サービス拒否 (DoS) 攻撃: マイナーがゲームの成否を左右する

概要: ビットコインのようなブロックチェーンに対するサービス拒否攻撃を発見しました。これは、以前の攻撃よりもはるかに安価です (ネットワークの計算能力の 20% のみを必要とします)。ブロックチェーンは、システムのセキュリティを確保するためにインセンティブメカニズムに依存しています。攻撃者がこれらのインセンティブを妨害し、合理的なマイナーがマイニングを停止するようにする方法を示します。

フラッディング攻撃としても知られるサービス拒否 (DoS) 攻撃の問題は、インターネットの誕生以来ずっと悩まされてきました。 DoS 攻撃者は、楽しみと利益のためにさまざまなサービスを標的にします。最も一般的なケースでは、サーバーに大量のリクエストが送信され、サーバーがビジー状態になり、正当なユーザーにサービスを提供できなくなります。対応策としては、通常、洪水の発生源を特定して、このような攻撃を防ぐことが挙げられます。

したがって、いわゆる分散型サービス拒否 (DDoS) 攻撃では、攻撃者は複数のコンピューターからのフラッド攻撃を調整する必要があります。

ファーストクラスの注意: DDoS 帯域幅消費攻撃は 2 つの異なるレベルに分けられます。フラッディング攻撃または増幅攻撃。フラッディング攻撃は、ボットを使用して侵害された被害者のシステムに大量のトラフィックを送信し、その帯域幅を詰まらせることが特徴です。増幅攻撃は、悪意を持ってトラフィックを増幅することで被害者のシステムの帯域幅を制限するという点で、この攻撃に似ています。この攻撃の特徴は、ゾンビ プログラムを使用して、偽造された送信元 IP (つまり、攻撃のターゲット IP) を介して特定の脆弱なサーバーにリクエストを送信することです。リクエストを処理した後、サーバーは偽造された送信元 IP に応答を送信します。これらのサービスの特殊性により、応答パケットは要求パケットよりも長くなります。したがって、少量の帯域幅を使用すると、サーバーはターゲット ホストに大量の応答を送信できるようになります。

興味深い事実: 分散ソースは通常、ロボット ネットワークまたはボットネットを形成するユーザーの被害者マシンです。

ビットコインのような暗号通貨は、DoS 攻撃にとって特に有利なターゲットです。理論上、先物市場と証拠金取引により、攻撃者は暗号通貨を空売りし、その通貨の価格を下落させて利益を得ることができます。競合する暗号通貨や、それが金融主権に与える影響を懸念する政府も、潜在的な攻撃者です。私たちの知る限り、実際に主要な暗号通貨に対する DoS 攻撃が成功した例はありません。

その理由は、ブロックチェーン プロトコルの分散化の性質にあります。ブロックチェーンの世界には、攻撃される可能性のある中央サーバーは存在しません。ブロックチェーンを実行するマシンはマイナーと呼ばれ、ブロックチェーン データの完全なコピーを作成します。個々のマシンへの攻撃は発生していますが、数台のマシンが完全にシャットダウン（または破壊）されても、システム全体の可用性にはほとんど影響がありません。

さらに興味深い事実: ビットコインの P2P ネットワークは、ボットネット (マルウェア対策企業による攻撃に耐えられるように構築された) の教訓を生かして、攻撃に耐えられるように構築されました。

実際には、ビットコインのようなブロックチェーンに対する DoS 攻撃は非常にコストがかかります。サトシ・ナカモトが提案したビットコイン プロトコルは、システムのセキュリティを確保するためにプルーフ・オブ・ワーク (PoW) メカニズムに依存しています。マイナーは、ブロックを作成するためにシステム外部のリソース（つまり、計算能力）を費やしたことしか証明できません。ブロックチェーンのセキュリティは、システム内の計算能力の大部分が適切に機能している場合にのみ維持できます。したがって、DoS 攻撃を開始するには、攻撃者は他のすべての参加者の合計よりも高い計算能力を持っている必要があり、これは 51% 攻撃に相当します。主要な暗号通貨の場合、51% 攻撃のコストはほとんどの組織にとって法外な額になります。

この種の攻撃は、2018 年後半に Bitcoin ABC と Bitcoin SV の間で行われた「ハッシュ戦争」で試みられましたが、失敗しました。

BDoSの提案

ブロックチェーン プロトコルがセキュリティ インセンティブに依存しているという事実を悪用して、Nakamoto プロトコルの固有の特性により、大幅に安価な DoS 攻撃に対して脆弱になることを示します。ブロックチェーンでは、参加者（マイナー）は暗号通貨のマイニングへの参加に対して報酬を受け取ります。これらのインセンティブがもはや良い行動を促進しなくなると、システムは危険にさらされます。この攻撃はブロックチェーン DoS (BDoS) と呼ばれ、マイナーの理性を奪い、ルールに従うよりもルールを破った方が利益が大きくなる攻撃です。

攻撃者が十分に効果を発揮するには、マイナーが攻撃に気づき、攻撃によって利益を増やすことができるという事実に気づく必要があります。どうやら、この戦略的な動作はマイニング ソフトウェアに事前にプログラムされていないようです。したがって、攻撃に直面したマイナーは利益を最大化するためにマイニング機器を再プログラムする必要があるため、この攻撃は差し迫ったリスクをもたらすものではないと考えています。

この攻撃の存在はおそらく驚くべきことではなく、実際、ブライアン・フォードとライナー・ベーメが提唱した理論の現れです。彼らは、外的インセンティブはビザンチン行動と区別がつかないため、合理的なエージェントの観点からシステムを分析することの有用性は限られていると主張しています。

以下では、この BDoS 攻撃の仕組みについて概説します。まず、サトシ・ナカモトの経歴から始めましょう。

背景

暗号通貨の大部分は、ビットコイン向けにサトシ・ナカモトが提案したブロックチェーン プロトコルを使用しています。ナカモトブロックチェーンでは、システム内のすべてのトランザクションがブロックに配置され、成長し続けるチェーンを形成します。マイナーは、新しいトランザクションで構成される新しいブロックでこのチェーンを拡張し、他のすべてのシステム参加者に公開します。ブロックが生成される速度は、マイナーにブロック内の作業証明（暗号パズルの解答）を提供することを要求することによって規制されます。 (定義上、PoW のないブロックは無効です) マイナーの作業意欲を高めるために、ブロックを生成すると一定の報酬が得られます (たとえば、ビットコインの現在の固定ブロック報酬は 12.5 BTC です)。マイナーの数がそれほど多くない場合、マイナーはブロックチェーンを拡張し、それに応じた報酬を受け取るインセンティブを得られます。

マイナーは世界中に散らばっているため、2 人以上のマイナーが同時にブロックを生成する場合があり、これらのブロックは同じ親ブロックを持ちます。その結果、フォークが発生し、チェーンに複数のブランチが表示されます。どのチェーンがメインチェーンであるかを決定するために、サトシ・ナカモトが提案したルールは、最長のチェーンがメインチェーンであり、すべてのマイナーはこの最長のチェーンを拡張する必要があり、メインチェーンから分離されたブロックとその報酬は無視されるというものです。

報酬を失わないようにするために、マイナーは最新のブロックを受け取って検証する前にマイニングを開始します。最新のブロックのヘッダーでメタデータを受け取ると、マイナーはマイニングを開始します。これにより、古いブロックでのマイニング リソースの無駄が回避され、次のブロックをマイニングする可能性が高まります。これは一般的に良い習慣ではなく、多くのセキュリティ研究者の間で懸念を引き起こしています。このヘッダーベースのマイニング方法は、軽量クライアントが Simplified Payment Verification (SPV) プロトコルを使用して部分的なブロックチェーン検証を実行した後に適用され、SPV マイニングと呼ばれます。

攻撃

私たちが提案する攻撃者は、合理的なマイナーにとって最善の行動はマイニングを停止することであるような状態にシステムを置きます。

この状態と対応する証明を誘発するために、攻撃者はブロックを生成し、そのヘッダーのみを公開します。ブロックヘッダーが与えられた場合、合理的なマイナーには3つのアクションが考えられます。(1) メインチ​​ェーンを拡張し、ブロックヘッダーを無視する。 （２）ブロックヘッダーを拡張することができる（SPVマイニング）

（３）マイニングを停止することができ、計算能力を消費したり報酬を獲得したりすることはありません。

合理的なマイナーがオプション 1 に従ってメイン チェーンを拡張し、新しいブロックを見つけてブロードキャストすると、攻撃者のマイナーは比較的高い接続性 (利己的なマイニングなど) を使用して、ブロック ヘッダー BA に対応する完全なブロックをブロードキャストします。これにより、2 つのマイナー グループ間で競争が発生し、一方のグループは攻撃者のブロック データを最初に受信し、もう一方のグループは合理的なマイナーのブロックを最初に受信します。

合理的なマイナーがゲームに負け、ブロック Bi がメインチェーンに組み込まれない可能性が高くなります。これにより、「攻撃なし」の場合と比較して、最後の完全なブロックでのマイニングの予想報酬が減少します。

合理的なマイナーがオプション 2 に従い、攻撃者のブロック ヘッダー BA を正常に拡張した場合、攻撃者は完全なブロック BA を公開しません。その結果、合理的なマイナーのブロックはメインチェーンに含まれず、ブロックの期待報酬はゼロになります。

したがって、どちらの場合も、「攻撃なし」設定での純粋な収益性がそれほど高くない場合、攻撃者は正直なマイナーが最終的に損失を被ることを保証できます。したがって、BDoS 攻撃者の脅威は、正直なマイナーがマイニングを行うよりも諦める、つまり 3 番目のオプションを選択する方がよいことを意味します。映画「ウォー・ゲーム」にもあるように、「勝つ唯一の方法は参加しないことだ」

BDoS攻撃が成功するための条件

ここで、BDoS 攻撃者が成功するための条件について説明します。具体的には、特定の合理的なマイナー i について、他の参加者の行動に関係なく、どのような条件下では i にとってマイニングを継続するよりもマイニングを停止する方が利益が大きいかを検討します。答えは 3 つの要素によって決まります。まず、攻撃者が十分な計算能力を持っている場合、攻撃は成功します。第二に、マイナー i が十分な計算能力を持っている場合、彼は成功するでしょう。最後に、鉱夫 i が最初はあまり利益を上げていなくても、その後は成功するでしょう。

マイナー i の収益性要因は、攻撃が発生しない場合、マイニングに投資された 1 ドルごとに報酬が得られることです。次のグラフは、さまざまな攻撃者の規模 (X 軸) とマイナーの規模 (さまざまな曲線) に対して、成功した攻撃の最大リターンを示しています。

私たちの分析では、投資したドルあたりの収益を表す「リターン係数」と呼ばれる特性を使用しました。これは、マイニング機器と電気代、および関連する暗号通貨の価格によって異なります。

具体的な例を挙げると、最大のマイナーがネットワーク全体の計算能力の 20% を所有している場合、ネットワーク全体の計算能力の 20% を所有する攻撃者は、利益係数が 1.37 を下回ったときにすべてのマイナーにマイニングを停止するようにインセンティブを与えることができます。

現在、ビットコインの場合、電気料金が 0.05 ドル/kWh の場合、Bitmain S17 Pro マイニング マシンの利益率は 2 に近く、S9 の利益率は 1 に近くなります。コインの価格が大幅に下落し、難易度が上昇すると、攻撃者は既存のマイナーにマイニングをやめるよう促すことができ、ビットコイン ネットワークの機能が完全に停止します。さらに、ビットコインのブロック報酬は2020年に半減すると予想されており、それに応じてマイナーの収益性も低下するでしょう。

2つのコインモデル

私たちのモデルは、攻撃者の可能性を過小評価するという意味で保守的であることに注意してください。これまで、マイナーは利益が 0 に達した場合にマイニングを継続するか、マイニングを停止することができると想定してきました。ただし、暗号通貨のマイナーは、一時的にでも、マイニングの取り組みを 2 番目の暗号通貨に移行することがよくあります。両方のコインの初期の収益性（攻撃前）が同程度であれば、攻撃が発生したときに他のコインに切り替えると、ほぼ確実に利益が得られます。つまり、この場合の攻撃の脅威（2 コイン モデルと呼ぶ）は、上記の分析で示唆されているよりもさらに高いことを意味します。実際、2 枚のコインのモデルの方が現実のシナリオに近いです。たとえば、マイナーは収益性に応じて BTC と BCH を切り替えることが多いという証拠があります。

緩和措置と開示義務

攻撃を実行するためにマイニング機器をレンタルしたり、ビットコインを空売りして逃げ回ったりするのではなく、私たちはセキュリティ研究のベストプラクティスに従い、責任ある情報開示の期間を経ました。私たちは、攻撃の影響を受ける主要な暗号通貨の開発者に警告し、緩和策について話し合いました。

我々は、コンセンサス ルールに小さな変更を加え、マイナーがブロック ヘッダーが過去の一定のしきい値時間 (例: 1 分) より古いブロックに低い優先順位を付けられるようにすることを提案します。これにより、攻撃者がブロック伝播競争に負ける可能性が高まり、BDoS 攻撃の効果が低下します。残念ながら、この対策は根本的なものではありません。私たちの論文で説明しているように、攻撃者はスマート コントラクトまたはゼロ知識証明を使用して、ブロック ヘッダーを公開する代わりに、ブロックを見つけたことを証明できます。これらの技術を使用すると、ブロック伝播競争において攻撃者のブロックと合理的なマイナーのブロックを区別できなくなり、緩和技術が無効になります。

BDoS 攻撃に対するもう 1 つの解決策は、Ethereum で使用されているアンクル ブロック報酬メカニズムを使用することです。アンクルブロック報酬メカニズムは、メインチェーン上にない（ただし、メインチェーンに直接接続されている）ブロックをマイニングしたマイナーに報酬を与えます。アンクルブロック報酬メカニズムを使用すると、たとえゲームに負けても報酬（イーサリアムのフルブロック報酬の 7/8 に相当）を受け取ることができるため、BDoS 攻撃中に合理的なマイナーがマイニングを停止する可能性は大幅に低くなります。ただし、アンクル ブロックによって利己的なマイニング攻撃に対するセキュリティが低下するため、これはトレードオフとなります。さらに、別の BDoS のような攻撃がヘッダー チェーンよりも長く存続し、再び深刻な競争上の損失を引き起こす可能性があります。

結論は

BDoS は、攻撃者が従来の攻撃よりもはるかに少ない計算能力でサービス拒否攻撃を実行できるため、Nakamoto コンセンサス ブロックチェーンにとって脅威となります。攻撃者がどのようにインセンティブを歪めて、利益を追求するマイナーにマイニング活動をやめさせるかを示しました。私たちが提案する緩和策は実装が簡単（ネットワークフォークを必要としない）ですが、特定の種類の BDoS 攻撃にのみ影響します。より強力な緩和策がなければ、ナカモト・コンセンサス・ブロックチェーンの存続は、収益の損失に直面してもマイナーがプロトコルに従う意欲、つまり利他的であるかどうかにかかっています。