PoS はなぜ PoW よりも 51% 攻撃の防止に優れているのでしょうか?

編集者注: ETC は最近 51% 攻撃を受けており、PoW のセキュリティ問題が激しく議論されています。イーサリアムの創設者ヴィタリック・ブテリン氏も、これはPoWからPoSへの移行が正しい選択であることを証明していると述べた。 Odaily Planet Dailyは、上海交通大学の准教授であるFan Lei氏を招き、なぜPoSがより良い選択であると考えるのかを分析してもらいました。

この記事は最初にOdaily Planet Dailyに掲載されました。著者は、上海交通大学サイバースペースセキュリティ学院の准教授であり、Fractal Platform の CTO である Fan Lei 氏です。元のタイトルは「ブロックチェーンコンセンサスプロトコルのセキュリティと開発の方向性」です。

最近、暗号通貨分野で重大な攻撃事件が発生しました。イーサリアムクラシック（ETC）は1月8日に51％の二重支払い攻撃を受けました。計算方法に応じて、この攻撃により数千ドルから数百万ドルに及ぶ損失が発生しました。攻撃者がトップランクの主流暗号通貨に対して 51% の計算能力攻撃に成功したのはこれが初めてです。これらの計算可能な実際の損失と比較すると、現在暗号通貨が直面している根深いセキュリティ問題は、より注目に値する。

1. 51% ハッシュレート攻撃とは何ですか?

現在、ビットコインに代表されるほとんどの暗号通貨は、プルーフ・オブ・ワーク (PoW) に基づくコンセンサス プロトコルを使用しています。プルーフ・オブ・ワークに参加するマイナーは計算を通じて新しいブロックを生成し、ブロックチェーンの成長を継続させます。ブロックチェーンは分散型システムなので、誰でもどこからでも新しいブロックを生成できます。攻撃者のコンピューティング リソースが少ない場合、攻撃者が生成した新しいフォークはパブリック ブロックチェーンよりも遅く成長するため、正直なユーザーに受け入れられる長いフォークは形成されません。ただし、攻撃者が正直なユーザーよりも多くのコンピューティング リソースを持っている場合、攻撃者が生成した新しいフォークはパブリック ブロックチェーンよりも速く成長し、最も長いパブリック ブロックチェーンを置き換える新しい長いブロックチェーン ブランチを簡単に形成できます。具体的なプロセスを図1と図2に示します。

図1. 攻撃者の計算能力は低い

図2. 攻撃者は優れた計算能力を持っている

攻撃者はコンピューティング リソースにおいて優位性を持っています。簡単に数学的に説明すると、攻撃者が 51% 以上の計算能力を持っているということであり、これが 51% 計算能力攻撃の名前の由来でもあります。攻撃者がコンピューティング リソースの 51% 以上を制御すると、攻撃は確実に成功します。実際、攻撃者が十分な割合のコンピューティング リソース (たとえば 40%) を制御し、確認長として 6 ブロックを使用すると、比較的高い確率でフォーク攻撃を成功させることができます。

51% のコンピューティング パワー攻撃が成功すると、ブロックチェーンの最長チェーンが切り替えられ、その結果、ブロック上で確認されたトランザクション データが消去される可能性があります。この攻撃が意図的に構築された場合、攻撃者はブロック上ですでに確認されている高額の取引データを引き出し、デジタル通貨のこの部分を再利用可能にすることができます。このタイプの攻撃は、二重支出攻撃と呼ばれることが多いです。明らかに、この種の攻撃は暗号化されたデジタル通貨のセキュリティと信頼性を深刻に損ないます。

2. この攻撃はなぜ成功したのでしょうか?

一般的なネットワークセキュリティ攻撃とは異なり、51% コンピューティングパワー攻撃はよく知られた攻撃手法であり、今回の攻撃者の攻撃行動やプロセス全体は目新しいものではありませんでした。

一般的に言えば、PoW ベースの暗号通貨システムの全体的な計算能力が強力になるほど、計算能力の 51% を制御するコストが高くなります。ほとんどの PoW アルゴリズムは同様のコアコンピューティング構造を持っているため、異なる暗号通貨間でコンピューティングパワーを簡単に切り替えることができ、時間ベースで便利にレンタルできるコンピューティングパワーリソースもあります。ウェブサイト Crypto51 (https://www.crypto51.app/) は、さまざまな暗号通貨に対する 1 時間の 51% 攻撃のコスト (ブロック報酬を除く) と、NiceHash から借りることができる計算能力の割合を計算しました。 ETC に対して 1 時間の 51% 攻撃を実行するのにかかる費用はわずか 5,116 ドルで、コンピューティング能力の 80% は NiceHash からレンタルできます (データは継続的に変化し、Web サイトにアクセスしてリアルタイム データを表示できます)。この攻撃の可能性は無視できない。

