イーサリアム再編成攻撃とは何ですか?イーサリアム2.0は合併後実行が困難になる

最近、マイナーが賄賂を受け取ったり、選択したブロックでトランザクションをキューに入れたりできるように、改良されたイーサリアムクライアントを採用する可能性について議論されています。 (この種の賄賂の主な使用例は、DeFi プロトコルへの攻撃です)。

この投稿では、Ethereum 2.0 の統合後にこの攻撃モードを実行することがはるかに困難になる理由を説明します。

1. フォーク選択ルールとは何ですか? また、なぜ重要ですか?

フォーク選択ルールは、クライアントによって評価される関数であり、クライアントが確認したブロックとその他のメッセージのセットを入力として受け取り、「正規のチェーン」が何であるかをクライアントに出力します。選択できる有効なチェーンが複数ある可能性があるので、フォーク選択ルールが必要です (たとえば、同じ親を持つ 2 つの競合するブロックが同時に公開される場合など)。

再編成とは、かつてはクラシック チェーンの一部であったブロックが、競合ブロックに打ち負かされたためにクラシック チェーンの一部ではなくなる特別なイベントです。ファイナリティとは、フォーク選択ルールが特定のブロックを非常に優先し、そのブロックを再構築することが数学的に不可能 (または少なくとも経済的に実行不可能) になる状況を指します。

一部のフォーク選択ルール (Tendermint など) では、再編成は不可能です。フォーク選択ルールは、BFT コンセンサスとファイナライズを通過したブロックを追加することによって、既存のチェーンを単純に拡張します。他のフォーク選択ルールでは、再編成が非常に頻繁に行われます。

2. イーサリアムの現状はどうなっていますか?

Ethereum のようなプルーフ・オブ・ワーク (PoW) ブロックチェーンでは、「最長チェーンルール」(より正確には、「最高合計難易度チェーンルール」) がよく見られます。つまり、クライアントが 2 つのブロックチェーンを見つけた場合、合計難易度 (つまり、そのチェーン内のすべてのブロックの難易度の合計) が最も高いブロックチェーンを選択することになります。

たとえば、ブロックの難易度が 100 または 110 であると仮定して、次のシナリオを想像してください。

1. 難易度 100 でブロック 1 から同期を開始します。

2. ブロック 2a と 3a はそれぞれ難易度 100 で到着し、それらをチェーンに挿入して、合計難易度 300 のフォークを形成します。

3. 難易度が 110 のブロック 3b が到着し、2a を親として宣言して、合計難易度が 310 のフォークを形成します。フォーク選択ルールは、「最も重い」チェーンが 2 番目のフォークになったことを認識し、それに切り替えます。ブロック 3a のみが変更になったため、これは 1 ブロックの再編成です。新しいブロックが到着してフォークの選択が最初のフォークに戻る可能性があるため、これらのブロックは完全に破棄されないことに注意してください。

ブロック 4.2b と 3c が到着します。それぞれの難易度は 110 で、合計難易度 320 の新しいフォークが作成されます。これは、フォーク選択の難易度が 320 であることを意味します。フォーク選択ルールによれば、以前のクラシック チェーンのブロックである 2a の代わりに 2b、3b の代わりに 3c が使用されるようになります。これは2つのブロックの再結合です。

これがどこに向かっているかはお分かりでしょう。新しいブロック 4a が到着し、3a がその親チェーンであると通知されると、フォーク選択ルールは最初のフォークに戻ります。

3. チェーン再編の影響

遅延のため、短期間の再編が行われています。マイナー A とマイナー B は同時に有効なブロックを見つける可能性がありますが、P2P ネットワークでブロックが伝播される方法により、ネットワークの一部では最初に A のブロックが表示され、別の部分では最初に B のブロックが表示されます。両方のブロックの難易度が同じ場合は同点となり、クライアントはランダムに選択するか、以前に表示されたブロックを選択します。通常、3 番目のマイナー C が A のブロックまたは B のブロックの上にブロックを構築し、もう一方のブロックが忘れられると、最終的に同点が解消されます。運が悪ければ、2 ～ 5 ブロックの再編成が必要になることもあります。この時間を超える再編成は、ほとんどの場合、重大なネットワーク障害、クライアント エラー、または悪意のある攻撃によって発生します。

短期間の再編成は致命的ではありませんが、ネットワークに重大な影響を及ぼします。

• ノードコスト: 再編成が発生すると、新しいフォークに切り替える必要があり、トランザクションをロールバックしたり、ブロックチェーンの状態を変更したりする可能性があるため、ストレージの問題が発生します。

• ユーザー エクスペリエンスの低下: 再フォークの可能性があるということは、ユーザーが自分に関わるトランザクションが「確認済み」として安全に確認できるようになるまで、より長い時間待つ必要があることを意味します。これの重要なサブケースは、取引所などの企業が預金を受け入れるまでに長い時間待つ必要があるということです。

