比特币安全与出块补贴奖励关系模型（Part 3）

这是一篇很长的硬核长文，我将分几次分享。之前分享了Part 1、Part 2。

原文地址：

https://uncommoncore.co/research-paper-a-model-for-bitcoins-security-and-the-declining-block-subsidy/

比特币安全与出块补贴奖励关系模型（Part 3）

@Hasu James & Prestwich & Brandon Curtis

2.4 终止中本聪共识

我们已经证明，比特币网络目前可以容忍大量的MEV，为攻击盈利创造了很高的门槛。然而，为了完善我们的比特币安全模型，我们需要更新最后的假设：比特币用户从不质疑中本聪共识。

用户在市场上寻求信任最小化的信号，允许他们在单一链上进行协调。他们在这些信号上花费了大量的钱，因为这样做比其他任何方式进行协调要更便宜——例如，通过直接相互交谈，直到出现类似的共识。

然而，即使大多数用户对此不满意，也并不意味着用户一定会遵循矿工发出的信号。比特币的历史上有很多用户忽视中本聪共识的先例，因为由此产生的链不再代表他们的签名具有社会契约价值。

2010年，区块74,638中的溢出漏洞导致高达1,840亿个BTC被创建，比应该仅存在2,100万大得多。在三个小时内，中本聪发布了一个新的没有超发漏洞的比特币客户端。第二个例子是2013年的0.7/0.8共识漏洞，它将区块链一分为二，持续了几个小时。Bitcoind是当时最受欢迎的比特币版本，最近发布了0.8版本更新。在开发人员不知道的情况下，新软件还对协商一致规则进行了微小的、不易察觉的更改，导致区块225,430与较旧的客户端不兼容。当比特币开发者和矿池决定暂停分叉选择规则时，分叉问题得到了解决。他们手动支持0.7版本共识，放弃了0.8共识链，这要求矿工放弃0.8链的任何区块奖励，以最大限度地提高网络的整体效用。

最后，最广为人知的例子可能是2017年的UASF运动。代码发布整整一年后，大多数矿工仍拒绝采用隔离的Witness更新——可能是因为它破坏了ASICBoost，这是一项提高特定挖矿硬件效率的专利技术。不管怎样，为了推动这一变化，一些比特币用户安装了一个客户端，威胁要再次终止中本聪共识，因为它忽略了在某个日期之后抵制SegWit的矿工的封锁命令。如果矿工们放任自流，那主网络的将产生有争议的分叉。比特币的效用和价值受到严重的威胁，矿工最终放弃了对SegWit更新的抵制。

这些示例表明，最终，用户将领导矿工。当用户认为某种治理决策不能最大程度地利用整个网络效用时，他们可以运行自定义代码（例如invalidateblock参数）来暂时中止Nakamoto共识，从而“剥夺”矿工的权力。

攻击者必须考虑用户拒绝他们的链的风险，即使它满足协议规则。我们定义p(FollowNc)为用户离链协调商终止Nakamoto共识的概率。从攻击者的角度来看，这进一步减少了潜在的回报，而他的成本保持不变。

等式8： EV（恶意挖矿值）= p（followNC）* p（postAttackPrice）*（MEV + MR）-MC - [1-p（postAttackPrice）] *承诺

由于在攻击期间只影响Mr和MEV，而不影响对矿工的约束，因此暂停中本聪共识所造成的对市场治理的影响会大于对安全的影响。然而，理论上，用户不仅可以更改交易历史，还可以更改核心协议规则。如果达成共识，将挖矿算法从SHA256改为其他算法，用户可能会立即使所有矿工约束无效，哪怕比特币价格没有暴跌至零。这使得社交干预成为抵御试图降低比特币价格或破坏网络的攻击者的非常有用的防御手段。

2.5 小结

通过构建模型并用实数填充它，我们可以获得一些关键的见解。

1)为了高度安全，在用户定义的最终时限前，诚实挖矿值必须比恶意挖矿更有利可图。

2)如果用户希望能够进行大额交易，则必须允许MEV值提高。

3)系统容忍高MEV的能力取决于矿工因恶意行为而受到的惩罚力度大小。用户可以通过两种主要方式惩罚矿工：
a)首先，他们可以出售部分或全部比特币。当BTC/美元价格下跌10%，矿工就失去了10%的攻击前价格约束值；
b)第二，用户可以进行链下协调，暂时中止中本聪共识。

