タイムワープ攻撃により残りのビットコインが20日以内に採掘される可能性あり？コア開発者がタイムスタンプセキュリティについて語る

序文：サトシ・ナカモトが設計した合計2100万BTCは、通常の採掘条件下では2140年頃に採掘されると予想されています。では、ビットコインが予定より早く採掘されてしまうような状況はあるのでしょうか?答えは「はい」ですが、この解決策は現時点では理論上のものにすぎません。タイムワープ攻撃と呼ばれる51%攻撃の変種では、理論上は残りのビットコインをわずか18.7日で採掘できる可能性がある。しかし、合理的な鉱夫は、短期的な利益のために金の卵を産むガチョウを殺すようなことはしないだろう。

これは、元の著者 Jameson Lopp が議論したかったタイムスタンプ セキュリティに関するトピックでもあります。

翻訳は次のとおりです。

(画像出典: pexels.com)

ビットコインは、安全なタイムスタンプ サービスと呼ばれることがよくあります。ビットコイン以前は、信頼できるタイムスタンプを持つ真実のグローバル記録はありませんでした。では、これはどのようにして実現したのでしょうか?これは通常、作業証明 (PoW) がマイナーが従わなければならないいくつかの単純なルールに統合されているためです。マイナーの主な機能は次のとおりです。

1. ソートされていない未確認のトランザクションを受け入れ、特定の順序に並べます。

2. トランザクションを有効なコンテナ（ブロック）にパックします。

3. 許容可能な時間枠内でブロックにタイムスタンプを付ける。

そして、この最後の特性により、ビットコインはビットコインの供給量の放出を制御できるようになります。それがなければ、ビットコインは計算能力が増大するたびに急速なインフレに見舞われることになるでしょう。しかし、この特性により、ビットコイン プロトコルにかなりの利便性がもたらされ、ビットコインを他のサービスのデータ アンカーとして使用することも可能になります。タイムスタンプが一定の範囲内にあるというかなり強力な保証があり、ブロックチェーンの履歴を書き換えるのに必要なエネルギーについても数学的な保証があるため、ビットコインはデータのタイムスタンプに信頼できるアンカーを提供します。しかし、それはどれほど信頼できるのでしょうか?

ビットコインのタイムスタンプの柔軟性

ノードがブロック ヘッダーの時間フィールドを有効と見なすには、次の 2 つの条件を満たす必要があります。

1. 時間は、コンピュータのローカル時間から計算して 2 時間以内である必要があります。

2. 過去 11 ブロックのタイムスタンプの中央値より大きい。

最初のルールは理にかなっています。明らかに、未来から来たと主張する人は望ましくありません。また、現在の時刻については全員が同意しているため、ノードがそのような主張を拒否するのは簡単です (現在の時刻を確認する方法は複数あり、コンピューターが時計を同期する非常に一般的な方法は、ネットワーク タイム プロトコルを使用することです)。

しかし、その時間が妥当な時点よりあまり前にならないよう保証するのは困難です。これは、ノードがブロックの初期作成時間付近のどの時点でもブロックを検証しているとは想定できないためです。ノードは、理由の有無にかかわらず、ネットワークから離脱したり再参加したりできる必要があります。履歴ブロックを現在の時刻から数時間以内に作成する必要がある場合、チェーンの先端から遠すぎるノードは履歴ブロックを拒否し始めます。

これはサトシ・ナカモトのホワイトペーパーからの一節です。

「ノードは自由にネットワークから離脱したり再参加したりすることができ、離脱中に何が起こったかの証拠としてプルーフ・オブ・ワーク・チェーンを受け入れる。」

直感に反するかもしれませんが、ブロックのタイムスタンプが前のブロックのタイムスタンプより後でなければならないというルールは実際には存在しません。考えてみれば、このようなルールは問題を引き起こす可能性があります。マイナーが 2 時間近く先のタイムスタンプを持つブロックを作成した場合、次のブロックも長い時間待たなければならず、他のマイナーが過去 11 ブロックの中央値時間 (MTP) を自己修正することが困難になります。

また、ビットコイン ネットワークは 10 分ごとにブロックを生成することが期待されていますが、これは必ずしも保証されているわけではないことに留意してください。ブロック作成の間隔は、数ミリ秒から数時間の範囲になります。過去 11 ブロックの予想される中央値は 1 時間前ですが、それより長くても短くてもかまいません。

出典: https://en.bitcoin.it/wiki/confirmation

プッシュウィンドウ

攻撃者が許容可能なタイムスタンプのウィンドウを延長しようとする方法を考えてみると、攻撃者がどれだけ計算能力を持っていても、タイムスタンプを 2 時間以上先に延ばすことはできないことは明らかです。しかし、十分な計算能力を持つ攻撃者は、過去 11 ブロックの中央値から 1 秒以内にほぼ無効なタイムスタンプを持つブロックを作成するだけで、「ビットコイン時間」の進行にいくらかの遅延を与えることができます。

