編集者注:最近ETCで51%攻撃が発生し、PoWの安全性が盛んに議論されていますが、イーサリアム創設者のVゴッド氏も「これはPoWからPoSへの切り替えが正しい選択であることを証明した」と述べています。オデイリー氏は、上海交通大学准教授の范磊氏を招待し、PoS が私たちにとってより良い選択である可能性があると考える理由を分析してもらいました。
この記事は Odaily に初めて掲載されたもので、著者は上海交通大学サイバースペース セキュリティ学部准教授兼ディレクターの Fan Lei 氏です。Fractal Platform CTO、原題は「ブロックチェーンコンセンサスプロトコルのセキュリティと開発の方向性」。
副題
1. 51% コンピューティング能力攻撃とは何ですか
現在、ビットコイン(Bitcoin)に代表される暗号化デジタル通貨の多くは、Proof of Work(PoW)に基づくコンセンサスプロトコルを採用しており、Proof of Workに参加するマイナーが計算によって新たなブロックを生成し、ブロックチェーンを成長させ続けています。ブロックチェーンは分散システムであるため、誰でもどこからでも新しいブロックの生成を試みることができます。攻撃者のコンピューティング リソースが比較的少ない場合、攻撃者が生成する新しいフォークの成長率はパブリック ブロックチェーンの成長率よりも遅く、誠実なユーザーに受け入れられる長いフォークは形成されません。しかし、攻撃者が誠実なユーザーよりも多くのコンピューティング リソースを持っている場合、攻撃者が生成する新しいフォークの成長率はパブリック ブロックチェーンの成長率よりも速くなり、公開されている最長のブロック チェーン ブランチに取って代わる新しいより長いブロック チェーン ブランチを簡単に形成することができます。利用可能なブロックチェーン。具体的なプロセスについては、図 1 と図 2 を参照してください。
画像の説明
図 2. 攻撃者は計算能力において優位にある
攻撃者のコンピューティング リソースが優勢であるため、簡単に数学的に説明すると、攻撃者はコンピューティング パワーの 51% 以上を習得しており、これが 51% コンピューティング パワー攻撃の名前の由来でもあります。攻撃者がコンピューティング リソースの 51% 以上を習得した場合、攻撃は成功するはずです。実際、攻撃者が 40% などの十分な割合のコンピューティング リソースを持っている場合、確認長として 6 ブロックを取ると、比較的高い確率でフォーク攻撃を成功させることができます。
副題
2. なぜこの攻撃が成功したのか
51% 計算能力攻撃は一般的なネットワーク セキュリティ攻撃とは異なり、よく知られた攻撃手法であり、今回の攻撃者の全体的な攻撃動作とプロセスは新しいものではありません。
一般に、PoW ベースの暗号通貨システムの全体的なコンピューティング能力が強化されると、コンピューティング能力の 51% を制御するコストも高くなります。ほとんどの PoW アルゴリズムは同様のコア コンピューティング構造を備えているため、異なる暗号通貨間でコンピューティング能力を簡単に直接切り替えることができ、時間に応じて便利にレンタルできるコンピューティング能力リソースさえあります。ウェブサイト Crypto51 (https://www.crypto51.app/) さまざまなデジタル通貨に対する 1 時間の 51% 攻撃のコスト (ブロック報酬を除く) と、NiceHash から借用できるコンピューティング能力の割合を計算しました。その中で、ETC に対する 1 時間の 51% 攻撃のコストはわずか 5116 ドルで、コンピューティング能力の 80% は NiceHash から借りることができます (このデータは常に変化しており、リアルタイム データを表示するにはこの Web サイトにアクセスできます)。この攻撃は不可能です。無視されます。
無視できないもう 1 つの要因は、PoW アルゴリズムがマイニング操作を推進するために大量のエネルギーに依存する必要があることです。仮想通貨の市場価値がマイニング収入よりも低い場合、利息の影響でマイニングマシンが停止し、マイニングが停止します。このとき、ネットワーク全体の計算能力が大幅に低下するため、51%攻撃が実行されやすくなります。今回のETCに対する51%攻撃はこの隙を突いたものでした。新興の PoW ベースの暗号通貨の場合、ネットワーク全体のコンピューティング能力が低いため、攻撃コストは低くなります。