4)要想潜在的惩罚尽可能大，矿工的约束必须很大，用户卖出比特币的意愿也必须很高。

5)矿工约束值的大小是矿工收入（MR）的函数，即总成本约束及其挖矿硬件的折旧程度。

6)如果我们保持约束成本、折旧时间表和售币意愿不变，则MR是MEV容忍度的决定因素，从而决定网络可以支持多少用户活动。

我们欢迎任何人根据自己的条件下载并试用我们的模型：

3

挖矿攻击

接下来，我们想知道根据我们的模型，针对比特币系统的最突出的攻击会如何进行。

比特币网络可能遭受哪些攻击，很大程度上取决于攻击者拥有多高的哈希算力。理论上，拥有30%哈希算力以上的矿工可以采用单独挖矿或顽固挖矿等做法，这些做法依赖于战略性地扣留区块来赚取高于矿工公平出块矿工所能获得的收入。据我们所知，到目前为止，比特币中还没有发现这些策略。我们的模型表明，矿工采取可能降低公众对比特币信任的策略确实是不理性的，因为即使是小幅降价也会损坏对他们来说起约束作用的比特币价值，并且损失会多过他们希望在MEV中获得的好处。

至少有一个数据点支持这一理论。 2014年，GHash.io矿池反复拥有着超过50％的算力（通过采用手续零费用政策吸引矿工），甚至涉嫌以成倍的价格收购热门博彩网站BetCoin Dice。随着矿池中心化的消息通过比特币社区进行传播，人们对该系统的信任开始动摇。几个重要人物公开出售了部分比特币。

之后，个体矿工大量逃离矿池，以保护他们的投资。在那之后，没有任何一个矿池敢于再次达到接近这种水平的哈希算力临界线。矿工似乎已经意识到，任何形式的市场恐慌都会对其底线产生极大的不利影响。

在这里我们可以看到拜占庭模型和理性模型之间的分歧：在拜占庭模型下，一旦矿工拥有超过50%的哈希算力，比特币就是不安全的。然而，比特币在复杂世界中的稳定状态很可能是一种哈希算力垄断。无法反驳，目前可能是存在垄断。观察所有对参与者的激励可以发现，在有很多矿工存在的情况下，比特币不会失败。用户仍然可以通过对矿工的激励来构建自己想要的区块。

当一名矿工拥有超过50％的算力时，他就可以确定，他提出的任何链最终都将成为中本聪共识中的典型链。这种确定性是对比特币用户进行更严重攻击的前提。这些攻击可分为两类：双花攻击和破坏攻击。

3.1 双花攻击

在双花攻击中，攻击者重组了一条链，在被重组前的链中他进行了大量的BTC购买，然后用他未付款的但显示他拥有商品的那条重组后的链进行替换。

我们的模型表明，BTC价格的小幅下降也可能使大规模的双花攻击变得不可行，因为MEV的收益必须高于对矿工约束的损害。此外，该矿工还需要担心用户可能会中止中本聪的共识，从而完全否定他的收益。

于是，双花攻击的攻击者想要将网络中能感知到的和实际的混乱降到最低，以便不会触发上述任何惩罚。他可以通过让重组保持少于100个区块来开始，在这样的情况下，Coinbase的原始链奖励成为可花费的。如此深入的重组将不再仅仅影响单个用户，实际上是摧毁了该代币及其后续交易，可能会使更多的交易无效。精准的攻击者甚至会重新放出每一笔交易，包括Coinbase的转出交易，以重新创建完全相同的历史，仅仅只更改了双花支出的交易。

考虑到所有这些限制，单独的双花攻击在短期内不太可能成为理性矿工的选择。

（未完待续。。。）

（本文为翻译转载，仅代表原作者个人观点。原文地址：https://uncommoncore.co/research-paper-a-model-for-bitcoins-security-and-the-declining-block-subsidy/）

EOS Cannon往期好文精选

1、绿币（Vertcoin）遭受51％攻击——区块链安全案例研究

2、一些有关以太坊的数字-2019年

3、从来就没有真正的郁金香狂热

4、北美的比特币挖矿现状：新世界中的新淘金热（下）

5、莱特币的 EB MimbleWimble 提议可以使比特币的隐私受益吗？

6、DAPP安全性的新词：可审计保险

7、交易回滚还是报销：分析

EOS Cannon

社群官网：https://eoscannon.io

官方twitter：https://twitter.com/cannon_eos

—-

编译者/作者：等风的小胖

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。