ETC 51%ハッシュレート攻撃について話しましょう

編曲：シェリー、金小佳；キャリブレーション：シャオ・ジエ

デジタル通貨の誕生以来、51%攻撃は議論の的となっている。合意形成メカニズムとしてプルーフ・オブ・ワークを使用するデジタル通貨の場合、最大のセキュリティリスクは 51% 攻撃の可能性です。誰かがネットワーク全体の計算能力の 51% 以上を保有している場合、攻撃を開始できます。この攻撃により、資金が二重に使われたり、すでに達したコンセンサス状態が再度変更されたりする可能性があります。

ビットコインネットワークは10年以上稼働しています。多くの人は、51% 攻撃は理論上のものであり、実際に起こったという話はほとんど聞いたことがないと考えています。しかし今回は、ETC に対する 51% 攻撃が実際に起こったのです。

このエピソードでは、Fork It のホスト (Terry、Daniel、Kevin) が ETC 51% 攻撃の詳細について皆さんと楽しく話し合います。

ETC 51% 攻撃の詳細

ダニエル: ETC の 51% 攻撃は組織的かつ計画的かつ慎重に計画された攻撃でした。 2019年1月6日、Bittrueという取引所は、13,000ETC相当の異常な引き出しを発見したと発表しました。つまり、入金取引はロールバックされましたが、取引所から出金する際に取引残高が発見され、傍受されました。

さらに調査を進めた結果、Coinbaseの担当者はETCネットワークの大規模な再編を発見した。

知識ポイント: いわゆるネットワーク再編成 (ブロック再編成) とは、ネットワーク内の 6 ～ 8 個のブロック、あるいはさらに長いブロックがマイナーによって採掘されたが、これらのブロックが突然削除され、確認されたブロックを置き換えるためにいくつかの新しいブロックが生成されることを意味します。

Coinbaseの公式ブログでは、問題があると疑われていた比較的大規模なネットワーク再編を3件、すぐに発表した。その後、有名な取引所gate.ioが51%攻撃を受けたことが明らかになりました。ハッカーはこの取引所に2回多額の入金を行ったが、ネットワークの再編成により削除された。ハッカーらはインターネット上の取引所でコインを売却したり、取引所に預けたコインを他の通貨に交換したりして、最終的に資金を引き出しました。 gate.ioはその後、この攻撃により約20万ドルの損失が発生したと発表した。

この事件が暴露された後、一部の技術愛好家、特にSlowMistやPeckShieldなどの国内セキュリティ組織が攻撃の調査を開始しました。研究者らは、51%攻撃の計算能力はNiceHashと呼ばれるウェブサイトから来ており、ハッカーはそこで一定量の計算能力を借りてETCネットワークに攻撃を仕掛けることができることを発見した。

その時、ETC ネットワークの計算能力の 112% 以上をレンタルすることができ、レンタルした計算能力は ETC マイニングやその他のやりたいことに使用できます。ハッカーはNiceHashのウェブサイトを利用して、攻撃を仕掛けるための計算能力を借りていた。

ETC が攻撃に対して脆弱である理由は、実際には ETC の 2 つの特性に基づいています。

第一の特徴は攻撃コストが低いことです。 ETC のメイン ネットワークの計算能力が 100 であると仮定すると、ETC ネットワークを攻撃するには 101 の計算能力をレンタルする必要があります。ハッカーは攻撃を通じて取引所に約20万ドルの損失をもたらしました。つまり、ハッカーは攻撃によって20万ドルを獲得したことになります。 ETC メイン ネットワークを超えるコンピューティング パワーをレンタルして攻撃を仕掛け、20 万ドルを稼ぐには、どれくらいの費用がかかると思いますか?