これをやる動機はあるのでしょうか?極端なケースでは、「タイムワープ攻撃」は短期的な経済的インセンティブをもたらす可能性がありますが、これについては後で説明します。タイムスタンプを数時間遅らせるだけでどのようなインセンティブがあるのか​​は明らかではありません。ただし、他のプロトコルがビットコイン上に構築され（ライトニングネットワークなど）、タイムロックを伴う可能性があることを考えると、将来的には、プロセスを遅くすることでブロックチェーン上のタイムスタンプの進行を操作できる他のプロトコルが登場する可能性があります。

ハッシュパワータイムドラッグ

最も早い有効なブロック時間は過去 11 ブロックの中央時間 (MTP) に基づいているため、敵対的なマイナーが MTP に顕著な抵抗を引き起こすには、大量のブロックを生成する必要があります。

すべてのマイナーが MTP を介してほぼ同期されているが、できるだけ過去 11 ブロックを超えて MTP を引きずり出そうとする敵対的なマイナーがいる状況を想定してみましょう。

一つはっきりしていることは、平均値の方が操作しやすいため、過去 11 ブロックの平均ではなく、タイムスタンプの中央値を使用するというサトシ・ナカモトの賢明な決断だったということです。 「過去の中央時間」について考える別の方法は、基本的に、すべてのタイムスタンプが正しい場合の 6 番目に最近のブロックのタイムスタンプを意味するということです。そうでない場合、アルゴリズムは単に順序を並べ替えます。したがって、この値に無視できない影響を与えたい場合は、過去 11 ブロックのうち 6 ブロックを解決する必要があります。この攻撃に耐えるためには、ネットワークの計算能力の55% を制御する必要があり、その時点でビットコインの熱力学的セキュリティの主要な前提が破られます。しかし、マイナーが非常に幸運であれば、ハッシュレートが低くてもこれを実行できる場合があります。

11 個のブロックのうち 6 個を見つけるのはどれくらい難しいでしょうか?そうですね、特定のマイナーが次のブロックを解く可能性は、ネットワーク全体のハッシュレートの割合とほぼ同じです。したがって、ネットワークのハッシュレートの 1% のみを制御している場合 (それでも同じくらい大きなマイナーです)、任意の 11 個の隣接するブロックから 6 つのブロックを作成する可能性 = (0.01⁶*0.99⁵)*(11!/(5!*6!))は約 20 億分の 1 になります。ハッシュパワーの 1% を維持すると、11 ブロックのうち 6 ブロックを見つけるのにかかる予想時間は43,000年以上になります。

タイムドラッグ攻撃を正常に完了するまでの予想待機時間のより一般的な式は次のとおりです。

(1 / (462 * (% ハッシュレート⁶ * (1- % ハッシュレート)⁵))) / 144 ブロック/日 = # 日

ご覧のとおり、攻撃者が意味のある時間スケールでこのタイプの攻撃を実行するには、ネットワーク ハッシュレートの少なくとも10%を持つ適切なサイズのマイニング プールが必要になります。

最大の障害

ただし、完了までの中央時間 (MTP) で最大の抵抗を生成するには、マイナーは 6 つのブロックを連続して解決する必要があります。過去 11 ブロックのうち 6 ブロックがすべて整列していない場合、他のマイナーによって生じた時間差により、敵対的なマイナーは、各ブロックの MTP が大幅に前進するため、ブロックに 1 秒以上離れたタイムスタンプを強制的に付与することになります (正直なマイナーは、より正確なタイムスタンプをブロックに付与します)。

6 つのブロックを続けて解くのはどれくらい難しいですか?ここでも、1 人のマイナーがネットワーク ハッシュレートの 1% を占めていると仮定すると、任意の 6 つの連続ブロックの確率は 0.01⁶、つまり 1 兆分の 1 になります。ネットワークの計算能力の 1% を維持すると、11 個のデータ ブロックから連続する 6 つのブロックを見つけるのにかかる予想時間は 200 万年近くになります。

タイムドラッグ攻撃を正常に完了するまでの予想待機時間のより一般的な式は次のとおりです。

(1 / % ハッシュレート⁶) / 144ブロック/日 = # 日

このタイプの攻撃は実行がより困難であり、妥当な時間枠内で実行する必要があり、マイナーはネットワークの計算能力の 20% または 30% を制御する必要があります。ご想像のとおり、このようなことはめったに起こりませんが、起こると人々は気づきます。ビットコインの歴史上、これが最後に起こったのは2014年7月で、GHashマイニングプールが一定期間コンピューティングパワーの40%以上を制御し、短期間で51%を超えたときでした。ハッシュパワーの 50% を制御している場合、6 つの連続したブロックが見つかる確率は 0.5⁶ (64 分の 1) です。ネットワークの計算能力の 50% を維持すると、12 時間ごとに 6 つの連続したブロックが見つかることが期待できます。