副題
3. PoWベースのブロックチェーンはまだ安全ですか?
過去 10 年間、ビットコインに代表される暗号化デジタル通貨が大きな成功を収めたことは間違いありませんが、その安全性は実際のネットワーク運用によっても試されてきました。それだけでなく、暗号学者はPoWベースのブロックチェーンの安全性を理論的に証明しました。数学はブロックチェーン セキュリティの基礎であると考えられており、In Math We Trust とも呼ばれます。しかし、近年の技術開発と研究により、PoW ベースのブロックチェーンにもセキュリティリスクがあることが示されています。
1) 計算能力の集中
実際、ビットコインなどの暗号化デジタル通貨システムでは、スーパーマイニングプールの存在により、計算能力の集中が長年懸念されてきました。大規模なマイニング プールや利害関係者によって形成されたマイニング プール アライアンスは、コンピューティング パワーの 51% 近くまたはそれを超える制御を行う場合があります。これらの大規模なコンピューティング能力グループがシステムに対して 51% のコンピューティング能力攻撃を開始するとは言えませんが、少なくともそのような攻撃を開始する能力はあります。
2) コンピューティングパワーの隠れた危険性 ブラックスワン
現在の技術条件では、暗号化されたデジタル通貨の計算能力は、ハードウェア コンピューティングの速度とエネルギー供給に依存します。常に存在する隠れた危険は、コンピューティング能力が飛躍的に進歩すると、システムのセキュリティが大きな脅威に直面する可能性があることです。たとえば、高速アルゴリズムの発明やチップ技術の置き換えにより、新しい計算リソースが元のリソースを圧倒的に上回る可能性があり、この場合、システムのセキュリティは完全に破壊されます。
上記の分析は、PoW ブロックチェーンのセキュリティは数学に基づいておらず、数学は物理リソースとブロックチェーンの間の接着剤にすぎないことを示しています。物理リソースのセキュリティの前提が確立されなくなると、ブロックチェーン システムのセキュリティが脅かされます。
システムの観点から見ると、PoW ベースのブロックチェーンは、ブロックのプロデューサー、つまりブックキーパーを選択するためのコンピューティング能力の競争に依存しています。コンピューティングパワーは、ブロックチェーンエコシステム自体の外部リソースです. ユーザーがレンタルできるコンピューティングパワーの量は、そのユーザーが保有するチェーン上の資産/利益とは必ずしも関係しません. さらに、コンピューティングパワーをリースするウェブサイトの出現により、利用可能なコンピューティング能力を使用する権利、迅速な転送。たとえば、コンピューティング パワーを所有する鉱山所有者またはマイニング マシン メーカーの利益は、メイン チェーンのセキュリティと強く結びついていますが、コンピューティング パワーの賃貸人はそうではありません。攻撃を開始するための唯一の要素は計算能力の量だけであり、利己的なマイニングなどの戦略が採用された場合、計算能力の 51% に達しなくても現在のパブリック チェーンが攻撃される可能性があり、結果として二重支出が発生します。
副題
4. もっと良い選択肢はありますか
近年、ますます多くのブロックチェーンシステムと分散型コンセンサスプロトコルが提案されています。重要な方向性の 1 つは、株式ベースのコンセンサス (プルーフ オブ ステーク、PoS) です。
PoS は元々、主に PoW のエネルギー消費問題を解決するために提案されました。 PoS と PoW の本質的な目的は同じで、どちらもブロックチェーン ネットワークの参加ノードの中からランダムにノードを選択してアカウントを保持することです。 「ランダム」という用語は、公平で、予測不可能で、悪意のあるノードによって制御されないことを意味する単純なように思えますが、サイコロを振る神がいないため、分散型ネットワークでこれを達成するのは実際には困難です。 PoW のランダム原則は、より多くの計算能力を持っているほど、簿記係になれる可能性が高いというものであり、PoS のランダム原則は、より多くのステークを持っているほど、簿記係になれる可能性が高いというものです。 「資格情報」は異なりますが、この 2 つの設計と直面する攻撃は大きく異なります。
PoS はステークに基づいて簿記係を選択します。選挙に参加する人が所有するステークはブロックチェーンに記録され、ステーク比率、つまりブロックチェーン上のステークの総数に対するユーザーが所有するステークの割合が記録されます。 PoS が 51% 攻撃を実行するには、チェーン上のステークの 51% を保持する必要があり、ステークの取得は既存のユーザーからのみ購入でき、システム外部の運用に投資することはできません。したがって、PoS システムに対して 51% 攻撃を開始するコストは、市場から株式を購入するコストと等しくなります。