• トランザクション コンテキストの不確実性: ユーザーがトランザクションを送信する場合、トランザクションが実行されるコンテキストについての確実性は低くなります (たとえば、最新の N ブロックが回復されるかどうかなど)。特に、これにより、DeFi 取引ペアの予期しない失敗、予想よりも悪いトランザクション結果、または有害な MEV 抽出の可能性が高まります。

• 51% ハッシュレート攻撃の可能性の増加: 最長チェーンルール駆動型システムでは、チェーン上のマイナーが B1 から B2 に並べ替えられると、B1 の難易度ではチェーンのセキュリティを確保できなくなります。攻撃者は、すべての正直なマイナーを倒す必要はなく、再編成されていない正直なマイナーの一部を倒すだけで済みます。再編成が頻繁に発生する場合、攻撃者の作業は大幅に簡素化されます。

最悪のシナリオ

最悪の場合、頻繁な再編成によりブロックチェーンの決済保証が完全に無効になり、継続できなくなる可能性があります。通常、ブロックプロデューサーの「インセンティブに適合した」戦略は、最長のチェーンを拡張することです。しかし、ブロック後の状態が収益性が高い場合（たとえば、手数料が非常に高い場合や、このブロックの直後にブロックを構築することによってのみ抽出できる MEV がある場合）はどうなるでしょうか?この疑問は、過去にはブロック報酬や利己的なマイニングのないビットコインの文脈で検討され、今日ではイーサリアムエコシステムの DeFi に関連する MEV の文脈で検討されています。

このような場合、クラシック チェーンの先端を拡張するのではなく、競争によって手数料や MEV を「盗もう」とする強いインセンティブがあります。以下の例では、ブロック 1 の後のステートは収益性が高く、ブロック 2a はすでにマイニングされています。ただし、1 人ではなく 3 人のブロック プロデューサーがブロック 2a ではなくブロック 1 でマイニングすることを選択しました (ブロック 1 の後に公開された MEV を請求するため)。これは任意の数の当事者に拡張できます。

明らかな理由から、これは悪意のある 51% ハッシュレート攻撃の扉を開きます。このような再編成マイニング戦術に従事するマイナーを、私たちは「近視眼的な合理性」と呼んでいます。なぜなら、そうするという決定は短期的には合理的である可能性があるからです。しかし、彼らはイーサリアムに対して明示的（コインミント）または暗黙的（マイナー）なロングポジションを持っています（手数料とブロック報酬はイーサリアム建てであるため）。つまり、イーサリアムに対するユーザーの信頼を低下させるような攻撃は彼らの最終的な利益に反し、したがって長期的には非合理的です。

4. イーサリアムとプルーフ・オブ・ステークの統合

Nakamoto PoW では、ブロックはフォークの選択時に「シリアル化」されます。まず、ブロックがマイニングされ、その時点で競合するブロックがそれを再編成する可能性があります。ブロックがクラシック チェーンの一部として存続する場合、(平均して) 13 秒後に他のマイナーがその上に 2 番目のブロックを構築します。この時点で、それを再編成するには、競合する 2 つのブロックで構成されるチェーンが必要です。その上にさらに多くのブロックが構築されるにつれて、チェーンの再編成の難しさはゆっくりと増加し続けます。

Ethereum のビーコン チェーンは、LMD-GHOST と呼ばれるフォーク選択ルールを備えた Gasper と呼ばれる PoS プロトコルを実装します。 Nakamoto PoW とは異なり、ブロック生成プロセスには 2 つの役割があります。

• 提案者: バリデーターのタスクはブロックを提案することです。

• 参加者: どのブロックをクラシック チェーンの先頭と見なすかを投票するバリデーターのグループ。バリデーターの投票は「認証」と呼ばれ、ブロックに「重み」を割り当てます。認証子を制御することは、フォーク選択ルールを制御することを意味します。

12 秒ごとに、ブロックを提案する機会を表す「スロット」があります。各エポックでは、シャッフル アルゴリズムによって、すべてのバリデーターの 1/32 で構成される委員会が疑似ランダムに選択されます。各委員会のバリデーターの 1 人が提案者で、残りが承認者となります。バリデーターは、クラシック チェーンの一部であると思われるブロックに対して並行して投票します。委員会は疑似ランダムにサンプリングされるため、攻撃者がバリデーターを 1 か所に集中させることはできません。

現在、ビーコン チェーンには 196,000 のバリデーターがあり、各スロットには 6125 の規模の委員会があります。したがって、少数のバリデーターを制御する攻撃者が何千人もの参加者の大多数を正直に打ち負かす方法はないため、1 つのブロックを再構築することさえ非常に困難です。

なぜそうなるのかを直感的に理解するために、スロットが 2 つ、バリデータが 24 個あり、そのうち 9 個が悪意のあるバリデータである例を見てみましょう。バリデーターは 2 つの委員会に分割されており、ランダムにシャッフルされるため、敵対者が割り当てられたいずれかのグループの 50% 以上を制御して再編成を引き起こす可能性は低くなります。

より正式には、ステークの p% を持つ悪意のある行為者が、サイズ N のバリデーターの委員会の 50% 以上を制御する確率は、二項分布 (k = N/2) に従います。