明らかに、ハッシュレートの過半数がなければ、ビットコインの平均時間を長期的に短縮することはできないでしょうが、運と忍耐があれば、短期間（1 ブロック程度）で数時間まで短縮することは可能です。他のマイナーのタイムスタンプがかなり正確であると仮定すると、過去の中央時間は約 1 時間前になるはずです (ただし、ブロックの変更が見つかったため、数時間長くなる可能性があります)。 1 時間前のタイムスタンプに 1 秒、2 秒、3 秒などを加えた 6 つのデータ ブロックを作成できる場合、6 番目のデータ ブロックでは MTP は約 2 時間前になります。ブロック間に 1 時間の間隔があるという極端な状況を想定すると、MTP は 6 時間前になります。

ブロックのタイムスタンプに適度な柔軟性を持たせ、最近のブロックの中央値を取ることで、不正操作が非常に困難でありながら、実時間と多少ずれているマイナーに悪影響を与えるほど脆弱ではないアルゴリズムが実現します。

タイムワープアタック

攻撃者がネットワークのハッシュレートの 50% 以上を所有し、ビットコインの時間経過を遅くしたい場合、何が起こるでしょうか?彼らはかなりひどいことをすることがある。このような悪意のあるマイナーは、タイムスタンプを防ぐために、新しいブロックごとに 1 秒以上プッシュする可能性があります。これを十分に長く実行して、前の 2016 ブロックの作成に 2 週間以上かかったように見える場合は、リターゲティング ロジックを使用して、2016 ブロックごとにマイニングの難易度を 75% 削減できます。最終的には、難易度が十分に低ければ、一定期間内に好きなだけブロックを鋳造できるようになり、予想よりも多くのマイニング報酬を獲得できるようになります。最適化されたタイムワープ攻撃により、残りのビットコインをすべて 18.7 日で採掘できる可能性があります。実際、ビットコインのテストネット3でも同様の現象が見られましたが、これは難易度のリセットが偶然に起こったことによるものでした（1 日で 16,000 ブロックが生成されたこともあります）。現在、8年間の歴史を経て、testnet3は1,482,878ブロックをマイニングしており、これは予想排出量の約350%に相当します。

タイムワープ攻撃は新しいものではありません。この攻撃は2011年に「Geist Geld」と呼ばれるコインに対して初めて実行され、コミュニティでは51%攻撃のバリエーションであると考えられていました。

2014年には、ホワイトコインと呼ばれるアルトコインもタイムワープ攻撃の被害を受けました。

2018年にはプライバシーコインVergeも同じように攻撃を受け、6週間後に再び攻撃を受けました！

一般的に、特定の種類のハードウェア (ASIC または GPU) のハッシュレートが低い暗号通貨は、本質的に 51% 攻撃に対して脆弱であるため、タイムワープ攻撃の影響を受けやすくなります。

興味深いことに、タイムワーピングはシステム内で予期しない動作を引き起こすため、攻撃と呼ばれることがよくありますが、意図した用途に悪用される可能性があることを示した人もいます。 2015 年、Vitalik Buterin 氏はソフトフォークによってブロック速度を上げ、それによってオンチェーン容量を増やす方法について説明しました。 2018年、ビットコイン開発者のマーク・フリーデンバッハ氏は、この意図しない動作を利用してビットコインに新しい機能を追加することを提案しました。マーク氏は「フォワードブロック」提案の中で、彼のアプローチにより、オンチェーンのトランザクション量を現在のレベルの 3,584 倍に拡大できると述べています。

しかし、このような提案は物議を醸すものとなり、ビットコインのブロックヘッダーのタイムスタンプに依存するシステムを構築する人は、そのデータを他の場所で探す必要に迫られることになるだろう。グレッグ・マクスウェルがビットコイン開発者メーリングリストで説明したように、このような変更をブロックすることも簡単です。

「タイムスタンプをさらに制限するソフトフォークによって修正することができ、この方向でいくつかの提案があります。」

要約する

ビットコインのタイムスタンプのセキュリティと、許容されるタイムスタンプの期間を制限するシンプルなルールは、既知の弱点にもかかわらず、敵対的な環境で 10 年間のテストに耐えてきました。 51% のハッシュ パワーを持つマイナーのグループが、少なくとも短期間はネットワークに大混乱を引き起こす可能性があることはわかっていますが、これはこれまで一度も発生していません。これは、マイナーがそうするためのインセンティブが揃っていないためと考えられます。合理的な鉱夫は、短期的な利益を選択して、長期的に金の卵を産む可能性のあるガチョウを殺すことはありません。