ETC を例にとると、現在の ETC の総発行量は 107,514,088 ETC であり、コンセンサス アルゴリズムが PoS の場合、51% の攻撃には 53,747,044 ETC を保持する必要があり、これは市場価値約 229,542,578 米ドルに相当します。 PoW の場合、コンピューティング パワーのレンタルによる場合、わずか 5,000 ドル程度です。他のデジタル通貨によるPoSに対する51%攻撃とPoWに対する1時間51%攻撃に必要な資金の比較は以下の表の通りです(データはCrypto51より)https://www.crypto51.app/、データはリアルタイムで変化します。以下のデータは著者が原稿を書いているときに取得したものです)。そして、法的チェーンでより多くのステークを保有する人が増えるほど、チェーンを維持する傾向が強くなります。ステークが攻撃者に譲渡されてリースされた場合、直面するリスクはレンタルされたコンピューティング能力よりもはるかに大きくなります。攻撃者がレンタルで十分なステークを取得するのは困難です。したがって、51% 攻撃という点では、PoS は PoW よりも多くの利点があります。これは、ETH が PoS コンセンサスに進化する重要な理由でもあります。
副題
5. PoSコンセンサスプロトコルの懸念点と対策
多くのブロックチェーンプロジェクトで成功的に適用されているPoWと比較して、PoSコンセンサスプロトコルはまだ広く使用されていないため、多くの人がPoSコンセンサスプロトコルに対してさまざまな懸念を抱いています。ここでは、PoS の考えられる攻撃と弱点を 1 つずつ分析します。
1) PoS は集中型システムです
PoS アルゴリズムの研究が始まった当初、多くの研究者は当然ながら分散コンピューティング理論と暗号研究からインスピレーションを受けました。 Byzantine Fault Tolerant Protocol (BFT) は、分散環境でコンセンサスに達するために使用される古典的なアルゴリズムであるため、提案されている PoS コンセンサス アルゴリズムのほとんどは、BFT の変形とみなすことができます。 BFT アルゴリズムの利点は、理想的なネットワーク環境では確認遅延が短いことですが、通信の複雑さが高いため、コンセンサスに参加するノードの数が制限されるため、世界中のパブリック チェーンで直接使用することはできません。 。 EOS (DPoS) や Algorand などのシステムでは、ビザンチンのような合意を達成するために何人かの代表者を選択することによって合意が得られるため、PoS が集中型プロトコルであるという主観的な印象を人々に与えます。実際、現在の研究では、PoW と同様の競争力のある PoS プロトコルも提案されているため、PoS が集中型システムであることを心配する必要はありません。
2) 新しい PoS チェーンのコールド スタートは安全ではありません
1 つの観点は、PoS システムのコンセンサス ノードはトークンによって決定され、システムはコールドスタートする前に事前にトークンを配布する必要があるため、PoS システムの制御は少数の初期のノードに属しているということです。過剰な利益を得るために悪事を働き、二重支出やその他の攻撃を達成するためにシステム全体を破壊することさえあります。実際には、次の理由により、このような懸念は存在しません。
a) 現在、ブロックチェーンの生態学的発展は比較的成熟しており、新しいブロックチェーンのメインチェーンがオンラインになる前に、複数回の資金調達活動を経ることが多いため、創設チームですらあまりにも多くのトークンシェアを制御することはできません。そして、合理的なチームは株式の管理を過度に追求することはなく、Token が十分に分散化されている場合にのみ、システムの安全性を確保できます。
b) PoS システムでは、トークン所有者の権利と利益がトークンの価値に完全に反映されます。システムのセキュリティを維持する動機が大きくなり、悪意のある行為が行われる可能性が低くなります。 PoW システムでは、攻撃者は短期的な利益を得るために攻撃を実行した後、コンピューティング能力などのハードウェア投資を他のブロックチェーン システムに移すことができるため、悪意のある動作が行われる可能性が高くなります。
c) 新しいブロックチェーンの起動段階で、PoW プロトコルが採用されている場合、外部のコンピューティング リソースが制御不能にシステムに流入する可能性があります。現時点では、システム全体の総計算能力が高くないため、攻撃者はより少ないリソースで攻撃を完了できるため、PoW ブロックチェーンのコールド スタート段階はさらに安全ではありません。実際、ビットコイン、イーサリアム、および大量のコンピューティング能力を蓄積した他の PoW ブロックチェーンを除いて、新しく生成されたすべてのブロックチェーンがこの問題に直面しています。前段階のBCHフォークによってもたらされる計算能力競争は、新たなチェーンを開始する危険性を反映しており、攻撃を避けるために、初期のセキュリティを維持するために集中化されたマイニングプールであることが多いため、集中化の度合いはBCHよりも高くなります。 PoSのこと。
3) PoS の富の集中化は深刻
前回の議論では、PoS ブロックチェーンはスタートアップ段階でトークンの初期配布を実現していることが多いと分析しました。確かに、最初に取得したトークンは、その後のブロックチェーンの成長においてさらなる投資収入をもたらすため、富裕層がさらに富み、富の集中が起こるのではないかと懸念する人もいます。この問題については、次のように分析します。
a) 富の集中はどの経済システムでも起こりますが、PoS システムではそれほど深刻ではありません。既存の経済研究は、最も公平な経済システムであっても富の集中が起こることを示しています。私たちがよく言う28次富の分配は、形式的な富の集中現象の具体化です。 PoS システムの初期トークン配布は、初期段階で巨大企業になったほとんどの上場企業の株式配布よりも分散化され、透明性が高くなります。
