BTC を攻撃するには計算能力の 20% だけが必要ですか?利己的なマイニングの作者が新たなBDoSスキームを提案し、議論を巻き起こす

序文: コーネル大学と IC3 の研究者は、ナカモト合意プロトコル ブロックチェーンに対するサービス拒否攻撃 (BDoS と呼ぶ) を発見したと発表しました。この攻撃は、以前の DoS 攻撃よりもはるかに安価です (必要な計算能力は 20% のみ)。研究者らは、攻撃者が合理的なマイナーを騙してマイニングをやめさせる方法を実証し、その緩和策を提案した。

この研究は暗号通貨コミュニティの注目も集めています。イーサリアムの創設者ヴィタリック氏もこれを認め、独立系ブロックチェーンセキュリティ監査人のセルジオ・デミアン・ラーナー氏もこの研究は興味深いと述べた。彼は、RSK はマイナーの問題を軽減するための追加のインセンティブを提供できるため (RSK はアンクルブロック報酬を提供することと同等)、この攻撃の影響を受けないと述べました。

原著論文著者: Michael Mirkin、Yan Ji、Jonathan Pang、Ariah Klages-Mundt、Ittay Eyal (セルフィッシュマイニングの提案者)、Ari Juels (コーネル大学コンピューターサイエンス教授)

原著論文リンク: https://arxiv.org/pdf/1912.07497.pdf

以下はブログ投稿の簡略化された翻訳です。

サービス拒否 (DoS) 攻撃は、インターネットの誕生以来問題となってきました。 DoS 攻撃者は、楽しみと利益のためにさまざまなサービスを標的にします。最も一般的なケースは、サーバーに大量のリクエストが殺到し、サーバーがビジー状態になり、通常のユーザーにサービスを提供できなくなることです。

対応策としては、通常、洪水の発生源を特定して、このような攻撃を防ぐことが挙げられます。したがって、いわゆる分散型サービス拒否 (DDoS) 攻撃では、攻撃者は複数のコンピューターからのフラッド攻撃を調整する必要があります。

興味深い事実: 分散ソースは、ロボットやボットネットのネットワークを形成する一般ユーザーのマシンであることが多いです。

ビットコインなどの暗号通貨は、DoS 攻撃にとって特に魅力的な標的です。理論上、先物市場と証拠金取引により、攻撃者は暗号通貨を空売りし、その通貨の価格を下落させて利益を得ることができます。ライバルの暗号通貨や、それが金融主権に与える影響を懸念する政府も、潜在的な攻撃者となる可能性がある。

しかし、私たちの知る限り、実際に主要な暗号通貨に対してサービス拒否攻撃を成功させた人は誰もいません。

その理由は、ブロックチェーン プロトコルの分散化の性質にあります。ブロックチェーンには、攻撃される可能性のある中央サーバーは存在しません。ブロックチェーンを操作するマシンはマイナーと呼ばれ、ブロックチェーンデータの完全なコピーを作成します。個々のマシンへの攻撃が発生することは知られていますが、数台のマシンを完全にシャットダウン（または制御）しても、システム全体の可用性にはほとんど影響がありません。

さらに興味深い事実: ビットコインのピアツーピア ネットワークは、ボットネットの教訓を生かして、攻撃に耐えられるように構築されています。

実際、ビットコインのようなブロックチェーンに対する DoS 攻撃は非常にコストがかかることが知られています。サトシ・ナカモトが提案したビットコイン プロトコルは、セキュリティを確保するためにプルーフ・オブ・ワーク (PoW) メカニズムに依存しています。マイナーは、システム外でリソース（つまり、計算能力）を費やしたことを証明できる場合にのみ、ブロックを作成できます。ブロックチェーンのセキュリティは、システム内の計算能力の大部分が適切に動作する場合にのみ維持できます。したがって、DoS 攻撃を開始するには、攻撃者は他のすべての参加者の合計よりも高い計算能力を持っている必要があり、これは 51% 攻撃に相当します。主要な暗号通貨の場合、51% 攻撃はほとんどの組織にとって法外なコストがかかります。

このような攻撃は、2018 年後半の Bitcoin ABC と Bitcoin SV 間の「ハッシュ戦争」中に試みられましたが、成功は限られていました。

BDoSの提案

ナカモト プロトコルの固有の特性により、ブロックチェーン プロトコルがセキュリティ インセンティブに依存しているという事実を悪用して、大幅に安価な DoS 攻撃にさらされることがわかりました。ブロックチェーンでは、参加者（マイナー）は暗号通貨のマイニングへの参加に対して報酬を受け取ります。これらのインセンティブがもはや良い行動を促進しなくなると、システムは危険にさらされます。この攻撃はブロックチェーン DoS (BDoS) と呼ばれ、マイナーの合理性を悪用し、ルールに従うよりもルールを破る方がマイナーにとって利益になるようになっています。

攻撃者が十分に効果を発揮するには、攻撃者はマイナーに攻撃の存在を知らせ、攻撃によって利益が増加することを知らせる必要があります。この戦略的な動作は、明らかにマイニング ソフトウェアに事前にプログラムされていません。したがって、攻撃に直面した場合、マイナーは利益を最大化するためにマイニング機器を再計画する必要があるため、この攻撃は差し迫ったリスクをもたらすものではないと考えています。

この攻撃の存在はおそらく驚くべきことではなく、実際、ブライアン・フォードとライナー・ベーメが提唱した理論の現れです。彼らは、外的インセンティブはビザンチン行動と区別がつかないため、合理的なエージェントの観点からシステムを分析することの有用性は限られていると主張しています。

以下では、この BDoS 攻撃の仕組みについて概説します。しかし、まずは Satoshi Land についてよく知らない方のために、背景から説明しましょう。

背景

暗号通貨の大部分は、ビットコイン向けにサトシ・ナカモトが提案したブロックチェーン プロトコルを使用しています。ナカモトコンセンサスブロックチェーンでは、システム内のすべてのトランザクションがブロックに配置され、成長するデータチェーンを形成します。マイナーは、新しいトランザクションで構成される新しいブロックでこのチェーンを拡張し、他のすべてのシステム参加者に公開します。ブロックが生成される速度は、マイナーにブロック内に作業証明（暗号パズルの解答）を含めることを義務付けることによって規制されます。 (PoW のないブロックは定義上無効です) マイナーの努力に報いるために、ブロックの生成には一定の報酬が伴います (たとえば、ビットコインの現在の固定ブロック報酬は 12.5 BTC です)。マイナーが正直に採掘すれば、ブロックチェーンを拡張し、それに応じた報酬を受け取るインセンティブが与えられます。

マイナーは世界中に散らばっているため、時折 2 人以上のマイナーが同時にブロックを生成し、これらのブロックが同じ親ブロックを持つことになり、フォーク、つまりチェーンの複数のブランチが出現します。どのチェーンがメインチェーンであるかを決定するために、サトシ・ナカモトが提案したルールは、最長のチェーンがメインチェーンであり、すべてのマイナーはこの最長のチェーンを拡張する必要があり、メインチェーンから分離されたブロックとその報酬は無視されるというものです。

報酬を失わないようにするために、マイナーはヘッダー内のメタデータを受信するとすぐに最新のブロックのマイニングを開始します。これにより、古いブロックでのマイニング リソースの無駄が回避され、次のブロックをマイニングする可能性が高まります。これは一般的に良い習慣ではなく、セキュリティ研究者の間で大きな懸念を引き起こしています。このヘッダーベースのマイニング方法は、軽量クライアントが Simplified Payment Verification (SPV) プロトコルを使用して部分的なブロックチェーン検証を実行した後に適用され、SPV マイニングと呼ばれます。

攻撃

私たちが提案する BDoS 攻撃は、合理的なマイナーの報酬を操作することでブロックチェーンを停止させる可能性があります。

攻撃者は、合理的なマイナーにとって最善の行動がマイニングを停止することとなるような状態にシステムを設定できます。

この状態と対応する証明を誘発するために、攻撃者はブロックを生成し、そのヘッダーのみを公開します。ブロック ヘッダーが与えられた場合、合理的なマイナーには 3 つのアクションが考えられます。

1. メインチェーンを拡張し、ブロックヘッダーを無視することができます。

2. このブロック ヘッダーを拡張できます (SPV マイニング)。

3. 計算能力を消費せず、報酬も獲得せずにマイニングを停止できます。

合理的なマイナーがオプション 1 に従ってメイン チェーンを拡張し、新しいブロックを見つけてブロードキャストすると、攻撃者のマイナーは比較的高い接続性 (利己的なマイニングなど) を使用して、ブロック ヘッダー BA に対応する完全なブロックをブロードキャストします。これにより、2 つのマイナー グループ間で競争が発生し、一方のグループは攻撃者のブロック データを最初に受信し、もう一方のグループは合理的なマイナーのブロックを最初に受信します。

一定の確率で、合理的なマイナーはゲームに負け、ブロック Bi はメインチェーンに決して含まれません。これにより、「攻撃なし」の場合と比較して、最後の完全なブロックでのマイニングの予想報酬が減少します。

合理的なマイナーがオプション 2 に従い、攻撃者のブロック ヘッダー BA を正常に拡張した場合、攻撃者は完全なブロック BA を公開しません。その結果、合理的なマイナーのブロックはメインチェーンに含まれず、ブロックの期待報酬はゼロになります。

したがって、「攻撃なし」設定での純粋な収益性がそれほど高くない場合、どちらの場合でも、攻撃者は正直なマイナーが最終的にお金を失うことを確実にすることができます。したがって、BDoS 攻撃者の脅威は、正直なマイナーがマイニングを行うよりも諦める、つまり 3 番目のオプションを選択する方がよいことを意味します。映画「ウォー・ゲーム」にもあるように、「勝つ唯一の方法は参加しないことだ」

どのような条件下で BDoS 攻撃が成功する可能性がありますか?