無視できないもう 1 つの要因は、PoW アルゴリズムがマイニング操作を実行するために大量のエネルギーに依存していることです。暗号通貨の市場価値がマイニング収益よりも低くなると、利益を優先した理由によりマイニングマシンがシャットダウンされ、マイニングが停止します。これにより、ネットワーク全体の計算能力が急激に低下し、51% 攻撃が実行しやすくなります。 ETC に対する 51% 攻撃はこの機会を利用したものです。新たに登場した PoW ベースの暗号通貨の場合、ネットワーク全体の計算能力が低いため、攻撃コストは低くなります。

ETH と ETC は同じマイニング アルゴリズムを使用しているため、ETH が ETC よりも 51% 攻撃を受ける可能性は低くなりますが、ETH のネットワーク全体の計算能力は ETC の約 20 倍です。それにもかかわらず、イーサリアムの創設者ヴィタリック氏は攻撃後も発言を続け、この事件はPoWからPoSに切り替えるという彼の決断が正しかったことを証明したと述べた。

3. PoW ベースのブロックチェーンはまだ安全ですか?

過去 10 年間で、ビットコインに代表される暗号化されたデジタル通貨が大きな成功を収め、その安全性も実際の運用ネットワークによってテストされてきたことは間違いありません。それだけでなく、暗号学者はPoWベースのブロックチェーンのセキュリティを理論的に証明しました。人々は、数学がブロックチェーンのセキュリティの基礎であると信じており、これを「In Math We Trust」と呼びます。しかし、近年の技術開発と研究により、PoW ベースのブロックチェーンにもセキュリティ上のリスクがあることが明らかになっています。

1) コンピューティングパワーの集中の問題

実際、ビットコインなどの暗号通貨システムでは、スーパーマイニングプールの存在による計算能力の集中が長い間懸念されてきました。大規模なマイニング プールと、利害関係者で構成されるマイニング プール アライアンスは、コンピューティング能力の 51% 近く、あるいはそれ以上を保有している場合があります。これらの大規模なコンピューティングパワーグループがシステムに対して 51% のコンピューティングパワー攻撃を仕掛けるかどうかはわかりませんが、少なくともそのような攻撃を仕掛ける能力は持っています。

2) コンピューティングパワーのブラックスワンリスク

現在の技術的状況では、暗号通貨の計算能力はハードウェアの計算速度とエネルギー供給に依存します。常に存在する隠れた危険は、コンピューティング能力が飛躍的に向上すると、システムのセキュリティが大きな脅威に直面する可能性があるということです。たとえば、高速アルゴリズムの発明やチップ技術のアップグレードにより、新しいコンピューティング リソースが元のリソースを圧倒的に上回る場合があり、その場合、システムのセキュリティは完全に破壊されます。

上記の分析は、PoW ブロックチェーンのセキュリティが数学的な基礎に基づいて構築されていないことを示しています。数学は、物理的なリソースとブロックチェーンを結びつける単なる接着剤にすぎません。物理リソースのセキュリティ仮定が有効でなくなると、ブロックチェーン システムのセキュリティが脅かされることになります。

システムレベルでは、PoW ベースのブロックチェーンは、ブロックプロデューサー、つまりブックキーパーを選択するためにコンピューティング能力の競争に依存しています。コンピューティング能力は、ブロックチェーン エコシステム自体の外部リソースです。ユーザーがレンタルできる計算能力の量は、必ずしもユーザーが保有するオンチェーン資産/権益と関係があるわけではありません。さらに、コンピューティングパワーのレンタル Web サイトの出現により、コンピューティングパワーの使用権の迅速な譲渡が可能になりました。たとえば、コンピューティングパワーを所有するマイニングファームの所有者やマイニングマシンメーカーの利益は、メインチェーンのセキュリティと強く結びついていますが、コンピューティングパワーの貸し手の場合はそうではありません。攻撃を開始する上での唯一の要素は計算能力の量です。利己的マイニングなどの戦略が採用された場合、現在のパブリックチェーンは計算能力の 51% に達することなく攻撃され、二重支出が発生する可能性があります。

そのため、PoW ブロックチェーン システムでは、外部の攻撃者がコンピューティング リソースを投資することで、デジタル通貨の既存の価値システムを脅かす可能性があります。既存の PoW アルゴリズムは非常に均質であるため、システム内のユーザーに知られることなく大量のコンピューティング リソースをシステムに注入することができ、このプロセスにはどのエコシステム内の既存のユーザーも関与しない可能性があります。 『三体』のセリフを借りると、「私はあなたを滅ぼすが、それはあなたとは何の関係もない。」

4. もっと良い選択肢はあるでしょうか?

近年、ますます多くのブロックチェーン システムと分散コンセンサス プロトコルが提案されています。重要な方向性の 1 つは、公平性に基づくコンセンサス (Proof of Stake、PoS) です。

PoS はもともと、主に PoW のエネルギー消費問題を解決するために提案されました。 PoS と PoW の本質的な目的は同じで、ブロックチェーン ネットワークの参加ノードからランダムにノードを選択してアカウントを記録することです。 「ランダム」という言葉は、公平で、予測不可能で、悪意のあるノードによって制御されないことを意味するので、単純に思えますが、サイコロを振る神がいないため、分散型ネットワークでこれを実現するのは実際には困難です。 PoW のランダム原則は、計算能力が高ければ高いほど、簿記係になる可能性が高くなるというものです。 PoS のランダム原則は、ステークが多ければ多いほど、ブックキーパーになる可能性が高くなるということです。選挙に使用される「資格情報」が異なることを除けば、この 2 つは非常によく似ているように見えますが、2 つの設計とそれらが直面する攻撃は非常に異なります。

PoS はブックキーパーを選択するためにステークに依存します。選挙に参加した人が所有するステークはブロックチェーンに記録され、ステーク比率はブロックチェーン上のステーク総数に対するユーザーが保有するステークの割合です。 PoS に対して 51% 攻撃を実行するには、チェーン上のステークの 51% を保持する必要があります。ただし、ステークは既存のユーザーから購入することによってのみ取得でき、システム外での生産に投資することはできません。したがって、PoS システムに対して 51% 攻撃を仕掛けるコストは、市場からステークを購入するコストと等しくなります。

ETCを例にとると、現在のETCの総発行数は107,514,088ETCです。コンセンサス アルゴリズムが PoS の場合、51% 攻撃には 53,747,044 ETC を保有する必要があり、これは約 229,542,578 米ドルの市場価値に相当します。 PoW の場合、コンピューティング能力をレンタルするのにかかる費用は約 5,000 ドルだけです。 PoS に対する 51% 攻撃に必要な資金と他の暗号通貨に対する PoW に対する 1 時間の 51% 攻撃のコストとの比較を次の表に示します (データは Crypto51 https://www.crypto51.app/ から取得、データはリアルタイムで変化します。以下のデータは執筆時点で取得されたものです)。さらに、正当なチェーンにステークを持つ人が増えるほど、チェーンを維持する傾向が高まります。ステークが攻撃者に譲渡され、リースされた場合、攻撃者が直面するリスクは、コンピューティング能力をレンタルする場合よりもはるかに大きくなります。したがって、攻撃者がリースを通じて十分なステークを取得することは困難です。したがって、51% 攻撃に関しては、PoS の方が PoW よりも利点が多いと言えます。これは、ETH が PoS コンセンサスに進化する必要がある重要な理由でもあります。

要約すると、PoW と比較して、PoS には 2 つの最大の利点があります。 1 つは、エネルギーの無駄を回避し、コンセンサスに参加するノードのコストを削減できることです。もう 1 つは、51% 攻撃のしきい値を引き上げることです。コンピューティングパワーが集中している現状では、PoS は PoW よりも安全です。しかし、比較的ネットワークの計算能力が小さい新興のデジタル通貨と同様に、コンセンサスアルゴリズムとして PoS を使用するデジタル通貨も、初期段階では 51% 攻撃に対して脆弱です。チェーン上のステーク総額は初期段階では小さいため、51%攻撃に必要な資金もそれに応じて小さく、そのため初期起動時にセキュリティ保護を強化し、事前に対応戦略を準備する必要があります。

5. PoSコンセンサスプロトコルに関する懸念と対応

複数のブロックチェーン プロジェクトで成功裏に適用されている PoW と比較すると、PoS コンセンサス プロトコルはまだ広く使用されていません。そのため、多くの人が PoS コンセンサス プロトコルに関してさまざまな懸念を抱いています。ここでは、PoS の考えられる攻撃と弱点を 1 つずつ分析します。

1) PoSは中央集権型システムである

PoS アルゴリズムの研究が始まった当初、多くの研究者は分散コンピューティング理論と暗号化研究から自然にインスピレーションを得ていました。ビザンチンフォールトトレランス (BFT) は、分散環境で合意に達するための古典的なアルゴリズムであるため、提案されている PoS 合意アルゴリズムのほとんどは、BFT の何らかのバリエーションとして考えることができます。 BFT アルゴリズムの利点は、理想的なネットワーク環境では確認遅延が短いことですが、通信の複雑さが高いため、コンセンサスに参加するノードの数が制限されるため、グローバル パブリック チェーンで直接使用することはできません。 EOS (DPoS) や Algorand などのシステムでは、ビザンチンのようなプロトコルを実装するために何人かの代表者を選択することでコンセンサスが達成され、PoS は集中型プロトコルであるという主観的な印象が人々に与えられます。実際、現在の研究では PoW に似た競合 PoS プロトコルも提案されているため、PoS が集中型システムであることを心配する必要はありません。

2) 新しいPoSチェーンのコールドスタートは安全ではない

1 つの見解は、PoS システムのコンセンサス ノードはトークンによって決定され、システムをコールド スタートする前にトークンが事前に配布されている必要があるため、PoS システムの制御は少数の初期参加者に属するというものです。これらの独占企業は、過剰な利益を得るために悪事を働いたり、二重支出攻撃を実行するためにシステム全体を破壊したりすることもあります。実際には、次のような理由から、こうした懸念は存在しません。

a) 現在のブロックチェーンエコシステムは比較的成熟しています。新しいブロックチェーンのメインチェーンがオンラインになる前に、多くの場合、複数回の資金調達活動を経ます。したがって、創設チームであっても、あまり多くのトークン株式を管理することはできません。さらに、合理的なチームは株式に対する過度な支配を求めることはありません。トークンが十分に分散化されている場合にのみ、システムは安全になります。

b) PoS システムでは、トークン所有者の権利と利益がトークンの価値に完全に反映されます。これにより、システムのセキュリティを維持するインセンティブが高まり、悪意のある行為が行われる可能性が低くなります。 PoW システムでは、攻撃者が短期的な利益を得るために攻撃を実行した後、コンピューティング能力などのハードウェア投資を他のブロックチェーン システムに移すことができるため、悪意のある行為が行われる可能性が高くなります。

c) 新しいブロックチェーンの起動段階で、PoW プロトコルが採用されると、外部のコンピューティング リソースが制御不能にシステムに流入する可能性があります。現時点では、システム全体の総計算能力は高くないため、攻撃者はより少ないリソースで攻撃を完了することができ、PoWブロックチェーンのコールドスタートフェーズはさらに安全ではありません。実際、すでに大量の計算能力を集めているビットコインやイーサリアムなどのPoWブロックチェーンを除いて、新しく生成されたブロックチェーンはすべてこの問題に直面しています。前段階の BCH フォークによってもたらされた計算能力の競争は、新しいチェーンを立ち上げることの危険性を反映しています。攻撃を回避するために、初期のセキュリティを維持するために集中型のマイニングプールが使用されることが多いため、集中化の度合いは PoS よりも高くなります。

3) PoSの富の集中は深刻

前回の議論では、PoS ブロックチェーンでは、起動フェーズ中にトークンの初期割り当てが実装されることが多いことを分析しました。最初に獲得したトークンは、確かにその後のブロックチェーンの成長においてさらなる投資収益をもたらすため、富裕層がさらに富み、富の集中につながるのではないかと懸念する人もいます。この問題に対処するために、次のように分析します。

a) 富の集中はどの経済システムでも発生しますが、PoS システムではそれほど深刻ではありません。既存の経済研究によれば、最も公平な経済システムであっても富の集中が起こる可能性がある。私たちがよく話題にする富の分配は、富の集中という現象の現れです。 PoS システムの初期トークン配布は、初期段階で巨大化するほとんどの上場企業の株式配布よりも分散化され、透明性が高くなります。

b) 公正かつ透明な取引環境が提供されている限り、富の集中という現象は無限に拡大することはないので、心配する必要はない。トークンが流通市場で自由に流通できる場合、トークンは当然公正な市場価格で評価されます。利益が十分に魅力的であれば、元の投資家は利益を得るために売却するでしょう。システムの見通しが良ければ、後続の投資家も合理的に購入するでしょう。したがって、後から来た人が買えなくなるとか、富が完全に集中してしまうといった心配はありません。

実際、PoW マイニングに参加するには多額のハードウェアと電力投資が必要なので、個々の参加者にかかるコストは大規模なマイニング プールにかかるコストよりもはるかに低くなります。通貨市場が変動すると、小規模マイナーが真っ先に撤退することが多い。したがって、PoW システムにおける富と計算能力の集中はより顕著になります。

4) PoSはNothing-at-Stake攻撃の影響を受ける

Nothing-at-Stake とは、PoS システムでは、ブロックの生成に多くのハードウェア リソースが消費されないため、攻撃者はプロトコルを無視して、異なるブロックの後に新しいブロックを生成できることを意味します。これにより、PoS システムはフォークが発生しやすいという明確な直感が得られます。ただし、適切に設計された PoS システムは、Nothing at Stake 攻撃に完全に抵抗できます。

私たちが書いた論文[1]では、PoWに似た競争的コンセンサスプロトコルである新しいPoSプロトコルiChingを提案しました。この論文では、貪欲攻撃（Nothing-at-Stake に基づく攻撃戦略）の理論的分析が行われており、その結果、攻撃者がチェーン内の任意の位置で貪欲に拡大しようとすると、確かに攻撃者に利益をもたらすものの、利益は無限ではないことが示されています。つまり、攻撃者が正直なノードと同じ割合のステークを保有している場合、攻撃者によって生成されたチェーンの成長率は、正直なチェーンの成長率の最大 e 倍になります (e は数学定数で、約 2.71828)。したがって、PoS が許容できる悪意のあるステーク比率は 30% を超えません (計算プロセスについては論文を参照)。この状況に対応して、本論文では対応戦略を提案しています。正直なノードが適度に貪欲になるように奨励する戦略の下では、許容可能な悪意のあるステーク比率は 43% 以上に達する可能性があります。したがって、「Nothing at Stake」は克服できない攻撃ではありません。

5) PoSは長距離攻撃を受ける

長距離攻撃とは、攻撃者が長期にわたる蓄積を通じて PoS システムを攻撃することを指し、その具体的な現れ方はさまざまです。最も直接的な長距離攻撃は、攻撃者が過去のある時点で有効であったステーク アカウントを大量に収集または購入し、それによって以前の時点からフォークを開始することです。論文[2]では、Stake-Bleeding攻撃と呼ばれる長距離攻撃戦略が提案されている。この攻撃では、攻撃者は長期にわたる秘密のフォークマイニングを通じて十分な報酬トークンを蓄積し、その後フォーク攻撃を開始します。

この論文では、長距離攻撃の手法を分類し、まとめています。一般的に、長距離攻撃は実行できるようになるまでに長い準備と運用を必要とします。この特性を考慮して、Long-Range は、定期的なチェックポイントの設置など、これを回避または排除するための適切な技術的手段を採用できます。実際、ブロックチェーンの検証速度を上げるために、PoWブロックチェーンではチェックポイント技術がよく使われています。したがって、長距離攻撃は実際の PoS ブロックチェーン システムにとって深刻な脅威にはなりません。

6. 次世代ブロックチェーンが満たすべき機能

より実用的なアプリケーションをサポートするために、ブロックチェーンはセキュリティと分散化の基本要件を満たすだけでなく、スループットの低さや確認時間の延長などの問題も解決する必要があります。

スループットが低いのは、主にブロックチェーンの従来のシングルチェーン構造とネットワーク伝送の遅延が原因です。そのため、最近提案されたDAG構造、トランザクションパッケージング方式、トランザクションシャーディング処理方式はすべて、ブロックチェーンのスループットを向上させることを目的とした研究です。

確認時間の延長は、競合するすべてのブロックチェーン合意アルゴリズムに共通する問題です。この問題は、上位層に高速確認プロトコルを追加することで改善できます。

私たちは、次世代のブロックチェーンが、安全で効率的、かつ柔軟なアプリケーション実装を真にサポートするためには、次の特性を満たす必要があると考えています。

1) PoSコンセンサスアルゴリズムに基づいて、外部リソースへのセキュリティ依存を回避し、システム外部からの攻撃の脅威を排除します。

2) 分散型設計を遵守し、システムのコンセンサス権を少数のノードに委ねないようにします。そうしないと、既存の集中型システムに戻ってしまいます。

3) 洗練されたデータ分散ストレージ設計により、ネットワーク全体にわたるトランザクション データのブロードキャストと保存が回避され、高スループットのアプリケーションがサポートされます。

4) 高速確認アルゴリズムを重ねて、通常のトランザクションの迅速な確認を実現し、準リアルタイムのアプリケーション シナリオをサポートします。

参考文献:

[1] Fan L、Zhou H S. iChing：オープン環境におけるスケーラブルなProof-of-Stakeブロックチェーン。出典：http://eprint.iacr.org/2017/656.pdf

[2] Gaži P、Kiayias A、Russell A. プルーフオブステークブロックチェーンに対するステークブリーディング攻撃。 2018 Crypto Valley ブロックチェーン技術カンファレンス (CVCBT)。 IEEE、2018：85-92