答えは、ハッカーの攻撃にかかるコストは 1 時間あたり約 5,000 ドルに過ぎないということです。攻撃当日から現在に至るまで、ETCメインネットワークの計算能力の市場価値はさらに低下しました。現在、ETC ネットワークを攻撃するためにコンピューティング能力をレンタルするコストは、以前の攻撃よりも安くなっています。

前回のFork It 2では、ETCが2016年のTHE DAO事件から分岐したチェーンであることが分かりました。長い間、ETCの計算能力はイーサリアムのネットワーク全体の計算能力の約1/20であり、そのコイン価格もイーサリアムネットワークの約1/20でした。しかし、時が経つにつれ、ETC のネットワーク計算能力はどんどん低下し、コインの価値もどんどん低下し、今では攻撃に対して特に脆弱な状態に達しています。

ETC のもう一つの特徴は、流動性が高いことです。イーサリアムは、世界中のほとんどの取引所でサポートされている主流のデジタル通貨です。 ETC と Ethereum は同じ起源を持っているため、取引所は ETC を非常によくサポートしています。価格も計算能力も低いものの、流動性を考えると、ハッカーは51%攻撃を実行して金儲けする方法を少なくとも2つ持っています。

最初の方法は二重支出攻撃です。まず取引所に金額を転送し、次に計算能力攻撃を使用してチェーン上の転送のコンセンサスを変更します。この時点では、取引所はまだ送金記録を保持しているため、取引所には実際には存在せず、現金化できる金額が残っていることになります。もう一つの方法は、ハッカーが 51% 攻撃を成功させた場合、それは非常に大きなマイナスのニュースになるということです。先物市場に影響を与える可能性があります。ハッカーは、裁定取引を実現するために先物市場を事前に空売りすることで利益を得ることができます。

PoWのコンセンサス基盤は揺らいでいるのか？

テリー：実は、これは最初の PoW 51% 攻撃ではありません。多くの小型コインは、発売されるとすぐに「打ち落とされ」ました。いわゆる「ノックダウン」とは、コンピューティングパワーを利用して攻撃することです。新しい通貨であろうと小規模な通貨であろうと、その計算能力と市場価値が十分に高くない場合、ハッカーは比較的低コストでチェーンを攻撃することができ、特に安全性が低くなります。

そこで質問があります。この事件の後、PoW に関するニュースが数多くありましたが、最も代表的なのは「 ETC が 51% 攻撃を受け、PoW のコンセンサス基盤が揺らいだのか? 」というものです (ややクリックベイトのタイトルです)。私が聞きたいのは、PoW コンセンサス アルゴリズムに対する信頼を失ったのかということです。それとも本当に問題だと思いますか?

ケビン: まず第一に、PoW は魔女の攻撃を防ぐ方法です。そのコンセンサス アルゴリズムは非常にシンプルで、完全な公平性を実現するために自然乱数を選択します。

知識ポイント: シビル攻撃: ピアツーピア ネットワークでは、通常、単一のノードが複数の ID を持ち、システムのノードのほとんどを制御することで冗長バックアップの役割が弱まります。

ネットワーク内に悪意のあるノードが存在する場合、同じ悪意のあるノードが複数の ID を持つ可能性があります。本来は複数のノードにバックアップする必要があるデータが、同じ悪意のあるノードにバックアップされるように騙されます (悪意のあるノードは複数の ID を偽装します)。このようにして、悪意のあるノードがネットワークを制御できるようになる可能性があります。

もう一つはオープンさです。どのノードもコンセンサスに参加でき、マイナーはマイニングマシンを購入して接続するだけで、直接マイニングを開始できます。ネットワーク自体の計算能力が非常に高い場合、PoW の利点は依然として非常に明白です。 PoS には多くの制約があり、オンライン状態を維持してトークンを購入する必要がある場合があります。このプロセス中に、個人情報を含む一部の IP アドレスが公開される可能性があります。 PoW システム全体では、各マイナーが最も長いチェーン上でブロックを送信することが保証され、これにより各マイナーはマイニング後にできるだけ早くブロックをブロードキャストする動機を得ます。これらはすべて、ビットコイン・ナカモト・コンセンサスの非常に優れた特性です。

