任何资源都会在攻击成功后复原。有三个值得注意的警告:

1、如果攻击者必须使他自己的一些区块无效,则攻击开始有实际的代价,因为他的有效MR(攻击者的收益)下降,而MC(攻击者的成本)保持不变

2、如果一个少数矿工群体(“防御者”,即忠诚的矿工)继续挖掘原来的链,攻击者可以增加攻击的持续时间。但只要攻击者最终赶上,这不会降低他的EV(恶意挖矿值),它只会提高预算要求。少数矿工群体(“防御者”,即忠诚的矿工)的资源将会被浪费。

3、在此模型中,我们假设攻击者具有多数算力,或者几个较小的攻击者之间的协调是没有成本的。在现实世界中,如果矿工对MEV(攻击者可提取的价值)值或必要的攻击持续时间存在分歧,则协调的成本可能会增加。

(未完待续。。。)

(本文为翻译转载,仅代表原作者个人观点。原文地址:https://uncommoncore.co/research-paper-a-model-for-bitcoins-security-and-the-declining-block-subsidy/)

EOS Cannon往期好文精选

1、绿币(Vertcoin)遭受51%攻击——区块链安全案例研究

2、一些有关以太坊的数字-2019年

3、从来就没有真正的郁金香狂热

4、北美的比特币挖矿现状:新世界中的新淘金热(下)

5、莱特币的 EB MimbleWimble 提议可以使比特币的隐私受益吗?

6、DAPP安全性的新词:可审计保险

7、交易回滚还是报销:分析

EOS Cannon

社群官网:https://eoscannon.io

官方twitter:https://twitter.com/cannon_eos

比特币安全与出块补贴奖励关系模型(Part 1)

—-

编译者/作者:等风的小胖

玩币族申明:我们将尊重作者/译者/网站的版权,促进行业健康发展,如有错误或不完整之处请与我们联系。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: