Satoxi ウィークリーレビュー |利己的な採掘戦略が主要な半減期コインに及ぼす影響

前面に書かれている内容:

暗号通貨の新しいサイクルの到来とともに、マイナーたちには春が訪れ、彼らの前に立ちはだかるのは、どのコインを採掘するか、そしてより多くの利益を得るためにどのように採掘するかという問題だけです。
はい、今週の学術コンテンツは鉱業に関連しています。
私たちが共有したいのは、米国国立標準技術研究所 (NIST) の論文で、ビットコイン、ライトコイン、ビットコインキャッシュ (BCH)、ダッシュ、モネロ、Zcash に対する利己的なマイニング戦略の影響について議論しています。
ハードコア技術記事の選択されたセクションでは、検証可能ランダム関数 (VRF)、Optimistic Rollup、および Ethereum 2.0 バリデータランサムウェア攻撃に基づく PoW スキームの設計についても説明します。
さらに、ビットコインとイーサリアムも過去1週間で多くの技術的進歩を遂げました。

(画像出典: tuchong.com)

1. 利己的な採掘戦略が主要な半減期コインに与える影響

理論上、利己的なマイニング攻撃により、マイナーはブロック報酬の過剰なシェアを獲得できる一方で、支払いの全体的なセキュリティが低下する可能性があります。ビットコインに適用されたこの悪意のある戦略については多くの研究が行われてきましたが、この戦略が他の暗号通貨にどのような影響を与えるかについてはほとんど注目されていません。

これは、セルフィッシュマイニングが暗号通貨の難易度調整アルゴリズム (DAA) に対する攻撃であるため、異なる DAA を使用する暗号通貨をターゲットにした場合、影響が大きく異なる可能性があるためです。

アメリカ国立標準技術研究所（NIST）が発表した新しい論文「複数の難易度調整アルゴリズムに基づく利己的マイニングの収益性に関する研究」の中で、研究者のマイケル・デイビッドソン氏とタイラー・ダイアモンド氏は、ビットコイン、ライトコイン、ビットコインキャッシュ（BCH）、ダッシュ、モネロ、Zcashなど、複数のPoW暗号通貨の利己的マイニングの要件と収益を評価した。

原著論文リンク: https://eprint.iacr.org/2020/094.pdf

調査では、検討中の他の暗号通貨は BTC よりも利己的なマイニングの影響を受けやすいことが判明しました。さらに、この研究では、ブロックのタイムスタンプを不正に報告することで、一部の難易度調整アルゴリズム (DAA) では、利己的なマイニング戦略によって不正なマイナーが不釣り合いな収入を得る可能性があり、これは正直なマイニングで得られる収入の 2.5 倍にもなることも示されました。

1.1 利己的採掘の概念

通常、マイナーが新しいブロックをマイニングすると、そのブロックをピアノードにブロードキャストします。この目的は、ブロックをネットワークの残りの部分にできるだけ早く伝播させることです。マイナーは、自分のブロックが承認された後にのみブロック報酬を受け取ることができます。したがって、通常の状況では、新しいブロックを競合他社に迅速に送信することがマイナーにとって最善の利益となります。

ただし、場合によっては、ポリシーからの逸脱により、ネットワークのハッシュレートの x% を持つマイナーがブロック報酬の x% 以上を受け取ることができるようになります。

この戦略は、利己的なマイナーが保留しているブロックをブロードキャストし、正直なマイナーにそれらのブロックでマイニングを強制することによって機能します。

次の図は、利己的なマイナーがブロックを公開するかどうかを決定するために使用するアルゴリズムを示しています。

（図：元々の利己的な採掘戦略）

しかし、利己的なマイナーが利益を上げるには、これだけでは不十分です。マイニングの難易度が変わらない限り、利己的なマイニング戦略を使用するマイナーは損失を被ることになります。もちろん、正直な鉱夫の損失はさらに大きくなるでしょう。したがって、この場合、合理的な参加者は利己的なマイニング戦略を使用しません。

利己的なマイニング戦略は、ネットワークの難易度が下方に調整された場合にのみ利益を生む可能性があります。

次の式は、利己的なマイナーが相対的なマイニング収入を増やすために必要な計算能力の割合を示します。

γ = 1/2 の場合、α ≥ 1/4 のときに利己的マイニングが収益性を発揮しますが、γ = 0 の場合、α ≥ 1/3 のときに利己的マイニングが収益性を発揮します。 (ここで、α は利己的なマイナーによって制御される総計算能力の割合であり、γ は利己的なマイナーによって公開されたブロックをマイニングすることを選択する正直なマイナーの割合です)。

1.2 難易度調整アルゴリズム (DAA)

プルーフ・オブ・ワーク (PoW) 暗号通貨には、誰がどの程度の速度でマイニングできるかを決定する中央機関が存在しないため、ネットワークの計算能力の合計量は時間の経過とともに変化する可能性があります。

ただし、計画された金融政策とより優れたユーザーエクスペリエンスを維持するために、ハッシュレートに関係なく、予測可能な時間内に新しいブロックが見つかる必要があります (たとえば、ビットコインは 10 分のブロック間隔を目標としています)。難易度調整アルゴリズム (DAA) がなければ、ハッシュレートが増加するとブロックがますます頻繁に発見され、通貨インフレが高まり、支払いの予測可能性と安全性が低下します。難易度調整アルゴリズム (DAA) の役割は、計算能力の変化に適応するためにマイニング問題の難易度を変更し、比較的一定の速度でブロックを生成することです。

難易度調整アルゴリズム (DAA) の主な目的は、暗号通貨の金融政策を実施するためにハッシュレートの変動にもかかわらずブロック時間の一貫性を長期にわたって維持することですが、その設計では他のさまざまな要素が考慮されることがあります。

たとえば、ハッシュレートが一定である場合、難易度調整アルゴリズム (DAA) は、突然の難易度の変化を回避し、ハッシュレートと難易度間のフィードバックの激しい変動を防ぎ、新しいブロック間の異常に長い間隔を回避する必要があります。

1.3 時間とタイムスタンプ

分散システムで正確なクロックを維持することは困難な問題であり、難易度調整アルゴリズムには比較的正確なタイミングが必要です。

暗号通貨によってはタイムスタンプのルールが異なりますが、ここで検討するルールはほぼ同じです。ノードが考慮する時間の概念は、システムクロック時間、ブロックタイムスタンプ、ネットワーク調整時間の 3 つです。ノードが接続すると、各ノードは相互にタイムスタンプを送信します。 Monero は、この調査に含まれる暗号通貨の中で、ネットワーク時間調整メカニズムを使用しない唯一の暗号通貨です。

ブロックのタイムスタンプはノードが客観的に合意できる唯一の時間であるため、難易度調整アルゴリズム (DAA) の計算に使用されるタイムスタンプです。ノードがタイムスタンプに基づいてブロックを有効と見なすかどうかを決定するルールは 2 つあります。

ブロックのタイムスタンプは、ネットワーク調整時刻（Monero の場合はシステムクロック時刻）より 2 時間以内である必要があります。
タイムスタンプは、前の 11 ブロックのタイムスタンプの中央値よりも大きくなければなりません。

これらのルールを組み合わせることで、ブロックのタイムスタンプが実際の時間から数時間以上ずれることを防ぎ、難易度調整を行うための合意された時間の概念をノードに提供できるようになります。

ただし、難易度調整アルゴリズム (DAA) の設計が不十分 (または実装が不十分) な場合、悪意のあるマイナーがブロックのタイムスタンプを戦略的に設定してアルゴリズムを「混乱」させ、難易度を急速に下げることで、より多くの報酬をより早く採掘することができます。

これはタイムワープと呼ばれるタイプの攻撃であり、攻撃者はいくつかの暗号通貨に対してこれを成功させ、当初の計画よりはるかに早くコインを鋳造させました。

タイムスタンプを使用した別の攻撃として、ネットワークを使用して時間を調整するタイムハイジャック攻撃が考えられます。ターゲットノードに複数回接続し、偽のタイムスタンプを報告することで、ターゲットの接続の半分以上を保持している攻撃者は、被害者のネットワーク調整時間を最大 70 分前後に移動することができ、これを利用してターゲットノードにブロックを一時的に有効または無効と見なさせることが可能です。

1.4 利己的採掘戦略の進化と変種

私たちが知っておくべきことは、難易度調整前は利己的なマイニング戦略は利益を生まないということです。これは、Cyril Grunspan 氏と Ricardo Pérez-Marco 氏によって実証されており、これが Bitcoin ネットワークで利己的なマイニング攻撃が観測されていない理由の 1 つです。

Nayak らによる研究さまざまな「頑固な採掘」戦略によって、採掘者の利益を増やすことができることを示しています。さらに、これらの戦略を日食攻撃と組み合わせると、利益が増加し、直感に反して日食攻撃の「被害者」に利益をもたらすことさえあります。 Sapirshtein らマルコフ決定過程を用いて利己的マイニングをさらに改良し、最適なマイニング戦略を獲得し、その戦略を使用することでマイナーが攻撃に必要な計算能力を 25% から 23.21% 削減できることを示しました。

他の人たちは、より詳細なモデルや現実世界の設定を使用して、利己的マイニングのパフォーマンスを研究しました。このような環境では、利己的なマイナーはより大きなブロックを作成し、より多くの手数料を徴収する傾向があります。 Gervais らブロック伝播時間、ブロックサイズ、予想ブロック時間、日食攻撃の可能性をモデルに組み込み、ブロックサイズが大きく、予想ブロック時間が短いと利己的なマイナーの相対的な収入が増加するが、高度なブロック伝播技術によってこの問題を最小限に抑えることができることを示しています。

上記の研究では、単一の利己的なマイナーを持つモデルのみを検討しましたが、他の研究では、複数の利己的なマイナーが同時に行動する状況にまで拡張しました。

たとえば、Francisco J Marmolejo-Cossío ら。利己的なマイナーが複数存在する場合、暗号通貨のセキュリティはさらに低下するだろうと提案した。たとえば、独立した 2 つのセルフィッシュマイナーがある場合、セルフィッシュマイニングの計算能力しきい値は 21.48% まで削減できます。

ビットコインとは異なり、イーサリアムの「アンクルブロック」も報酬を提供します。これらのブロックは依然として利己的なマイナーにいくらかの報酬を与え、戦略的リスクを軽減するため、理論的には利己的なマイニングの閾値が下がります。 Ritz と Zugenmaier の研究によると、利己的マイニングの収益性閾値は、Ethereum のアンクルブロックの観測比率に基づいて α = 0.185±0.012 です。 Niu 氏と Feng 氏のマルコフモデルによれば、α>0.163 の場合、Ethereum での利己的なマイニングは収益性が高く、この値を下回ると、利己的なマイナーの損失は Bitcoin での利己的なマイニング活動による損失よりも低くなります。さらに、アンクルブロック報酬により、利己的なマイナーと正直なマイナーの両方の収入がαとともに増加し、イーサリアム資産のインフレがさらに高まる可能性があります。

最近では、Cyril Grunspan 氏と Ricardo Pérez-Marco 氏が、利己的なマイニングに対する Ethereum の脆弱性をより正式に分析し、新しい変種戦略を提案しました。

セルフィッシュマイニングと関連しているものの、それとは異なる他の種類のマイニング攻撃も増加しています。

たとえば、Yujin Kwon らが提案した FAW (Fork After Withholding) 攻撃。攻撃者が所属するマイニングプールからプルーフオブワークソリューションを保留し、外部の誠実なマイナーがソリューションを公開した場合にのみソリューションを伝播することで、意図的なフォークを作成します。この戦略は常に利益を生み、実際、大規模なマイニングプールが小規模なマイニングプールを攻撃する方法でもあります。コインホッピングは別の種類の攻撃で、攻撃者がコインからコインへとジャンプして、正直なマイナーにより高い難易度のチェーンに直面させ、難易度が下がると元に戻り、攻撃者のマイナーが可能な限り低いコストでマイニングできるようにします。

1.5 対処戦略

利己的マイニング攻撃の最初の提案者である Eyal 氏と Sirer 氏は、競合する 2 つのチェーンが出現した場合、正直なマイナーは最初に見つけたチェーンを優先するのではなく、ランダムに選択すべきだと提案しました。これは γ を 0.5 に設定することと同じなので、α < 0.25 の場合、利己的なマイニングは不採算になります。

ハイルマン氏は「フレッシュネス・プリファード」と呼ばれる技術を提案した。これは、マイナーが最初に見たブロックではなく、信頼できるソースからの最新のタイムスタンプを持つブロックを受け入れることを可能にするものだ。彼はまた、「偽造不可能なタイムスタンプ」のためにNISTランダムビーコンを使用することを提案した。これにより、利己的マイニングの収益性閾値が0.32に上昇することになる。

ZeroBlock は、一定時間新しいブロックが見られない場合、マイナーにローカルチェーンの末尾に「偽の」ブロックを追加させることで、利己的なマイニングを防止しようとします。 Zhang 氏と Preneel 氏は、利己的なマイニングに対する下位互換性のある防御策を提案しましたが、このソリューションの主な欠点は、ネットワークがパーティションから回復するのに時間がかかることです。

1.6 シミュレータ

論文の研究者らは、さまざまな難易度調整アルゴリズム（DAA）に対する利己的マイニングの収益性を確立するために、モンテカルロ法を使用したシミュレーターを提案したと報告されている。

シミュレーターコードリポジトリリンク: https://github.com/usnistgov/SelfishMiningSim

この調査のために選択された難易度調整アルゴリズム (DAA) は現在、市場の主要な暗号通貨で使用されていますが、Ethereum で使用される PoW コンセンサスメカニズムはより複雑であるため、この調査の範囲を超えています。ここで考慮される通貨は、BTC、BCH、LTC、XMR、Dash、Zcash です。

このシミュレーターは、いくつかの単純化された仮定を行っていると報告されています。

継続的なブロック報酬。
ハッシュレートが一定（新しいマイナーがオンラインになったり消えたりしない）
ブロックの伝播遅延はありません。
攻撃後、暗号通貨の交換レートは変化しませんでした。
利己的なマイナー（またはマイニングプール）は 1 つだけです。

さらに、この研究では、正直なマイナーが利己的なマイニング攻撃を発見したときにどのように反応するかについては考慮されていませんでした。理論上は、正直なマイナーは利己的なマイナーの効率を低下させる行動を取る可能性があります。しかし、既存の研究によると、複数のマイナーが同時にこの戦略を適用すると、利己的なマイニングの収益性が高くなる傾向があることがわかっています。

1.7 シミュレーション結果

（ここでの結果は難易度調整アルゴリズム（DAA）自体に関するものであり、必ずしもそれを使用するコインに関するものではないことを強調しておくことが重要です。一部の暗号通貨（BCHやDashなど）には、利己的なマイニングをより困難にしたり、収益性を低下させたりする可能性のある他の緩和策が講じられているためです。）

研究結果によると、ビットコインマイナーが利己的なマイニングを達成するには、利益を上げるためにコンピューティングパワーの大部分を制御する必要があり、利益を上げるには他の通貨のアルゴリズムよりもTARG（時間調整相対収益）が低くなければならないことが示されています。

ハッシュレートが 40% でネットワークへの影響がない場合、利己的なマイナーは依然としてお金を失うことになります (10,000 ブロック以上)。一方、次点の競合相手である Monero の場合、同じ利己的なマイナーは時間調整後の収益を 19.15% 増加させます。しかし、利己的なマイナーのネットワークの影響力が高まるにつれて、このギャップは狭まる傾向があります。 Dash が使用する Dark Gravity Wave (DGW) アルゴリズムや zCash の Digishield も別の例です。 DGW アルゴリズムは特にタイムスタンプ操作の影響を受けやすいですが、BCH の D601 アルゴリズムはその 2 つの中間です。

デフォルトパラメータを使用した各コインのTARG結果

1.8 結論と今後の研究の方向性

この論文では、さまざまな難易度調整アルゴリズムに対する利己的マイニング攻撃の有効性を比較します。さらに、一部のアルゴリズムは他のアルゴリズムよりも利己的なマイニング攻撃の影響を受けやすく、利己的なマイナーはブロックのタイムスタンプ操作を戦略空間の新しい要素として検討する必要があることを示します。

マイナーが最適なタイムスタンプをどのように決定するか、マイナーのシステム時間からのオフセットにタイムスタンプを単純に設定するよりも高度な戦略があるかどうかなど、今後の作業で研究する必要がある問題が多数あります。

タイムジャッキングは、利己的マイニングの収益性にどのような影響を与えますか?複数の利己的なマイナーが同時に暗号通貨をマイニングし、タイムスタンプの操作によって収益性の障壁が大幅に下がった場合はどうなるでしょうか?

単純な組み合わせを含め、分析できる潜在的な難易度調整アルゴリズムは他にも多数あります。最後に、今後の研究では、BCH や Dash が現在採用しているような特定の緩和策の有効性も検証する必要があります。

Satoxi の短いコメント: 難易度調整アルゴリズムだけから判断すると、ビットコインは利己的なマイニング攻撃に対して最も耐性があるように思われ、収益性を達成するための要件 (40% の計算能力) により、このような攻撃の可能性は非常に低くなりますが、他の PoW 通貨での利己的なマイニングは比較的簡単に達成できます。もちろん、一部の通貨は緩和策を講じており、その有効性はまだ確認されていない。

2. 毎週厳選したハードコア技術記事

2.1 検証可能ランダム関数（VRF）を使用してマイニングプールを排除する

著者: Runchao Han ([email protected])、Haoyu Lin ([email protected])

研究者らは、検証可能なランダム関数 (VRF) に基づくマイニング構造を提案しました。この構造を通じて、マイナーがマイニングプールを開設したい場合、マイナーに自分の秘密鍵を通知する必要があります (秘密鍵は VRF_hash を計算するために必要です)。その結果、誰もパブリックマイニングプールを開くことを選択せず、1CPU1票の目標が達成されます。

他のマイニングスキーム設計と比較すると、この構造は理論的にはより分散化されています。

中国語版リンク: https://hackmd.io/rObi2JbHSUaFUumecjPAow?view

Satoxi の短いコメント: このような設計は Bitcoin や Ethereum のマイニングプールに受け入れられる可能性は低い (したがって採用できない) ですが、アイデアは非常に興味深いものです。完全な分散化は参加者に受け入れられるでしょうか?マイニングプールの存在は必要ですか?これらはまだ検証されていない質問です。

2.2 Optimistic Rollup は、持続可能な拡張を実現し、分散化を維持するためにどのように設計されていますか?

原作者：ジョン・アドラー翻訳者：ミン・ミン＆A・ジアン

現在、イーサリアムのレイヤー2ソリューションの中で、ロールアップソリューションが登場しており、その中でもオプティミスティックロールアップとzkロールアップが最も人気があります。

この投稿では、楽観的ロールアップが分散化を維持しながら安全かつ持続可能な方法でスケーラビリティを実現できる理由を説明し、このソリューションを構築しているチームのいくつかを紹介します。

記事リンク: https://www.8btc.com/media/554829

Satoxi の短いコメント: 不正防止に依存する楽観的ロールアップソリューションとゼロ知識証明に依存する zk ロールアップソリューションは、どちらも非常に有望なレイヤー 2 ソリューションです。どちらが優れているかは、具体的なアプリケーションによって異なります。現在そのような解決策を研究しているプロジェクトは注目に値します。

2.3 イーサリアム2.0のバリデータが直面する可能性のある恐喝のリスク

この投稿では、Ethereum 2.0 バリデーターに対する攻撃方法について説明します。バリデータの秘密鍵を使用して、攻撃者はスラッシュ可能な証明を生成し、対応する「内部告発者」報酬を受け取ることができます。

ハッカーはすぐに報酬を求める必要がないため、Ethereum 2.0 クライアントに対するゼロデイ攻撃を発見した場合、ネットワーク上で発見したすべてのバリデータをひそかに悪用することができます。

被害者として、ハッキングされていることに気付いた場合、最善の戦略は、できるだけ早く身柄を確保し、内部告発者に賠償を求めることです。いずれにせよ、賭けた資金は失われます。

ハッカーの内部告発報酬は限られているものの（約0.05 ETH）、数千のバリデータをハッキングできれば興味深いものとなるでしょう。

さらに、被害者が被る損失は高額になる可能性があるため（1〜32 ETH）、攻撃者は恐喝スマートコントラクトを使用して利益を増やす可能性があります。

オリジナルリンク: https://ethresear.ch/t/trustless-validator-blackmailing-with-the-blockchain/6922

Satuoxiの簡単なレビュー:
参加者が自分の秘密鍵を保護することに十分な自信を持っていない場合は、検証者にならない方がよいでしょう。彼らが自分自身に非常に自信があるなら、この研究は無視できます。

3. 主流のブロックチェーンプロジェクトの技術的進歩

3.1 ビットコイン開発アップデートの進捗

OP_CHECKTEMPLATEVERIFY (CTV) ワークショップ: この提案されたソフトフォークが採用された場合、ユーザーは新しい CTV オペコードを使用して契約を作成できるようになります。これには、金庫や圧縮された支払いバッチ処理など、いくつかの用途があります。
Eclair はバージョン 0.3.3 にアップグレードされ、マルチパス支払い、トランポリン支払いの実験的なサポート、その他の改善がサポートされました。
Taproot および tapscript の実験ツール: Karl Johan Alm は、Bitcoin Dev リストで btcdeb ツールの実験的なフォークを公開しました。

その他の技術アップデート: https://bitcoinops.org/en/newsletters/2020/02/12/