ただし、どのようなコンセンサス メカニズムにも独自のセキュリティ モデルがあり、攻撃を受ける可能性があります。ただ、人々は PoW の攻撃モデルに慣れており、攻撃に抵抗する方法を知っているだけです。人々、特に新しい企業は、他のコンセンサスを完全に理解していません。多くの PoS プロジェクトでは、攻撃を受けないようにするために、財団やその他の関連グループがトークンの 50% を保有するというアプローチが採用されています。まさに「野生」で成長した PoS は、運用されてからまだごく短い期間しか経っておらず、人々はまだそれを模索している最中ですが、研究する価値のある方向性です。

ダニエル: はい、私たちが理解していないコンセンサス メカニズムについては、未知の攻撃方法の方が心配です。しかし、これらの攻撃方法に対する成熟したソリューションはありません。 PoW に関しては、ハッカーがどのように攻撃を仕掛けるかが非常に明確にわかっています。

テリー：ヴィタリックはかつて、ETH が PoS に移行するのは哲学的に正しいと思うとツイートしていました。もちろん反対の声も数多くあります。 SlowMist Technology の創設者はかつて、どのようなアルゴリズムが使用されても、ビザンチン将軍問題を解決する限り、独自のセキュリティ モデルが存在すると述べました。 Kevin が言ったように、セキュリティの仮定が異なればそれぞれに問題があり、PoS にも未解決の問題が数多くあります。実際、私たちは PoS コンセンサス アルゴリズムについてかなり理解と知識を持っており、将来のプログラムでは PoS について具体的に話すことができます。

しかし、私が今言いたいのは、PoW を PoS に変更することは問題の解決策ではなく、多くの新しい問題を引き起こす可能性があるということです。実際に問題を解決するという観点から、現実的な解決策を提案した人もいます。たとえば、チェーン再編成問題への対応として、BCH コミュニティは再編成保護を開始しました (BCH では、ABC バージョン 0.18.5 で再編成保護が追加され、10 ブロックを超える再編成を除外できるようになりました)。

現在、PoW マイニングには主に 2 つの方法があります。 1つはビットコインなどのASICマイニングマシンを介したものであり、もう1つはETCなどのGPUマイニングマシン（以下、グラフィックカードマイニング）を介したものです。認めなければならないことの 1 つは、グラフィック カード マイニングの計算能力は流動性が高く、より多くの通貨をマイニングできるため、計算能力を借りて特定のコインを攻撃するのが簡単であるということです。あるコインを攻撃した後、そのコインが崩壊しても、マイナーは他のコインをマイニングすることで利益を得ることができます。そこで疑問なのは、グラフィック カード マイニングの計算能力の流動性が非常に高いため、グラフィック カード マイニングに使用されるチェーンのセキュリティにある程度影響が及ぶかどうかです。

ダニエル: 事実に基づくと、コンピューティングパワー市場全体が株式市場です。現在の市場環境では、グラフィック カードを購入して計算能力を高めるためにグラフィック カード市場に投資する人はほとんどいません。それどころか、現在すべての通貨の価格が非常に低く、マイニングの費用対効果が悪くなっているため、より多くのマイナーがマイニングマシンのシャットダウンを選択するでしょう。

すべてのマイナーは、どの通貨をマイニングするかを自由に選択でき、通常、合理的なマイナーは利益を上げることができる通貨を選択します。最終結果として、すべての通貨が相対的に損益分岐点に戻るか、各通貨のマイニングによる利益が同程度になる可能性があります。したがって、各通貨の背後にある計算能力は現在、安定した状態を保っています。

この安定した状態では、一部の通貨の価値が高くなるほど、その計算能力も大きくなり、メインネットワークを超える計算能力を借りて攻撃を仕掛けることは非常に困難になります。しかし、価値が低かったり、採掘するのに経済的でない通貨は非常に危険であり、攻撃者は簡単に計算能力を借りて攻撃することができます。

どのプロジェクトでも、特にコンセンサス プロトコルとして PoW を選択するプロジェクトは、オンラインになった後の初期のコンピューティング能力の成長段階では、安全でない段階を経ることになります。したがって、危険な状態から安全で成熟した段階にどのように移行するかが特に重要になります。

ASIC フレンドリーか否か?