さまざまな状況の確率を計算すると、次の表が得られます。

単純な再編成には、攻撃者がバリデーターの約 50% を制御する必要があることが分かりました。

攻撃者がバリデーターの 25 ～ 49% を所有している場合、さらに巧妙な攻撃が可能になります。ただし、これらの攻撃には、気付かれずに実装できる既知の修正があり、セキュリティは無条件の 50% 近くまで向上します。

最後に、過去 2 エポックまでのブロックはすべて「確定」されているとみなされるため、長期的な回復は不可能です。つまり、過去に回復することは不可能です。攻撃者が 2 つの競合するブロックを確定させた場合 (たとえば、ステークの 67% を制御するなど)、システムは回復するためにソーシャル介入に頼る必要があります。

再構築戦略の採用におけるゲーム理論

これまで、さまざまなフォーク選択ルールで再編成戦略がどのように機能するかを見てきましたが、マイナーやバリデーターが再編成戦略を実行するソフトウェアを利益を上げて使用することが理にかなっている場合を理解するために、簡単なゲーム理論の例を検討する価値があります。

報酬マトリックスを使用して各シナリオを非公式に説明できます。ここで、「バグ」は「不正防止操作を実行するソフトウェアのダウンロードと使用」を意味します。報酬は「近視眼的」であり、長期的な結果を考慮していません。

サトシ・プルーフ・オブ・ワーク

最長チェーンの PoW では、バリデータ セットのごく一部でも、短期的な再編成を確率的に実行できます。時々、非常に収益性の高いポスト状態を持つブロックが存在するため、成功の可能性が 1 ～ 10% であっても、そのブロックの既存の子と競争してみる価値があります。

マイナーは、次の 2 ～ 3 ブロックを連続して見つける可能性に頼る中規模のマイニング プールになるか、収入の一部を誰でも請求できる契約に送り、同じソフトウェアを実行している他の人に賄賂を渡してチェーンを構築させ、既存のクラシック チェーンと戦う手助けをしてもらうことができます。

したがって、一部のマイナーは再編成クライアントを実行したいと思うかもしれません。

ガスパー

Gasper では、スロット 1 ～ 64 の再編成が可能ですが、攻撃者はバリデータ セット全体の大部分を制御する必要があります (特定のスロットにステークを集中することはできないため、攻撃したいスロットの範囲内でランダムに選択できるだけの十分なステークが必要です)。他の多数のバリデーターも採用しない限り、再編成マイニング ソフトウェアを使用するのは無意味です。

したがって、バリデーターの 51% が少しでも利他主義的であれば、再編成ソフトウェアを実行する人が誰もいない状態が安定均衡となります。

テンダーミント

Tendermint では、状況はさらに明確です。再編成は不可能であり、シングルスロットのファイナリティに違反した場合は、バリデーターの 1/3 以上を削減する必要があります。 Gasper の場合と同様に、これは、誰も再編成ソフトウェアを実行していない場合でも安定した均衡が達成されることを意味します。

上記から、「reorg geth」の採用はすべてのケースで可能であるものの、並列証明の概念に基づくフォーク選択ルールは正直な均衡状態を持ち、Nakamoto フォーク選択における均衡よりも安定することがわかります。

5. 経験

イーサリアムの文脈では、最も効果的な予防策は、マージ作業をさらに加速すること、特にチェーンを PoS に移行するための「緊急マージ」を実行する信頼できる機能を迅速に実装することです。急いで合併するのは非常に危険であり、インフラを混乱させる可能性があるが、多くのマイナーがチェーンに再攻撃を開始した場合、信頼できるコミットメントはそのような行動に対する抑止力として機能するだろう。

合併に近い時期は、マイナーが依然としてシステムを管理しているものの、時間的視野が短くなるため、最もリスクが高い。ただし、このリスクを軽減する要因が 2 つあります。

• イーサリアムのマイナーは、多くの場合、(i) 他のブロックチェーンのマイナーであり、(ii) 他のイーサリアムコミュニティのメンバーでもあるため、依然として善良な行動をとるインセンティブがあります。

• 合併が近づくにつれて、緊急合併を実施することの難しさ、コスト、リスクは減少します。合併予定日の数か月前に緊急合併を行えば、大きな混乱が生じることになるだろう。マージ予定日の2週間前に、オペレータがダウンロードを完了したことをお客様が確認するためのパラメータ設定となります。

合併後は、単一のバリデーターまたは少数のバリデーターグループが独自に再編成することはできないため、検証の再編成の問題ははるかに小さくなります。再編成攻撃を成功させるには、ほとんどのバリデーターを同時にオフラインにするという、非常に困難な調整問題を解決する必要があります。ただし、いくつかの小さなリスクはまだ存在します。さらなるセキュリティの改善が必要な場合、イーサリアムはフォーク選択ルールをさらに調整して再編成攻撃の要件を理論上の最大値の 50% まで引き上げるか、シングルスロットコンセンサスに直接移行する方法を見つける可能性があります。