b) 公正かつ透明な取引環境が提供される限り、富の集中現象が際限なく拡大することはなく、心配する必要はありません。トークンが流通市場で自由に流通できれば、当然トークンは市場で適正な価格で評価されることになります。十分な関心が集められれば、当初の投資家も利益を得るために売却するでしょうし、システムの見通しについて楽観的であれば、後の投資家も合理的に購入するでしょう。したがって、後発者が買えなくなったり、富が完全に集中してしまう心配はありません。
実際、PoW システムマイニングへの参加には多額のハードウェア投資と電力投入が必要となるため、分散した参加者はコストの点で大規模マイニングプールに比べてはるかに劣り、通貨価格市場が変動する場合、多くの場合小規模マイナーが参加します。最初に終了するため、PoW システムでは富とコンピューティング能力の集中化がより明白になります。
4) PoS は Nothing-at-Stake によって攻撃される
Nothing-at-Stake とは、PoS システムでは、ブロックの生成に多くのハードウェア リソースが消費されないため、攻撃者はプロトコルに従わずに、別のブロックの後で新しいブロックの生成を試みることができることを意味します。これにより、PoS システムはフォークが発生しやすいという明確な直感が得られます。しかし、適切に設計された PoS システムは、Nothing at Stake 攻撃に対して完全に耐性があります。
私たちが書いた記事論文[1]新しい PoS プロトコル iChing は、PoW に似た競合コンセンサス プロトコルです。この論文は、Greedy Attack (Nothing-at-Stake に基づく攻撃戦略) の理論的分析を行っており、その結果は、攻撃者がチェーン内のどこにでも拡張しようとする貪欲な試みは確かに攻撃者に利益をもたらすが、その利益は無限大ではないことを示しています。これは、攻撃者が正直なノードと同じ割合のステークを保持している場合、攻撃者によって生成されるチェーンの成長率は、正直なチェーンの成長率の最大でも e 倍であることが明らかです (e は数学的定数、約 2.71828)。 、したがって、PoS は許容できます。 ステークに占める悪意のあるステークの割合は 30% を超えません (計算プロセスについては論文を参照してください)。この状況に対して論文では、正直なノードが適度に貪欲になるように促す戦略の下では、許容できる悪意のあるステークの割合は 43% 以上に達する可能性があるとの対策を示しています。したがって、Nothing at Stake は克服できない攻撃ではありません。
5) PoS は長距離攻撃を受ける
長距離攻撃とは、長期的な蓄積を通じて攻撃者が PoS システムを攻撃するために使用する方法を指し、その具体的な症状はさまざまです。最も直接的な長距離攻撃は、攻撃者が、より早い時点からフォークを開始するために、過去のある時点で有効なステーク アカウントを大量に収集または購入するものです。論文 [2] では、Stake-Bleeding 攻撃と呼ばれる、長距離に属する攻撃戦略が提案されています。この攻撃では、攻撃者は長期にわたる秘密のフォーク マイニングを通じて十分な報酬トークンを蓄積した後、フォーク攻撃を開始します。
副題
6. 次世代ブロックチェーンが満たすべき特性
より実用的なアプリケーションをサポートするには、ブロックチェーンはセキュリティと分散化の基本要件を満たすだけでなく、低いスループット レートや確認時間の延長などの問題も解決する必要があります。
スループット率の低下は、主にブロックチェーンの従来のシングルチェーン構造とネットワーク伝送遅延に起因するため、最近提案されているDAG構造、トランザクションパッケージング方式、トランザクションフラグメンテーション処理方式はすべて、ブロックチェーンのスループット率を向上させるために行われた研究です。 。
確認時間の延長は、競合するすべてのブロックチェーンコンセンサスアルゴリズムが抱えている問題ですが、高速な確認プロトコルを上位層に重ねることで改善できます。
私たちは、安全、効率的、柔軟なアプリケーションのランディングを真にサポートするには、次世代ブロックチェーンが次の特性を満たしている必要があると考えています。
1) PoS ベースのコンセンサス アルゴリズムにより、外部リソースへのセキュリティ依存が回避され、システム外部からの攻撃の脅威が排除されます。
2) 分散設計を遵守し、少数のノードにシステムのコンセンサス権を委ねることは避けます。そうしないと、既存の集中システムに戻ってしまいます。
3) 洗練されたデータ分散ストレージ設計により、ネットワーク全体でのトランザクション データのブロードキャストとストレージが回避され、高スループットのアプリケーションがサポートされます。
参考文献:
参考文献:
[1] Fan L, Zhou H S. iChing: A Scalable Proof-of-Stake Blockchain in the Open Setting. https://eprint.iacr.org/2017/656.pdf
[2] Gaži P, Kiayias A, Russell A. Stake-bleeding attacks on proof-of-stake blockchains. 2018 Crypto Valley Conference on Blockchain Technology (CVCBT). IEEE, 2018: 85-92