テリー: マイニングに ASIC マイニング マシンを使用するかどうかについては、さまざまな考え方を持つプロジェクトを数多く見てきました。抵抗する人もいれば、中立的な人もいれば、友好的な人もいます。では、ASIC を使用して小額通貨をマイニングすると、より安全になるのでしょうか?

ケビン: セキュリティをどのように定義するかによって異なります。小規模通貨の間では、ASIC-Friendly に対する批判が 2 種類あります。 1つは、新しいプロジェクト用の ASIC マイニング マシンが非常に短い研究開発サイクル内で生産できると想定することであり、誰もがこのプロジェクトに対して楽観的です。すると、次のような問題が発生する可能性があります。

一般的に、プロジェクトは初期段階でコインを最も早く配布し、最も速いボーナス期間が ASIC を搭載したマイナーに与えられるため、これらのマイナーは集中化される可能性が高くなります。 ASICメーカーがマイニングマシンを開発した後、それを販売するのではなく、自らコインをマイニングし、トークン自体が集中する事態も起こり得ます。トークンが集中しすぎると、コミュニティが非常に集中してしまい、将来的にトークンで投票したり、オンラインガバナンスのためにコンピューティングパワーを使用したりする必要がある場合に問題が発生する可能性があります。さらに、ビットコイン ASIC マイニングマシンメーカーのように、1 つの企業が市場を独占している状況であれば、そのメーカーはまずマイニングマシンを製造し、最も多くのトークンをマイニングし、その後トークンを販売してその資金を製造と研究開発に再投資することができ、再び他社よりも優位に立つことができます。これが、ASIC-Friendly が皆から批判される点です。

もう 1 つの可能性としては、一部のプロジェクトが他のプロジェクト (ビットコイン マイニング マシンなど) から ASIC マイニング アルゴリズムを採用することが挙げられます。市場にはすでにビットコインをマイニングする ASIC マイニング マシンが多数存在していますが、これはプロジェクトにとって非常に危険です。プロジェクトがオンラインになると、ビットコインマイナーはプロジェクトに対して次元削減攻撃を直接実行できるようになるためです。これらのビットコインマイナーが十分な計算能力を持っている限り、プロジェクトに対して 51% の計算能力攻撃を仕掛けることは簡単です。

したがって、グラフィック カードを使用したマイニングであれ、ASIC フレンドリーなマイニングであれ、新しいアルゴリズムを採用するのが最善の方法です。

しかし、新しいアルゴリズムを採用するプロジェクトにはいくつかの問題もあります。マイニングにグラフィック カードを使用する場合、すべてのグラフィック カードは同じであるため、ハッカーはマイニング ソフトウェアをインストールして攻撃することができます。マイニングに ASIC マイニングマシンを使用する場合、初期段階で既存の ASIC マイニングマシンを直接攻撃することは困難ですが、マイニングの集中化など、他のいくつかの問題が発生する可能性があります。

Grin を例に挙げてみましょう。 Grin の採掘設計は非常に興味深いです。これには、Cuckoo Cycle (John Tromp によって発明されたグラフ理論の作業証明。Fork It の次号で紹介される予定) に基づく 2 つのアルゴリズムがあります。 1 つは ASIC 耐性（グラフィック カードを介してマイニングするため、ASIC でのマイニングは困難）で、Cuckaroo29 と呼ばれます。もう 1 つのアルゴリズムは ASIC フレンドリーで、Cuckatoo31+ と呼ばれます。

当初、Grin はマイニングに大量のグラフィック カードを使用し、マイナーにコインを配布するよう依頼していました。 Grin は新しいアルゴリズムを使用しているため、既存のグラフィック カードの計算能力をそれに切り替えることはできますが、それでもある程度の難しさは残ります。同時に、Grin は ASIC を除外しません。一定数のコインは ASIC マイニング マシンによってマイニングされます。時間が経つにつれて、さまざまなマイニング アルゴリズムによって採掘されるコインの割合は徐々に変化します。

グラフィック カードを傭兵に例えるなら、ASIC マイニング マシンは王室衛兵のようなものです。最適化された ASIC マイニング マシンは、他のプロジェクトのトークンをマイニングできなくなります。これらのデバイスは 1 つのプロジェクトのみをマイニングできます。他のマイナーが参加したい場合は、マイニングマシンを購入することによってのみ参加できます。この観点から見ると、Grin は比較的優れたプロジェクトです。 ASIC マイナーはある程度集中化されているかもしれませんが、マイナーが Grin のトークンをマイニングしている限り、プロジェクトを保護する動機があります (彼らのチップにはこれ以外の機能がないため)。

テリー: そうですね、新しいプロジェクト用の新しい ASIC アルゴリズムが作成され、このコインをマイニングする人が多数いると仮定すると、マイナーは必ずしも計算能力を借りて攻撃するわけではありません。短期的には利益が出るかもしれませんが、長期的には通貨に価値がなければ、採掘マシンはすべてスクラップメタルとなり、損失は大きくなります。ただし、グラフィック カードを使用して暗号通貨をマイニングするマイナーは、このコインが攻撃されたとしても、他のコインをマイニングできるため、この状況を考慮しません。これは、グラフィック カード マイニングとは少し異なる ASIC マイニングの忠誠心も反映しています。

先ほど、Grin の採掘についても触れましたが、これは非常に興味深い設計です。当初、Grin マイニングの 90% は Cuckaroo29 (ASIC 耐性) を使用し、10% は Cuckatoo31+ (ASIC 対応) を使用していました。そしてこの比率は変化し、ASIC マイニングの部分はますます大きくなり、グラフィック カード マイニングの部分はますます小さくなります。この変換は、Grin が ASIC に対して中立であることを示しており、これは私たちの見解と一致しています。

鉱山機械メーカーの先輩の意見を聞いてみました。彼は、プロジェクトが十分に優れている限り、ASIC 化は避けられないと考えています。避けるべきアプローチは 2 つだけです。 1つは、プロジェクト側からの強制で、ASIC を構築する限り、フォークしてアルゴリズムを変更すると言っている。もう 1 つのタイプは、ETH が PoS に切り替えると言っているのと同じように、「不正行為」です。私は「詐欺」という言葉には同意しませんが、他の人たちが皮肉やユーモアを込めてこれを言っているので、利益が十分に大きい限り、友好的であろうとなかろうと、ASIC は作れるということがポイントだと思います。

技術的な観点からすべてのアルゴリズムを ASIC 化できるかどうかは判断できませんが、メリットが十分に大きい場合は、誰かがこのプロジェクトで ASIC 研究を行うだろうと信じています。私が知っている噂によると、Zcash、Monero などには実際に ASIC マイニング マシンがありますが、コミュニティは ASIC マイニング マシンに対してさまざまな態度を持っています。

ダニエル：はい、Monero コミュニティが ASIC マイニング マシンを導入した後、すぐに合意に達してアルゴリズムを切り替えたため、以前の ASIC マイニング マシンは廃品となりました。

テリー: わかりました。ここで明確にしておきたいのは、私たちは Grin プロジェクトを推奨しているわけではないということです。私たちのプログラムが何かを推奨するとしても、それはその技術です。しかし、Grin プロジェクトの背後にある MimbleWimble プロトコルは実に伝説的です。 Grin に加えて、MimbleWimble プロトコルの別の実装として Beam プロジェクトがありますが、このプロジェクトでは元のプロトコルに基づいて、いわゆる「改善」がいくつか行われています。この「改善」が良いのか悪いのかを判断するには時間がかかるかもしれません。それに比べて、Grin は MimbleWimble のより原理主義的な実装のように感じます。また、国内のいくつかのチームもMimbleWimbleの導入を予定していると聞き、ちょっとしたトレンドになるかもしれません。