ここで、BDoS 攻撃者の成功条件について説明します。具体的には、特定の合理的なマイナー i にとっては、他の参加者の行動に関係なく、マイニングを継続するよりもマイニングを停止する方が利益が大きいと考えます。答えは 3 つの要素によって決まります。まず、攻撃者が十分な計算能力を持っている場合、攻撃は成功します。第二に、マイナー i が十分な計算能力を持っている場合、彼は成功するでしょう。最後に、鉱夫 i が最初はあまり利益を上げていなくても、その後は成功するでしょう。

マイナー i の収益性要因は、攻撃が発生しなかった場合にマイナー i がマイニング作業に投資した 1 ドルあたりの収益です。

次のグラフは、さまざまな攻撃者の規模 (X 軸) とマイナーの規模 (さまざまな曲線) に対して、成功した攻撃の最大リターンを示しています。

私たちの分析では、投資したドルあたりの収益を表す「リターン係数」と呼ばれる特性を使用しました。これは、マイニング機器と電気代、および関連する暗号通貨の価格によって異なります。

具体的な例を挙げると、最大のマイナーがネットワーク全体の計算能力の 20% を保有している場合、ネットワーク全体の計算能力の 20% を保有する攻撃者は、利益係数が 1.37 を下回ったときにすべてのマイナーにマイニングを停止するようにインセンティブを与えることができます。

現在、ビットコインの場合、電気料金が 0.05 ドル/kWh の場合、Bitmain S17 Pro マイナーの利益率は 2 に近く、S9 の利益率は 1 に近くなります。コインの価格が大幅に下落すると、攻撃者は既存のマイナーにマイニングをやめるよう促すことができ、ビットコイン ネットワークの機能が完全に停止します。

さらに、ビットコインのブロック報酬は2020年に半減すると予想されており、それに応じてマイナーの収益性も低下するでしょう。

2つのコインモデル

私たちのモデルは、攻撃者の可能性を過小評価するという意味で保守的であることに注意してください。これまで、マイナーは利益が 0 に達した場合にマイニングを継続するか、マイニングを停止することができると想定してきました。ただし、暗号通貨のマイナーは、一時的にでも、マイニングの取り組みを 2 番目の暗号通貨に移行することがよくあります。両方のコインの初期の収益性（攻撃前）が同程度であれば、攻撃が発生したときに他のコインに切り替えると、ほぼ確実に利益が得られます。つまり、この場合の攻撃の脅威（2 コイン モデルと呼ぶ）は、上記の分析で示唆されているよりもさらに高いことを意味します。実際、2 枚のコインのモデルの方が現実のシナリオに近いです。たとえば、マイナーは収益性に応じて、BTC と BCH の間で作業を切り替えることが多いという証拠があります。

緩和措置と開示義務

攻撃を実行するためにマイニング装置をレンタルしたり、ビットコインを空売りして逃げ回ったりするのではなく、責任ある情報開示期間を経たセキュリティ研究のベストプラクティスに従いました。私たちは、攻撃の影響を受ける主要な暗号通貨の開発者に警告し、緩和策について話し合いました。

我々は、コンセンサス ルールに小さな変更を加えることを提案します。これにより、マイナーは、ブロック ヘッダーが本体内の一定のしきい値時間 (例: 1 分) よりも古いブロックに低い優先順位を付けることができます。

これにより、攻撃者がブロック伝播競争に負ける可能性が高まり、BDoS 攻撃の効果が低下します。

残念ながら、この対策は根本的なものではありません。私たちの論文で説明しているように、攻撃者はスマート コントラクトまたはゼロ知識 (ZK) 証明を使用して、ブロック ヘッダーを公開する代わりに、ブロックを見つけたことを証明できます。これらの技術を使用すると、ブロック伝播競争において攻撃者のブロックと合理的なマイナーのブロックを区別できなくなり、緩和技術が無効になります。

BDoS 攻撃に対するもう 1 つの解決策は、Ethereum で使用されているアンクル ブロック報酬メカニズムを使用することです。アンクルブロック報酬メカニズムは、メインチェーン上にない（ただし、メインチェーンに直接接続されている）ブロックをマイニングしたマイナーに報酬を与えます。アンクルブロック報酬メカニズムを使用すると、たとえゲームに負けても報酬（イーサリアムのフルブロック報酬の 7/8 に相当）を受け取ることができるため、BDoS 攻撃中に合理的なマイナーがマイニングを停止する可能性は大幅に低くなります。ただし、アンクル ブロックによって利己的なマイニング攻撃に対するセキュリティが低下するため、これはトレードオフとなります。

結論は

BDoS は、攻撃者が従来の攻撃よりもはるかに少ない計算能力でサービス拒否攻撃を実行できるため、Nakamoto コンセンサス ブロックチェーンにとって脅威となります。攻撃者がどのようにインセンティブを歪めて、利益を追求するマイナーにマイニング活動をやめさせるかを示しました。私たちが提案する緩和策は実装が簡単（ネットワークフォークを必要としない）ですが、特定の BDoS 攻撃にのみ影響します。より強力な緩和策がなければ、ナカモト合意ブロックチェーンの存続は、収益の損失に直面してもマイナーがプロトコルに従う意思、つまり利他主義にかかっています。

詳細は弊社の技術文書に記載されています。

このブログ投稿の執筆に協力してくれた IC3 コミュニティ マネージャーの Sarah Allen に感謝します。